教育部113年11月7日臺教資通字第1130105433號來文
- 學校在使用媒體網路影音平臺(如Youtube等)上傳作業時,可能因權限管理不當導致學生權利受到侵害,請各校使用媒體網路影音平臺請學生上傳作業者,應做好帳號及權限之管理,降低風險。
- 為了維護學生的基本權益,應加強宣導學生使用數位平臺之相關知能及素養,例如須注意隱私、分享等相關設定,降低資料非經當事人同意之使用行為風險;此外,教師使用數位平臺進行教學活動時,若課程所蒐集之學生作業或報告內含個資或隱私資訊者(如學生影音資料等),教師應妥為保管,並注意使用權限,於課程結束後,應做適當處置。
- 教職員工在處理個人資料時,應注意以下法規:
- 依個人資料保護法第11條第3項「個人資料蒐集之特定目的消失或期限屆滿時,應主動或依當事人之請求,刪除、停止處理或利用該個人資料。」,當事人之影片應於作業批改完成後立即刪除並下架,並確保離線備份皆已刪除。
- 依個人資料保護法第16條「公務機關對個人資料之利用,除第六條第一項所規定資料外,應於執行法定職務必要範圍內為之,並與蒐集之特定目的相符。」,僅蒐集適當、相關且限於處理目的所必要之個人資料,處理及利用時,不得逾越特定目的之必要範圍,並應與蒐集之目的具有正當合理之關聯。
依個人資料保護法第28條第1項「公務機關違反個人資料保護法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。」,應注意當事人影片或其他個人資料是否正當使用及留存,以避免違反個人資料保護法之規定。
學校使用資通系統或服務蒐集及使用個人資料注意事項
- 教育部為保護教職員、學生、家長之權益,特訂定學校使用資通系 統或服務蒐集及使用個人資料注意事項(以下簡稱本注意事項)。
- 各級學校為行政目的使用資通系統或服務蒐集教職員、學生、家長 之個人資料者,應遵循個人資料保護法相關規定並參酌本注意事項 辦理。但各直轄市、縣(市)政府另有規定者,其所轄學校從其規 定。
- 學校為行政目的使用資通系統或雲端資通服務(如 Google 表單、 Microsoft Forms 等問卷調查服務)涉及蒐集個人資料者,應注意 下列事項:
- 資料蒐集最小化:僅蒐集適當、相關且限於處理目的所必要 之個人資料,處理及利用時,不得逾越特定目的之必要範 圍,並應與蒐集之目的具有正當合理之關聯。
- 存取控制:應注意檔案存取權限設定,應採最小權限原則, 僅允許使用者依目的,指派任務所需之最小授權存取。
- 使用雲端資通服務者,應詳閱設定內容,不宜使用者共同編 輯個人資料檔案清冊,並應注意避免設定允許顯示其他使用 者作答內容(如 Google 表單不應勾選「顯示摘要圖表和其他 作答內容」),避免使用者能瀏覽其他使用者資料,造成個人 資料外洩。公佈前應確實做好相關設定檢查,並實際操作測 試,確認無誤後再行發布。
- 傳輸之機密性:網路傳輸應採用網站安全傳輸通訊協定(HTTPS)加密傳輸,並使用 TLS 1.2 以上版本傳輸。
- 資料儲存安全:如涉及蒐集個人資料保護法第 6 條之個人資 料或其他敏感個人資料,應以加密方式儲存。
- 應訂定個人資料保存期限,並於期限或業務終止後將蒐集之 個人資料予以刪除或銷毀,避免個人資料外洩。
- 各校或其主管機關得依本注意事項,訂定各校相關作業流程規定。