![]()
學校使用資通系統或服務蒐集及使用個人資料指引
一、教育部為保護教職員、學生、家長之權益,特訂定學校使用資通系統或服務之個人資料指引(以下簡稱本指引)。
二、各級學校為特定目的使用資通系統或服務蒐集、處理及利用教職員、學生、家長之個人資料者,應遵循個人資料保護法相關規定並參酌本注意事項辦理。但各直轄市、縣(市)政府另有規定者,其所轄學校從其規定。
三、學校為特定目的使用資通系統或雲端資通服務(如Google 表單、Microsoft Forms 等問卷調查服務,YouTube等影音平台等)涉及蒐集、處理及利用個人資料者,應注意下列事項:
(一)資料蒐集最小化:僅蒐集適當、相關且限於處理目的所必要之個人資料。
(二)資料處理及利用:不得逾越特定目的之必要範圍,並應與蒐集之目的具有正當合理之關聯。
(三)存取控制:應注意檔案存取權限設定,應採最小權限原則,僅允許使用者依目的,指派任務所需之最小授權存取。
(四)使用雲端資通服務者,應詳閱設定內容,不宜使用者共同編輯個人資料檔案清冊,並應注意避免設定允許顯示其他使用者作答內容(如Google 表單不應勾選「顯示摘要圖表和其他作答內容」),避免使用者能瀏覽其他使用者資料,造成個人資料外洩。公佈前應確實做好相關設定檢查,並實際操作測試,確認無誤後再行發布。
(五)傳輸之機密性:網路傳輸應採用網站安全傳輸通訊協定(HTTPS)加密傳輸,並使用TLS 1.2 以上版本傳輸。
(六)資料儲存安全:如涉及蒐集個人資料保護法第六條之個人資料或其他敏感個人資料,應以加密方式儲存。其餘個人資料儲存應符合個人資料保護法第十八條及第二十七條資料儲存安全措施之規範。
(七)應訂定個人資料保存期限,並於期限或業務終止後將蒐集之個人資料予以刪除或銷毀,避免個人資料外洩。
(八)應設置個人資料保護申訴或諮詢窗口,以確保個資當事人具明確行使其權利之管道,且該管道應明確並便利當事人使用。
(九)學校在蒐集個人資料前,除符合個人資料保護法第八條第項各款情形外,應明確告知當事人同法第八條第一項各款應告知事項及適當之申訴管道,俾利當事人充分了解所蒐集之目的及相關權利。
四、各校或其主管機關應依本指引,訂定各校相關作業流程規定,或納入既有規範中。
學校使用生物特徵辨識技術個人資料保護指引
一、教育部為規範學校使用生物特徵辨識技術之生物特徵個人資料蒐集、處理及利用,保護教職員生之權益,特訂定學校使用生物特徵辨識技術個人資料保護指引(以下簡稱本指引)。二、各級學校為特定目的使用生物特徵辨識技術,得以系統識別特定之當事人者,應遵循個人資料保護法相關法規並參酌本指引辦理。但各直轄市、縣(市)政府另有規定者,其所轄學校從其規定。
三、本指引用詞,定義如下:
(一)生物特徵:指具個人專屬性足以識別個別身分之個人生理特徵資料(如指紋、臉部特徵、虹膜、聲音、掌紋、靜脈等)。
(二)原始生物特徵資料:指透過掃描器、相機等感測器所蒐集並用以擷取個人生物特徵之原始資料。
(三)特徵值:指將原始生物特徵資料依各種技術或演算法轉換成用於生物特徵比對之不可逆資料。
(四)生物特徵辨識:指運用生物特徵辨識科技,與資料庫已儲存之個人生物特徵值識別資料進行比對,以識別特定之當事人。
四、學校使用生物特徵辨識技術,應尊重教職員生當事人之權益,應公開說明依誠實及信用方法為之,不得逾越特定目的之必要範圍,並應與蒐集之目的具有正當合理之關聯。
五、應設置個人資料保護申訴或諮詢窗口,以確保個資當事人具明確行使其權利之管道,且該管道應明確並便利當事人使用。
六、學校為使用生物特徵辨識技術,並蒐集生物特徵個人資料前,應明確告知當事人個人資料保護法第八條第一項各款應告知事項及適當之申訴管道,讓當事人充分了解所蒐集之目的及相關權利。 學校應取得當事人同意,未成年學生應同時取得其法定代理人同意後,始得蒐集。 當事人不同意提供生物特徵個人資料時,學校應提供替代方案,以不影響教職員生之權益為原則。
七、學校利用前點蒐集生物特徵個人資料,應與蒐集之特定目的相符,不得為目的外之利用。
八、應訂定個人資料保存期限,並於期限或業務終止後將蒐集之個人資料予以刪除或銷毀,避免個人資料外洩。
九、學校使用生物特徵辨識技術應以轉換為特徵值再行處理及利用為原則。 原始生物特徵資料非必要以不留存為原則,如有留存必要者,應與特徵值加密分別儲存於不同之儲存媒體並有嚴謹之存取管控措施。 特徵值連結個人資料以使用代號、代碼等假名化資料為原則,如有必要連結其他個人資料者,應資料最小化。 特徵值與其他個人資料結合得以直接或間接方式識別該個人者,應依個人資料保護法施行細則第十二條,採取技術上及組織上之安全維護措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏。 前項安全維護措施得依教育體系個人資料安全保護基本措施及作法辦理,並應注意資通安全管理法相關規定。
十、學校如有使用生物特徵個人資料,應依本指引訂定各校使用生物特徵個人資料保護管理規範,或納入既有規範中。
