最新消息
【活動報導】「個人資料保護法實務探討」~NII產業發展協進會鍾欣紘法務專員闡述校園內常見的個資保護規定與案例
【活動報導】「個人資料保護法實務探討」~NII產業發展協進會鍾欣紘法務專員闡述校園內常見的個資保護規定與案例
教師發展中心 黃坤堆
在現今數位時代中,個資的保護是一項十分受到重視的權利,為宣導個人資料保護之重要性,本校教師發展中心定期舉辦「個人資料保護法教育課程」,用以增進全校教職員對此議題的認知與避免誤觸相關規定。
「個人資料保護涉及的相關法律問題」以及「未成年人個資保護」,是校園中常見的重要議題與實務,因此,本次教育課程特別邀請財團法人中華民國國家資訊基本建設產業發展協進會( NII ) 鍾欣紘法務專員蒞校演講,闡述校園內常見的個資保護相關規範以及案例。
NII產業發展協進會於1996年正式成立,設立宗旨在於透過研究成果與實際參與的經驗,提供產官學界在因應資通訊網路科技衝擊時所需的諮詢顧問服務,包含「資訊安全」、「個資保護」、「IT服務管理」以及「雲端安全」等領域。
鍾欣紘法務專員目前任職於NII產業發展協進會資訊風險管理組,專長領域在於個人資料保護法、資通安全管理法、智慧財產權法等,擔任教育訓練課程講師的經驗十分豐富。
「在座的各位都是個資法所要保護的對象,個資在外面流浪可能會造成許多的困擾」鍾專員開宗明義地點出個資保護的重要性。他指出,個資法立法目的在於「避免個人資料在蒐集、處理、利用過程中造成人格權受侵害,並促進個人資料之合理利用」,同時應服膺「個人資料之蒐集、處理或利用,應尊重當事人之權益,依誠實及信用方法為之,不得逾越特定目的之必要範圍,並應與蒐集之目的具有正當合理之關聯。」這個重要原則。
鍾專員提到,個資的「蒐集」泛指以任何方式取得個人資料的行為,個資「處理」的意涵為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送等,個資的「利用」意即將蒐集之個人資料為處理以外之使用。「個人資料」包含自然人之姓名、出生年月日、…健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。個資法第二條第一款明文規定:「自然人,包含外國人,不包含法人」,因此,法人不在個資保護的範圍內。
他特別指出,個人資料有做分級,其中個資法第六條所稱之「特種個資」,立法者基於其特殊性,特別將其拉出來做比較高程度的保護,諸如病歷、醫療、健康檢查、基因、性生活、犯罪前科等都算。例如在「台大潑酸案」當中,當時衛福部與北市家暴中心在第一時間對外披露當事人的同志身分與服務過程,很顯然就是披漏了他人的特種個資。
學校在使用個資上應注意那些重要的原則呢?鍾專員提到,「私立學校屬非公務機關」,對於個人資料之蒐集或處理,除個資法第六條第一項所規定資料外,應有特定目的,並符合下列情形之一者:
一、法律明文規定
二、與當事人有契約或類似契約之關係,且已採取適當之安全措施
三、當事人自行公開或其他已合法公開之個人資料
四、學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過 提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人
五、為增進公共利益所必要
六、經當事人同意
七、個人資料取自於一般可得之來源。但當事人對該資料之禁止處理或利用,顯有更值得保護之重大利益者,不在此限
八、對當事人權益無侵害
然而,個資的使用在獲得當事人同意後並非無所限制,個資當事人仍保有事後控制權的「當事人權利」,包含請求補充或更正、請求刪除、拒絕接受行銷等。例如個人資料蒐集之特定目的消失或期限屆滿時,應主動或依當事人之請求,刪除、停止處理或利用該個人資料。但因執行職務或業務所必須或經當事人書面同意者,不在此限。或者非公務機關利用個人資料行銷者,當事人表示拒絕接受行銷時,應即停止利用其個人資料行銷。
鍾專員特別以「學生輔導紀錄的保存期限及特定目的」來說明,所謂學生輔導資料包括學生智力、性向、人格等測驗之實施,學生興趣成就及志願之調查、輔導及諮商資料,依據的專法為「學生輔導法」。有關學生輔導紀錄之保存期限,依個資法第九條第二項所定學生輔導資料,學校得以書面或電子儲存媒體資料保存之,並應自學生畢業或離校後保存十年。已逾保存年限之學生輔導資料,學校應定期銷毀,並以每年一次為原則。學生輔導資料之特定目的包含保健醫療服務、教育或訓練行政以及學生(員)(含畢、結業生)資料管理等。
由此觀之,配合檢察機關偵辦刑事案件而提供學生個人資料,是否符合個人資料保護法呢?鍾專員引用校園案例指出,依檢察機關來函所述係為「教育與訓練行政」及「學生(含畢業生)資料管理」而蒐集,故提供予檢察機關實施偵查,屬於特定目的外之利用。檢察機關代表國家進行犯罪之偵查與訴追,俾維護社會秩序及法律保護之公共利益,本件該校為唯一保有該等偵查關鍵線索之非公務機關,檢察機關別無他法取得。是以,該校為協助檢察機關偵查犯罪之需要而提供該等個人資料,自符合個資法第 20 條「為增進公共利益所必要」,至提供之範圍則依檢察機關偵查案件必要範圍而定。
在「未成年人之個人資料」使用上,例如父母係未成年子女之法定代理人,得行使同意權以補充其能力之不足,也得行使代理權,逕行代為法律行為。故其代理未成年子女依個資法規定,向學校查詢該未成年子女之在校出缺勤狀況資料,應無違反個資法之虞。
最後,鍾專員特別列舉校園中常見的個資議題來提醒教職員應注意的事項,如系辦(助教)將新入學學生之個人資料提供給系學會是否符合個資法?他指出,系學會並非校內組織,故系辦公室提供個人資料予系學會,應屬個人資料之利用,而非僅為內部傳送之處理。倘若個人資料於蒐集時,利用之特定目的並未包含將個人資料交付系學會使用,除符合個資法第16條規定之各款例外情況外,該利用行為即屬違法。故建議於提供予系學會前,依個資法第16條第7款規定,先取得當事人之同意,始符合個資法之規定。
抑或老師們常遇到的問題「大學教授將學生成績公布於學習平台或社群網站是否符合個資法?」,他認為,授課教師將學生成績資料與學生學號為連結後公布於學習網站、社群網站社團,依個資法施行細則第3條規定,該成績與學生學號結合後,已得識別特定之學生,屬於間接識別個人資料。故不具備必要性;且因公告學生成績,可能造成惡性競爭,或斲傷學生學習興趣與動機,而影響當事人權益。因此,他認為學校不宜公開學生之成績資料於學習平台或社群網站。
中國醫藥大學校園新聞:https://www.cmu.edu.tw/news_detail.php?id=4348
活動照片:
1.教師發展中心梁文敏主任致歡迎詞與介紹講者
2.NII產業發展協進會鍾欣紘法務專員闡述校園內常見的個資保護相關規範以及案例
3.當日研習實況
4.當日研習實況
5.與會教職員踴躍提問
6.梁主任代表致贈禮品與感謝狀
相關附件: 沒有附件