國立臺灣戲曲學院個人資料保護管理政策

發行日期 : 106年10月 6日(版次 : 1.0)

 

1  目的

    國立臺灣戲曲學院（以下簡稱「本校」）為落實個人資料之保護及管理並符

合「個人資料保護法」之要求，特訂定個人資料保護管理政策（以下簡稱「本政

策」）。本校個人資料保護管理之目標如下：

1.1 依「個人資料保護法」、「個人資料保護法施行細則」與 BS10012要求，保

    護個人資料蒐集、處理、利用、儲存、傳輸、銷毀之過程。

1.2 為保護本校業務相關個人資料之安全，免於因外在威脅，或內部人員不當之

    管理與使用，致遭受竊取、竄改、毀損、滅失、或洩漏等風險。

1.3 提升對個人資料之保護與管理能力，降低營運風險，並創造可信賴之個人資

    料保護及隱私環境。

1.4 為提升同仁個人資料保護安全意識，每年定期辦理個人資料保護宣導教育訓

    練。

1.5 定期針對個人資料流程進行風險評鑑，鑑別可承受風險等級。

 

2  個人資料之蒐集與處理

       本校因營運所需取得或蒐集之包括但不限於個人之姓名、出生年月日、國民

   身分證統一編號（護照號碼）、特徵、指紋、婚姻、家庭、教育、職業等個人資

   料，應遵循我國個人資料保護法（以下簡稱個資法）等法令，不過度且符合目

   的、相關且適當並公平與合法地從事個人資料之蒐集與處理。

 

3  個人資料之利用及國際傳遞

   3.1 本校於利用個人資料時，除需依個資法之特定目的必要範圍內為之外，如需

       為特定目的以外之利用時，將依據個資法第十六條之規定辦理；倘有需取得

       用戶之書面同意之必要者，本校應依法取得用戶之書面同意。

   3.2 本校所蒐集、處理之個人資料，應遵循我國個資法及本校個資管理制度之規

       範，且個人資料之使用為本校營運或業務所需， 方可為本校承辦同仁利用。

   3.3 本校取得之個人資料，如有進行國際傳遞之必要者，定謹遵不違反國家重大

       利益、不以迂迴方法向第三國傳遞或利用個人資料規避個資法之規定等原則

       辦理，又，倘國際條約或協定有特別規定、或資料接受國對於個人資料之保

       護未有完善之法令致有損害當事人權益之虞者，本校將不進行國際傳遞，以

       維護個人資料之安全。

 

4  個人資料之調閱與異動

       當本校接獲個人資料調閱或異動之需求時，應依個資法及本校所訂之程序，

   於合法範圍內進行當事人之個人資料查詢或請求閱覽、請求製給複製本、請求補

   充或更正、請求停止蒐集、處理、利用、請求刪除。

 

5  個人資料之例外應用

   5.1 本校因業務上所擁有之個人資料負有保密義務，除當事人之要求查閱或有下

       列情形外，應符合個資法第十六條及相關法令規定，並以正式公文查詢外，

       本校不得對第三人揭露：

       5.1.1 司法機關、監察機關或警政機關因偵查犯罪或調查證據所需。

       5.1.2 其他政府機關因執行公權力並有正當理由所需者。

       5.1.3 與公眾生命安全有關之機關（構）為緊急救助所需者。

   5.2 本校對個人資料之利用，除個資法第六條第一項所規定資料外，應於蒐集之

       特定目的必要範圍內為之。但有下列情形之一者，得為特定目的外之利用：

       5.2.1 法律明文規定。

       5.2.2 為增進公共利益。

       5.2.3 為免除當事人之生命、身體、自由或財產上之危險。

       5.2.4 為防止他人權益之重大危害。

       5.2.5 公務機關或學術研究機構基於公共利益為統計或學術研究而有必要，

             且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事

             人。

       5.2.6 經當事人書面同意。

 

6  個人資料之保護

   6.1 本校已成立個人資料保護組織，明確定義相關人員之責任與義務。

   6.2 本校已建立與實施個人資料管理制度(PIMS)，以確認本政策之實行；全體員

       工及委外廠商應遵循個人資料管理制度（PIMS）之規範與要求，並定期審查

       PIMS之運作。

   6.3 為防止個人資料被竊取、竄改、毀損、滅失或洩漏，本校設置個資保護執行

       小組，統籌各項個資保護作業原則規劃事宜，由圖資中心主任擔任召集人，

       並依相關法令規定辦理個人資料檔案及個人資料清冊安全維護及更新事項。

   6.4 個人資料檔案應建立管理制度，分級分類管理，並針對接觸人員建立安全管

       理規範。

   6.5 為確保所有個人資料安全，應強化個人資料檔案資訊系統之存取安全，防止

       非法授權存取，維護個人資料之隱私性，應建立安全保護機制，並定期查核。

   6.6 個人資料檔案儲存於個人電腦者，應於該電腦設置可辨識身分之登入通行碼，

       並視業務及重要性，考量其他輔助安全措施。

   6.7 個人資料輸入、輸出、存取、更新、銷毀或分享等處理行為，應釐定使用範

       圍及調閱或存取權限。

   6.8 本校各單位如遇有個人資料檔案發生遭人惡意破壞、毀損或作業不慎等安全

       事件，應進行緊急因應措施，並依本校【個人資料保護緊急應變處理作業說

       明書】通報程序辦理。

   6.9 本校係以嚴密之措施、政策保護當事人之個人資料，包括本校之所有教職員

       工生，均受有完整之個資法及隱私權保護之教育訓練。倘有洩露個資之情事

       者，將依法追究其民事、刑事及行政責任。

   6.10本校之委外廠商或合作廠商與本校業務合作時，均應簽訂保密契約，使其充

       分瞭解個人資料保護之重要性及洩露個資之法律責任。倘有違反保密義務之

       情事者，將依法追究其民事及刑事責任。

 

7  利害關係人之參與及期許

       本校個人資料保護及管理決議事項應納入個人資料保護推動委員會報告，涉

   及重大決議之會議紀錄應提報主管機關（教育部）及利害關係人（如企業雇主、

   畢業校友、學生家長、本校教職員工生及其他與本校相關人士等），如有任何回

   饋事項，將列入下次推動委員會議之討論議題。

       為確保本校矯正預防措施之有效運作，應落實管理審查機制，本校每年至少

   舉行一次推動委員會議，並確實討論下列議題：

   7.1 來自 PIMS 使用者之回饋。

   7.2 由組織人員所辨識及提升之風險。

   7.3 稽核結果。

   7.4 程序審查及紀錄。

   7.5 資訊技術提升及替換之結果。

   7.6 來自主管機關評估後之正式要求。

   7.7 抱怨事件的處理。

   7.8 已發生之資安事故及資料外洩事件。

   7.9 控制措施持續改進之有效性評量。

 

8  個人資料保護政策之修正權

       本校之個人資料保護政策，每年定期或因時勢變遷或法令修正等事由，予以

   適當修訂，並陳個人資料保護推動委員會後，公告實施，修正時亦同。