防疫期間,單位如持有防疫個人資料,請遵循個人資料保護法及本校相關程序之規定落實辦理
主旨:各單位於防疫期間蒐集、處理、利用相關防疫個資時,請遵循中央流行疫情指揮中心「防疫個人資料稽核指引」、「個人資料保護法」及本校相關程序之規定落實辦理。
說明:
- 依據教育部111年08月10日臺教資(四)字第1110077085號函、嚴重特殊傳染性肺炎中央流行疫情指揮中心111年08月3日肺中指字第1114300137號函辦理。
- 嚴重特殊傳染性肺炎中央流行疫情指揮中心因疫情需求, 特訂定「防疫個人資料稽核指引」1份,請單位辦理有關防疫個資作業時,應遵循該指引及「實聯制措施指引」等規定辦理。
- 其中指引第五條規定:「各持有防疫個人資料之機關應每年自行辦理防疫個人資料稽核作業,......。」相關作業將納入本校年度個人資料保護內部稽核作業項目之一,以抽查方式辦理。
- 本案防疫個人資料意指「嚴重特殊傳染性肺炎(COVID-19)期間為防疫需要所蒐集、處理或利用之個人資料」,如實聯制措施、防疫相關問卷等系統所蒐集、處理或利用之個人資料。
- 蒐集方式得以紙本或電子方式為之,且應告知本校防疫期間個人資料蒐集聲明,並善盡資料安全維護義務,防止個人資料被竊取、竄改毀損滅失或洩漏。
- 如以資訊系統、APP或雲端資通服務(如Google 表單、Microsoft Forms 等問卷調查服務)涉及蒐集個人資料者,應進行資訊安全風險評估,採相符安全控制措施,確保系統安全防護水準,注意事項如下:
-
僅蒐集適當、相關且限於處理目的所必要之個人資料,處理及利用時,不得逾越特定目的之必要範圍,並應與蒐集之目的具有正當合理之關聯。
-
應注意檔案存取權限設定,應採最小權限原則,僅允許使用者依目的,指派任務所需之最小授權存取。
-
使用雲端資通服務者,應詳閱設定內容,不宜使用者共同編輯個人資料檔案清冊,並應注意避免設定允許顯示其他使用者作答內容(如Google 表單不應勾選「顯示摘要圖表和其他作答內容」),避免使用者能瀏覽其他使用者資料,造成個人資料外洩。公佈前應確實做好相關設定檢查,並實際操作測試,確認無誤後再行發布。
-
網路傳輸應採用網站安全傳輸通訊協定(HTTPS)加密傳輸,並使用TLS 1.2 以上版本傳輸。
-
如涉及蒐集個人資料保護法第6 條之個人資料或其他敏感個人資料,應以密碼保護之加密方式儲存、傳遞。
-
應訂定個人資料保存期限,並於期限或業務終止後將蒐集之個人資料予以刪除或銷毀,避免個人資料外洩。
- 單位辦理活動如有蒐集「快篩證明」、「疫苗施打紀錄」(如小黃卡)等醫療相關項目之必要,因其屬特種個資,須本人書面同意(依個資法第六條第1項第6款),提供本校個資同意書參考。
- 對於蒐集之防疫個人資料僅可保存28日,屆期即應依本校「個人資料管理程序」將個人資料予以刪除或銷毀,請務必填寫「個人資料刪除/銷毀/返還清冊」,並留存執行刪除或銷毀之項目及日期等軌跡紀錄。
- 檢附上述相關規範及表單,下載路徑如下:本校資通安全個資保護宣導網/個資保護/表單下載/