第 一 條 本辦法依個人資料保護法(以下簡稱本法)第二十七條第三項規定訂定之 。 第 二 條 本辦法之主管機關為教育部。 第 三 條 本辦法用詞,定義如下: 一、個人資料管理人:指由校長擔任或指定,負責督導個人資料檔案安全 維護計畫(以下簡稱安全維護計畫)訂定及執行之人員(以下簡稱管 理人)。 二、個人資料稽核人員:指由校長指定,負責評核安全維護計畫執行情形 及成效之人員(以下簡稱稽核人員)。 三、所屬人員:指執行業務之過程必須接觸個人資料之人員,包括定期或 不定期契約人員及派遣員工。 前項第一款管理人與第二款稽核人員,不得為同一人。 第 四 條 依海外臺灣學校設立及輔導辦法設立之海外臺灣學校及依大陸地區臺商學 校設立及輔導辦法設立之大陸地區臺商學校(以下簡稱境外臺校)應訂定 安全維護計畫,落實個人資料檔案之安全維護及管理,防止個人資料被竊 取、竄改、毀損、滅失或洩漏。 前項計畫,應包括業務終止後個人資料處理方法等相關個人資料管理事項 。 第 五 條 境外臺校訂定安全維護計畫時,應視其規模、保有個人資料之性質及數量 等事項,訂定適當之安全維護措施。 第 六 條 境外臺校應於本辦法發布施行之次日起一年內,完成安全維護計畫之訂定 ,並報主管機關備查。 第 七 條 境外臺校得指定或設管理單位,或指定專人,負責個人資料檔案安全維護 ;其任務如下: 一、訂定及執行安全維護計畫,包括業務終止後個人資料處理方法。 二、定期就個人資料檔案安全維護管理情形,向管理人提出書面報告。 三、依據稽核人員就安全維護計畫執行之評核,於進行檢討改進後,向管 理人及稽核人員提出書面報告。 第 八 條 境外臺校應確認蒐集個人資料之特定目的,依特定目的之必要性,界定所 蒐集、處理及利用個人資料之類別或範圍,並定期清查所保有之個人資料 現況。 境外臺校經定期檢視,發現有非屬特定目的必要範圍內之個人資料或特定 目的消失、期限屆滿而無保存必要者,應予刪除、銷毀或為其他停止蒐集 、處理或利用等適當之處置。 第 九 條 境外臺校於蒐集個人資料時,應檢視是否符合前條第一項所定之類別及範 圍。 境外臺校於傳輸個人資料時,應採取必要保護措施,避免洩漏。 第 十 條 境外臺校應依已界定個人資料之範圍與蒐集、處理及利用流程,分析評估 可能產生之風險,訂定適當之管控措施。 第 十一 條 境外臺校於蒐集個人資料時,應遵守本法第八條及第九條有關告知義務之 規定,並區分個人資料屬直接蒐集或間接蒐集,分別訂定告知方式、內容 及注意事項,要求所屬人員確實辦理。 第 十二 條 境外臺校依本法第二十條第一項規定利用個人資料為宣傳、推廣或行銷時 ,應明確告知當事人或其法定代理人其所屬之境外臺校及個人資料來源。 境外臺校於首次利用個人資料為宣傳、推廣或行銷時,應提供當事人或其 法定代理人表示拒絕接受宣傳、推廣或行銷之方式,並支付所需費用;當 事人或其法定代理人表示拒絕宣傳、推廣或行銷後,應立即停止利用其個 人資料宣傳、推廣或行銷,並周知所屬人員。 第 十三 條 境外臺校委託他人蒐集、處理或利用個人資料之全部或一部時,應依本法 施行細則第八條規定,對受託者為適當之監督,並明確約定相關監督事項 及方式。 第 十四 條 境外臺校於當事人行使本法第三條規定之權利時,得採取下列方式辦理: 一、提供聯絡窗口及聯絡方式。 二、確認是否為資料當事人之本人或其法定代理人,或經其委託。 三、有本法第十條但書、第十一條第二項但書或第三項但書得拒絕當事人 行使權利之事由,一併附理由通知當事人或其法定代理人。 四、告知是否酌收必要成本費用及其收費標準,並遵守本法第十三條處理 期限規定。 第 十五 條 境外臺校應訂定應變機制,在發生個人資料被竊取、洩露、竄改或其他侵 害事故時,迅速處理以保護當事人之權益。 前項應變機制,應包括下列事項: 一、採取適當之措施,控制事故對當事人造成之損害。 二、查明事故發生原因及損害狀況,並以適當方式通知當事人。 三、研議改進措施,避免事故再度發生。 境外臺校應自第一項事故發現之日起三日內,通報主管機關,並自處理結 束之日起一個月內,將處理方式及結果,報主管機關備查。 第 十六 條 境外臺校對所保有之個人資料檔案,應設置必要之安全設備及採取必要之 防護措施。 前項安全設備或防護措施應包括下列事項: 一、紙本資料檔案之安全保護設施及管理程序。 二、電子資料檔案存放之電腦或自動化機器相關設備,配置安全防護系統 或加密機制。 三、訂定紙本資料之銷毀程序;電腦、自動化機器或其他儲存媒介物需報 廢汰換或轉作其他用途時,應採取適當防範措施,避免洩漏個人資料 。 第 十七 條 境外臺校為確實保護個人資料之安全,應對其所屬人員採取下列措施: 一、依據業務作業需要,建立管理機制,設定所屬人員不同之權限,以控 管其接觸個人資料之情形,並定期確認權限內容之適當性及必要性。 二、檢視各相關業務之性質,規範個人資料蒐集、處理及利用等流程之負 責人員。 三、要求所屬人員妥善保管個人資料之儲存媒介物,並約定保管及保密義 務。 四、所屬人員離職時取消其識別碼,並應要求將執行業務所持有之個人資 料(包括紙本及儲存媒介物)辦理交接,不得攜離使用,並應簽訂保 密切結書。 第 十八 條 境外臺校應訂定個人資料檔案安全維護稽核機制,定期或不定期檢查安全 維護計畫之執行情形,並將檢查結果向管理人提出報告。 執行前項稽核之人員與第七條指定之專責人員,不得為同一人。 境外臺校應將第一項稽核機制,納入其內部控制及稽核項目中。 第 十九 條 境外臺校執行安全維護計畫各項程序及措施,至少應保存下列紀錄: 一、個人資料之交付及傳輸。 二、個人資料之維護、修正、刪除、銷毀及轉移。 三、提供當事人或其法定代理人行使之權利。 四、存取個人資料系統之紀錄。 五、備份及還原之測試。 六、所屬人員權限之異動。 七、所屬人員違反權限之行為。 八、因應事故發生所採取之措施。 九、定期檢查處理個人資料之資訊系統。 十、教育訓練。 十一、安全維護計畫稽核及改善措施之執行。 十二、業務終止後處理紀錄。 第 二十 條 境外臺校對於個人資料蒐集、處理及利用,應定期或不定期對其所屬人員 ,施以教育訓練或認知宣導,使其明瞭個人資料保護相關法令規定、責任 範圍、作業程序及應遵守之相關措施。 第 二十一 條 境外臺校業務終止後,其保有個人資料之處理方式及留存紀錄如下: 一、銷毀:銷毀之方法、時間、地點及證明銷毀之方式。 二、移轉:移轉之原因、對象、方法、時間、地點及受移轉對象得保有該 項個人資料之合法依據。 三、其他刪除、停止處理或利用個人資料:刪除、停止處理或利用之方法 、時間及地點。 第 二十二 條 境外臺校應參酌安全維護計畫執行狀況、技術發展、法令依據修正等因素 ,檢視所定安全維護計畫是否合宜,必要時應予以修正。 第 二十三 條 本辦法自發布日施行。