資安宣導

依教育部113年11月7日來函提醒:

• 學校為行政目的使用資通系統或雲端資通服務（如Google 表單、Microsoft Forms 等問卷調查服務）涉及蒐集個人資料者，應注意下列事項：
  • 資料蒐集最小化：僅蒐集適當、相關且限於處理目的所必要之個人資料，處理及利用時，不得逾越特定目的之必要範圍，並應與蒐集之目的具有正當合理之關聯。
  • 存取控制：應注意檔案存取權限設定，應採最小權限原則，僅允許使用者依目的，指派任務所需之最小授權存取。
  • 使用雲端資通服務者，應詳閱設定內容，不宜使用者共同編輯個人資料檔案清冊，並應注意避免設定允許顯示其他使用者作答內容（如Google 表單不應勾選「顯示摘要圖表和其他作答內容」），避免使用者能瀏覽其他使用者資料，造成個人資料外洩。公佈前應確實做好相關設定檢查，並實際操作測試，確認無誤後再行發布。
  • 傳輸之機密性：網路傳輸應採用網站安全傳輸通訊協定（HTTPS）加密傳輸，並使用TLS 1.2 以上版本傳輸。
  • 資料儲存安全：如涉及蒐集個人資料保護法第6 條之個人資料或其他敏感個人資料，應以加密方式儲存。
  • 應訂定個人資料保存期限，並於期限或業務終止後將蒐集之個人資料予以刪除或銷毀，避免個人資料外洩。

• 另提醒教職員工在處理個人資料時，應注意以下法規：

• • 依個人資料保護法第11條第3項「個人資料蒐集之特定目的消失或期限屆滿時，應主動或依當事人之請求，刪除、停止處理或利用該個人資料。」，當事人之影片應於作業批改完成後立即刪除並下架，並確保離線備份皆已刪除。
  • 依個人資料保護法第16條「公務機關對個人資料之利用，除第六條第一項所規定資料外，應於執行法定職務必要範圍內為之，並與蒐集之特定目的相符。」，僅蒐集適當、相關且限於處理目的所必要之個人資料，處理及利用時，不得逾越特定目的之必要範圍，並應與蒐集之目的具有正當合理之關聯。
  • 依個人資料保護法第28條第1項「公務機關違反個人資料保護法規定，致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者，負損害賠償責任。」，應注意當事人影片或其他個人資料是否正當使用及留存，以避免違反個人資料保護法之規定。

依教育部110年9月8日來函提醒 :

• 學校使用雲端資通服務(如Google表單等)蒐集個人資料時，可能因設定不當而增加個資外洩及資安風險，請各校使用資通系統或雲端資通服務蒐集教職員、學生及家長個人資料者，應注意旨揭事項，以「最小化」為原則，降低風險，並請各校主管機關加強宣導並督導所轄學校。

• 另提醒教職員工在處理個人資料時，應注意以下法規：

  • 個人資料保護法第28條第1項「公務機關違反個人資料保護法規定，致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者，負損害賠償責任。」

  • 個人資料保護法第41條第1項「違反個人資料保護法有關特種資料的蒐集、處理或利用規定，足生損害於他人者，處二年以下有期徒刑、拘役或科或併科新臺幣二十萬元以下罰金。」

近年來，偽冒公務、個人或公司行號等名義發送惡意郵件給同仁事件日益增加，為必免同仁誤點惡意郵件而中毒或造成資料外洩，敬請各單位訊息發佈人員，在發佈訊息時(特別是以個人帳號自行發送公告訊息)，請於信件標題確實註明單位名稱後再發佈，讓校內同仁可以作為基礎判別之條件。行政單位發佈訊息時請以行政1級為發佈單位，教學單位請以院或系為單位發佈。

發送公告時需注意是否有包含個資或機敏資訊，如有包含，請務必加密後傳輸。