資安宣導

依教育部113年11月7日來函提醒:

• 學校為行政目的使用資通系統或雲端資通服務（如Google 表單、Microsoft Forms 等問卷調查服務）涉及蒐集個人資料者，應注意下列事項：
  • 資料蒐集最小化：僅蒐集適當、相關且限於處理目的所必要之個人資料，處理及利用時，不得逾越特定目的之必要範圍，並應與蒐集之目的具有正當合理之關聯。
  • 存取控制：應注意檔案存取權限設定，應採最小權限原則，僅允許使用者依目的，指派任務所需之最小授權存取。
  • 使用雲端資通服務者，應詳閱設定內容，不宜使用者共同編輯個人資料檔案清冊，並應注意避免設定允許顯示其他使用者作答內容（如Google 表單不應勾選「顯示摘要圖表和其他作答內容」），避免使用者能瀏覽其他使用者資料，造成個人資料外洩。公佈前應確實做好相關設定檢查，並實際操作測試，確認無誤後再行發布。
  • 傳輸之機密性：網路傳輸應採用網站安全傳輸通訊協定（HTTPS）加密傳輸，並使用TLS 1.2 以上版本傳輸。
  • 資料儲存安全：如涉及蒐集個人資料保護法第6 條之個人資料或其他敏感個人資料，應以加密方式儲存。
  • 應訂定個人資料保存期限，並於期限或業務終止後將蒐集之個人資料予以刪除或銷毀，避免個人資料外洩。

• 另提醒教職員工在處理個人資料時，應注意以下法規：

• • 依個人資料保護法第11條第3項「個人資料蒐集之特定目的消失或期限屆滿時，應主動或依當事人之請求，刪除、停止處理或利用該個人資料。」，當事人之影片應於作業批改完成後立即刪除並下架，並確保離線備份皆已刪除。
  • 依個人資料保護法第16條「公務機關對個人資料之利用，除第六條第一項所規定資料外，應於執行法定職務必要範圍內為之，並與蒐集之特定目的相符。」，僅蒐集適當、相關且限於處理目的所必要之個人資料，處理及利用時，不得逾越特定目的之必要範圍，並應與蒐集之目的具有正當合理之關聯。
  • 依個人資料保護法第28條第1項「公務機關違反個人資料保護法規定，致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者，負損害賠償責任。」，應注意當事人影片或其他個人資料是否正當使用及留存，以避免違反個人資料保護法之規定。

依教育部110年9月8日來函提醒 :

• 學校使用雲端資通服務(如Google表單等)蒐集個人資料時，可能因設定不當而增加個資外洩及資安風險，請各校使用資通系統或雲端資通服務蒐集教職員、學生及家長個人資料者，應注意旨揭事項，以「最小化」為原則，降低風險，並請各校主管機關加強宣導並督導所轄學校。

• 另提醒教職員工在處理個人資料時，應注意以下法規：

  • 個人資料保護法第28條第1項「公務機關違反個人資料保護法規定，致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者，負損害賠償責任。」

  • 個人資料保護法第41條第1項「違反個人資料保護法有關特種資料的蒐集、處理或利用規定，足生損害於他人者，處二年以下有期徒刑、拘役或科或併科新臺幣二十萬元以下罰金。」

近年來，偽冒公務、個人或公司行號等名義發送惡意郵件給同仁事件日益增加，為必免同仁誤點惡意郵件而中毒或造成資料外洩，敬請各單位訊息發佈人員，在發佈訊息時(特別是以個人帳號自行發送公告訊息)，請於信件標題確實註明單位名稱後再發佈，讓校內同仁可以作為基礎判別之條件。行政單位發佈訊息時請以行政1級為發佈單位，教學單位請以院或系為單位發佈。

發送公告時需注意是否有包含個資或機敏資訊，如有包含，請務必加密後傳輸。

依教育部114年6月20日來函提醒：

According to the Ministry of Education's letter dated June 20, 2025, please be reminded of the following:

• 請各單位在蒐集、處理及利用個人資料時，應依「個人資料保護法」相關規定辦理，相關宣導事項說明如下：

All departments must comply with the relevant provisions of the Personal Data Protection Act when collecting, processing, and using personal data. The following guidelines are provided for awareness and implementation:

• 應遵循最小化原則，僅蒐集執行業務所需之個人資料，並建立完善資料存取管理機制及處理流程，以確保個資安全。

The principle of data minimization must be followed. Only personal data necessary for business operations should be collected, and proper data access management mechanisms and processing procedures should be established to ensure the security of personal information.

• 蒐集個人資料時，應清楚告知當事人相關事項，包括：蒐集機關名稱、目的、資料類別、利用期間、地區、對象及方式，以及當事人可行使之權利及方式，並應取得當事人同意後才能蒐集。

When collecting personal data, individuals must be clearly informed of the following: the name of the collecting entity, the purpose of collection, categories of data, duration, location, recipients, and method of use, as well as the rights the data subject may exercise and how to exercise them. Data must only be collected after obtaining the individual's consent.

• 個人資料之蒐集、處理或利用，應尊重當事人權益，不得逾越特定目的之必要範圍，避免侵害隱私。

The collection, processing, or use of personal data must respect the rights of the data subjects, remain within the necessary scope of the specified purpose and avoid infringing on personal privacy.

• 當蒐集目的達成或使用期限到期時，應主動，或當事人要求，刪除或停止使用該資料。

Once the purpose of data collection has been fulfilled or the usage period has expired, the data should be deleted or its use discontinued, either proactively or upon request by the data subject.

• 如有違反「個人資料保護法」之情形，應必須主動或依當事人要求，停止並刪除相關資料。

In the event of any violation of the Personal Data Protection Act, relevant data must be promptly deleted or its use discontinued, either proactively or upon request by the data subject.

• 請各單位將個人資料保護相關注意事項位轉知學生會等組織，並提醒學生應重視並落實個人資料保護之重要性。

All departments are requested to communicate these personal data protection guidelines to student organizations such as their student association and remind students of the importance of respecting and implementing personal data protection.