10. 本校「網站公告內容審查暨電子表單個資蒐集管理辦法」

國立南科國際實驗高級中學網站公告內容審查暨電子表單個人資料蒐集管理辦法

一、    依據教育部110年8月19日臺教資(四)字第1100101220A號函辦理。

二、    依據教育部國民及學前教育署110年9月22日臺教國署秘字第1100116858號函辦理。

三、    個資法所定義的個人資料，是指自然人的姓名、出生年月日、國民身分證統一編碼、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動，以及其他得以間接或直接識別該個人的資料。

四、    為促進個人資料之合理利用，請各單位於網站（頁）公告發布之內容前，請各單位發佈人確實依本校「國立南科國際實驗高級中學網站公告個資檢核表」檢視每次規劃發布之網站公告是否涉及個人資料，以避免發生個人資料外洩之情事。如違反「個人資料保護法及相關法令」之規定，致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者，則各單位發佈人應負相關之損害賠償責任。

五、    各單位如為行政目的使用資通系統或雲端資通服務（如 Google 表單、Microsoft Forms 等問卷調查服務）涉及蒐集個人資料者，應注意下列事項：

（一）資料蒐集最小化：僅蒐集適當、相關且限於處理目的所必要之個人資料，處理及利用時，不得逾越特定目的之必要範圍，並應與蒐集之目的具有正當合理之關聯。

（二）存取控制：應注意檔案存取權限設定，應採最小權限原則，僅允許使用者依目的，指派任務所需之最小授權存取。

（三）使用雲端資通服務者，應詳閱設定內容，不宜使用者共同編輯個人資料檔案清冊，並應注意避免設定允許顯示其他使用者作答內容（如 Google 表單不應勾選「顯示摘要圖表和其他作答內容」），避免使用者能瀏覽其他使用者資料，造成個人資料外洩。公佈前應確實做好相關設定檢查，並實際操作測試，確認無誤後再行發布。

（四）傳輸之機密性：網路傳輸應採用網站安全傳輸通訊協定（HTTPS）加密傳輸，並使用 TLS 1.2 以上版本傳輸。

（五）資料儲存安全：如涉及蒐集個人資料保護法第 6 條之個人資料或其他敏感個人資料，應以加密方式儲存。

（六）應訂定個人資料保存期限，並於期限或業務終止後將蒐集之個人資料予以刪除或銷毀，避免個人資料外洩。

（七）資料的蒐集必須符合個資法第二章第15條至第18條之相關規定。

六、    如發生個人資料外洩時，請立即通知本校資訊室，依「臺灣學術網路各級學校資通安全通報應變作業程序」規定，於知悉後1小時內至臺灣學術網路危機處理中心(網址: https://info.cert.tanet.edu.tw/prog/index.php)完成資通安全事件通報，各單位發佈人儘速將資料下架，並到各大蒐尋引擎申請暫存頁之移除。

七、    各單位發佈人在處理個人資料時，應注意以下法規：

（一）    個人資料保護法第28條第1項「公務機關違反個人資料保護法規定，致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者，負損害賠償責任。」

（二）    個人資料保護法第41條第1項「違反個人資料保護法有關特種資料的蒐集、處理或利用規定，足生損害於他人者，處二年以下有期徒刑、拘役或科或併科新臺幣二十萬元以下罰金。」

八、    詳細「個人資料保護法及相關法令」請參閱法務部公告
https://law.moj.gov.tw/LawClass/LawAll.aspx?PCode=I0050021
 

國立南科國際實驗高級中學網站公告個資檢核表

檢查結果	檢查項目
是□ 否□	公告內容包含自然人的姓名、出生年月日、國民身分證統一編碼、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動，以及其他得以間接或直接識別該個人的資料。
是□ 否□	除正向鼓勵性的公告類型可公告全名外，其餘公告中含有姓名欄位已對第二個字進行遮罩。例：劉Ｏ炫。
是□ 否□	公告中含有電話號碼，已把末4碼進行遮罩。 例：093182OOOO
是□ 否□	公告中含有身份證或護照欄位，已把末4碼進行遮罩。 例：A123475OOOO
是□ 否□	公告中含有生日資料，已遮罩民國年末一碼及西元年末二碼及月、日。 例：「民國 7〇年〇〇月〇〇日」 或「西元 20〇〇年〇〇月〇〇日」
是□ 否□	公告中含有地址時已做到「留縣、市及鄉、鎮、區、路、段，其餘進行遮罩。」 例：臺北市中正區羅斯福路四段〇巷〇弄〇號〇樓。

公告主旨：

公告日期：

公告人：　　　　　　　　       　單位主管：