第　一　條           

　　　　　本辦法依個人資料保護法（以下簡稱本法）第二十七條第三項

　　　　　規定訂定之。

第　二　條           

　　　　　本辦法所稱主管機關，在中央為教育部；在直轄市為直轄市政

　　　　　府；在縣（市）為縣（市）政府。

第　三　條           

　　　　　短期補習班（以下簡稱補習班）應訂定個人資料檔案安全維護

　　　　　計畫（以下簡稱計畫），落實個人資料檔案之安全維護及管

　　　　　理，防止個人資料被竊取、竄改、毀損、滅失或洩漏。

          前項所稱補習班，指辦理補習及進修教育法第三條所定短期補

　　　　　習教育之機構，並經直轄市、縣（市）主管機關核准立案者。

第　四　條           

　　　　　補習班訂定計畫時，應視其規模、特性、保有個人資料之性質

　　　　　及數量等事項，訂定適當之安全維護措施。

第　五　條           

　　　　　補習班應於本辦法發布施行後六個月內，完成計畫之訂定。

          補習班應將訂定之計畫留班備查；直轄市、縣（市）主管機關

　　　　　得派員檢查。

第　六　條           

　　　　　補習班應指定專責人員，負責規劃、訂定、修正、執行計畫及

　　　　　業務終止後個人資料處理方法等相關事項，並定期向負責人提

　　　　　出報告。

第　七　條           

　　　　　補習班應確認蒐集個人資料之特定目的，依特定目的之必要

　　　　　性，界定所蒐集、處理及利用個人資料之類別或範圍，並定期

　　　　　清查所保有之個人資料現況。

          補習班經定期檢視，發現有非屬特定目的必要範圍內之個人資

　　　　　料或特定目的消失、期限屆滿而無保存必要者，應予刪除、銷

　　　　　毀或其他停止蒐集、處理或利用等適當之處置。

第　八　條           

　　　　　補習班於蒐集個人資料時，應檢視是否符合前條第一項所定之

　　　　　類別及範圍。

          補習班於傳輸個人資料時，應採取必要保護措施，避免洩漏。

第　九　條           

　　　　　補習班應依已界定個人資料之範圍與蒐集、處理及利用流程，

　　　　　分析評估可能發生之風險，訂定適當之管控措施。

第　十　條           

　　　　　補習班於蒐集個人資料時應遵守本法第八條及第九條有關告知

　　　　　義務之規定，並區分個人資料屬直接蒐集或間接蒐集，分別訂

　　　　　定告知方式、內容及注意事項，要求所屬人員確實辦理。

第  十一  條           

　　　　　補習班利用個人資料行銷時，應明確告知當事人其所屬補習班

　　　　　立案名稱及個人資料來源。

          補習班於首次利用個人資料行銷時，應提供當事人表示拒絕接

　　　　　受行銷之方式，並支付所需費用；當事人表示拒絕接受行銷

　　　　　者，應立即停止利用其個人資料，並周知所屬人員。

第  十二  條           

　　　　　補習班於當事人行使本法第三條規定之權利時，得採取下列方

　　　　　式辦理：

　　　　　一、提供聯絡窗口及聯絡方式。

　　　　　二、確認是否為資料當事人之本人，或經其委託。

　　　　　三、有本法第十條但書、第十一條第二項但書或第三項但書得

　　　　　　　拒絕當事人行使權利之事由，一併附理由通知當事人。

　　　　　四、告知是否酌收必要成本費用及其收費基準，並遵守本法第

　　　　　十三條處理期限規定。

第  十三  條          

　　　　　補習班應訂定應變機制，在發生個人資料被竊取、洩漏、竄改

　　　　　或其他侵害事故時，迅速處理以保護當事人之權益。

          前項應變機制，應包括下列事項：

　　　　　一、採取適當之措施，控制事故對當事人造成之損害。

　　　　　二、查明事故發生原因及損害狀況，並以適當方式通知當事　

　　　　　　　人。

　　　　　三、研議改進措施，避免事故再度發生。

第  十四  條           

　　　　　補習班對所保有之個人資料檔案，應設置必要之安全設備及採

　　　　　取必要之防護措施。

          前項安全設備或防護措施應包括下列事項：

　　　　　一、紙本資料檔案之安全保護設施及管理程序。

　　　　　二、電子資料檔案存放之電腦或自動化機器相關設備，配置安

　　　　　　　全防護系統或加密機制。

　　　　　三、訂定紙本資料之銷毀程序；電腦、自動化機器或其他儲存

　　　　　　　媒介物需報廢汰換或轉作其他用途時，應採取適當防範措

　　　　　　　施，避免洩漏個人資料。

第  十五  條           

　　　　　補習班為確實保護個人資料之安全，應對其所屬人員採取下列

　　　　　措施：

　　　　　一、依據業務作業需要，建立管理機制，設定所屬人員不同之

　　　　　　　權限，以控管其接觸個人資料之情形，並定期確認權限內

　　　　　　　容之適當性及必要性。

　　　　　二、檢視各相關業務之性質，規範個人資料蒐集、處理及利用

　　　　　　　等流程之負責人員。

　　　　　三、要求所屬人員妥善保管個人資料之儲存媒介物，並約定保

　　　　　　　管及保密義務。

　　　　　四、所屬人員離職時取消其識別碼，並應要求將執行業務所持

　　　　　　　有之個人資料（包括紙本及儲存媒介物）辦理交接，不得

　　　　　　　攜離使用，並應簽訂保密切結書。

第  十六  條           

　　　　　補習班應訂定個人資料檔案安全維護查核機制，定期或不定期

　　　　　檢查計畫之執行情形，並將檢查結果向負責人提出報告。

          前項查核人員與第六條指定之專責人員不得為同一人。

第  十七  條           

　　　　　補習班應採行適當措施，留存個人資料使用紀錄、自動化機器

　　　　　設備之軌跡資料或其他相關之證據資料，以供必要時說明其所

　　　　　定計畫之執行情況。

第  十八  條           

　　　　　補習班對於個人資料蒐集、處理及利用應符合本法第十九條及

　　　　　第二十條規定，並應定期或不定期對其所屬人員施以教育訓練

　　　　　或認知宣導，使其明瞭個人資料保護相關法令規定、責任範

　　　　　圍、作業程序及應遵守之相關措施。

第  十九  條           

　　　　　補習班業務終止後，其保有之個人資料之處理方式及留存紀錄

　　　　　如下：

　　　　　一、銷毀：銷毀之方法、時間、地點及證明銷毀之方式。

　　　　　二、移轉：移轉之原因、對象、方法、時間、地點及受移轉對

　　　　　　　象得保有該項個人資料之合法依據。

　　　　　三、刪除、停止處理或利用個人資料：刪除、停止處理或利用

　　　　　　　之方法、時間或地點。

          前項紀錄應至少留存五年。

第  二十  條           

　　　　　補習班應參酌計畫執行狀況、技術發展、法令依據修正等因

　　　　　素，檢視所定計畫是否合宜，必要時應予以修正。

第二十一條           

　　　　　本辦法自發布日施行。