一、教育部(以下簡稱本部)為妥適運用內政部移民署(以下簡稱移民署)
    僑生、港澳學生及外國學生(以下簡稱僑外生)資料，落實資訊安全
    ，防止資料遭受不當使用或外洩，以保障個人隱私權益，特依各機
    關應用移民資訊連結作業及管理要點，訂定本要點。
    
二、本要點用詞，定義如下：
 (一) 管理單位：指本部國際及兩岸教育司。
 (二) 系統維護廠商(以下簡稱廠商)：指全國大專校院境外生資料管理
      資訊系統計畫辦公室。
 (三) 使用單位：指依本要點直接使用僑外生資料之本部及本部授權使
      用之各大專校院僑外生業務單位。
    
三、使用單位使用移民署僑外生資料之法令依據、業務應用範圍及資料
    連結模式如下：
 (一) 依據：僑生回國就學及輔導辦法第二十二條、香港澳門居民來臺
      就學辦法第十六條、外國學生來臺就學辦法第九條、個人資料保
      護法(以下簡稱個資法)第五條、第十五條、第十六條及第十八條
      規定。
 (二) 業務應用範圍：為執行法定業務，查核僑外生就學狀態，運用移
      民署外來人口入出境紀錄相關資訊。
 (三) 資料連結模式：透過移民署雲端資料查詢服務(WebServiceAPI)
      相關功能，查詢僑外生出入境紀錄。
    
四、辦理前點第二款之相關業務專責人員，查詢資料之作業程序及管理
    原則如下：
 (一) 作業程序：應經所屬單位主管同意取得僑外生資料後，始得使用
      。
 (二) 管理原則：應依相關法令及業務使用範圍，使用僑外生資料，不
      得作為其他用途。
    
五、廠商管理規範如下：
 (一) 受託業務涉及民眾個人資料或隱私，執行受託業務之相關人員應
      接受適任性調查，並依相關法令之規定辦理。
 (二) 受託業務包括客製化資通系統開發者，廠商應提供通訊系統安全
      性檢測證明。
 (三) 如違反資通安全相關法令或知悉資通安全事件時，應立即通知移
      民署並說明採取之因應措施。
 (四) 應依移民署要求，配合提供資通安全管理措施說明並接受稽核。
 (五) 應遵循行政院及所屬各機關資訊安全管理要點、行政院及所屬各
      機關資訊安全管理規範、Web應用程式安全參考指引及政府資訊
      作業委外安全參考指引之相關規定。
 (六) 執行受託業務之相關人員所執行之業務，如有接觸機敏性資訊之
      必要，須以個人身分簽署專案作業人員保密合約書（如附件一）
      ，廠商須監督所有員工遵守相關法令，以避免人員違反法令規定
      或處理民眾個人資料不當而產生爭議或相關法律訴訟事件。
 (七) 應依委託案契約之保密規定辦理系統維護及測試作業，其處理之
      個人資料不得作為其他用途，違反時，依契約書中相關罰則處置
      ，並依個資法及相關法令追究責任；涉有刑責者，本部應依職權
      告發。
    
六、資訊安全管理之分工及作業規範如下：
 (一) 本部資訊及科技教育司：
      1.提供資訊技術支援。
      2.協助調查違反本要點人員等相關事宜。
 (二) 本部政風處：
      1.綜理本部僑外生資料使用之稽核作業，並提報改善建議。
      2.協助僑外生資料安全維護、保管、稽核及銷毀事宜。
      3.會同相關單位辦理資訊機密維護及稽核使用管理事項。
      4.協助調查違反管理要點人員等相關事宜。
 (三) 管理單位：
      1.置專責人員，督導使用單位運用僑外生資料進行勾稽比對作業 
        及僑外生資料之管理、運用、保存等相關事宜。
      2.辦理違反本要點人員之調查及懲處事宜。
      3.善盡職責，防止僑外生資料不當使用及外洩。
 (四) 廠商及使用單位：
      1.置專責人員，負責僑外生資料進行勾稽比對作業及僑外生資料
        管理、查詢、運用及保存等事宜。
      2.辦理違反本要點人員之調查及懲處事宜。
      3.善盡職責，防止僑外生資料不當使用及外洩。
    
七、資訊安全管理作業要求：
 (一) 僑外生資料管理：
      1.資料查詢及存放場所，嚴禁非相關人員進入、停留。
      2.資料查詢、輸出及傳送均應採取適當之保密措施；不得透過傳
        真或未加密之網路方式交付僑外生資料。
      3.經授權取得之僑外生資料，僅供查詢及確認使用，不得任意複
        製或提供非業務權責人員閱覽、使用。
      4.查詢及傳送資料時，應依本要點登記案號、查詢日期、使用者
        、單位及查詢事由等(如附件二)，作為日後查核依據。查詢事
        由紀錄如以紙本登載紀錄，請敘明登記簿保管程序(含保管人)
        、內容查核的頻率(每月或每季)；如於查詢介面線上紀錄，系
        統紀錄保存年限至少五年。
      5.使用完竣且確無保存必要之僑外生個人資料電腦檔案及相關書
        面表件，應簽報使用單位主管核定後銷毀，電子檔應有存取權
        限控管。
      6.連線查詢提供機關資料逾時，系統應自動登出。
      7.個人帳號不得交予他人使用或多人共同帳號；使用者異動時，
        應將所保管之僑外生個人資料及其相關資料列冊移交，並依相
        關申辦流程進行變更管理作業。
      8.使用單位專責人員及單位主管異動時，應主動通知管理單位，
        並函文通知移民署辦理聯絡人異動作業。
      9.負責使用帳號權限開通及停用維運管理單位帳號權限管理流程
        ：使用者新增或停用權限，需填寫帳號權限異動表辦理申請，
        經使用單位主管核章後，送廠商新增權限，申請表電子檔保留
        一年，人員離職時亦須填寫權限異動表辦理停用，並於離職後
        一個月內完成內停用權限。
 (二) 資料銷毁程序：
      1.資料應訂定資料使用年限，定期簽奉單位主管核定後辦理銷毀
        ，且銷毀奉核之紀錄電子檔，須保存三年，供移民署定期查核
        時檢視。
      2.儲存於電腦設備或系統之資料檔案，使用完竣且確認無保存必
        要，應簽報單位主管核定後，刪除資料檔案，並確認其資料檔
        案無法復原。
      3.儲存於可攜式媒體之資料檔案，使用完竣且確認無保存必要，
        應簽報單位主管核定後，辦理銷磁或銷毀作業。
    
八、僑外生資料運用之稽核作業，應依下列規定辦理 ：
 (一) 應用移民署僑外生資料相關日誌紀錄保存年限至少五年。
 (二) 內部稽核作業由使用單位辦理，每年進行二次，並留下稽核紀錄
      歸檔保留五年備查。
 (三) 移民署實施稽核作業時，管理單位及使用單位應配合提供資料及
      相關稽核作業，並依移民署要求完成必要之改善。
 (四) 本部應於本要點最近一次修正生效日之五年內，檢視規定內容之
      妥適性，並將檢視結果通知移民署。
    
九、對於經由移民署取得之僑外生資料，應妥善保管及利用，如有違反
    個資法規定致當事人權益受損、意圖營利或無故洩漏個人資料或有
    違法及重大不當行為等情事，本部應依個資法規定請相關單位負損
    害賠償責任。
    使用單位相關人員違法使用經由移民署取得之僑外生資料，致當事
    人權益受損，發生爭議、訴訟時，應依下列規定追究：
 (一) 本部相關人員應由本部依個資法相關規定，負損害賠償責任。如
      涉及行政責任，應由本部議處；其涉及刑事責任者，移送司法機
      關處理。
 (二) 使用單位應依個資法相關規定，負損害賠償責任。如涉及行政責
      任，應由各該機關（構）或學校議處；其涉及刑事責任者，移送
      司法機關處理。
 (三) 使用單位發生個資外洩或相關資安事件時，應立即通知管理單位
      並通報移民署協同處理。

十、本要點如有未盡事宜，應依個資法及內政部移民署各機關應用移民
    資訊連結作業及管理要點及資訊安全相關法令規定辦理。