「校園個資保護暨資訊安全應用研討會」2012年10月4日於逢甲大學舉行,本次會議邀請法界、學界及相關科技產業等專業人士,共同探討「個人資料保護法」施行後,校園資訊安全服務可能面臨的挑戰。
研討會首先由參與個資法草擬的台灣隱私權顧問協會劉佐國秘書長,以「個人資料保護法對校園的衝擊-學校如何面臨個資保護的新挑戰」為題,介紹個資法設立的目的、管理範疇,以及學校因應的措施等,快速建立與會者對於個資法的基本概念,其演講重點節錄如下:
1. 個資法立法目的
個資法立法的主要目的是避免人格權受侵害,促進個人資料之合理使用。民法195條明文規定人格權的內涵包含隱私權,套用美國聯邦大法官Louis Brandies的名言,隱私的定義就是「每個人有獨處不被干擾的權力」,也是隱私權的核心價值。一般學者將隱私權分成四類,包含身體隱私權、通訊隱私權、領域隱私權、及資訊隱私權,而個資法就是用以保護資訊隱私權。個人的資訊隱私權涵蓋層面有病歷資料、學籍資料、存款資料、兵役資料、出入境資料等,任何人對於自身相關資料,若無公益或法律特別規定,可由個人決定是否公開跟提供利用,在學界稱為「個人資料自決權」。
2. 新舊法的差異
個資法的前身是1995年制定的「電腦處理個人資料保護法」,新舊法的差異在於,舊法只適用在銀行業,電信業,醫院,學校,徵信業等特定行業,資料保護主體限定為經由電腦處理輸入的資料,不包含紙本資料;新法規範則以個人為主,資料保護主體則涵括電子與紙本兩種形式,增訂許多保護個資行為規範,強化政府行政監督,納入符合條件之民間團體一起參與個資保護,並提高罰則規定,包含民事、刑事及行政責任。
3. 利用個人資料的相關法規
要合法蒐集、處理、利用個人資料必須符合特定目的與具備法律要件,在必要範圍與誠信原則下進行,其中最重要的要素為法律明文規定;公務機關與非公務機關在個人資料蒐集、處理、利用的行為由不同法條進行規範,公立學校適用個資法15條公務機構條例,私立學校適用個資法19條非公務機關條例。個人資料的利用限用於原本蒐集的特定目的,以學校為例,學生資料適用於學校業務運作,若有關係到第三方,為特定目的外利用,例如:警方辦案、企業徵才等向學校索取學生資料,皆必須經由當事人同意較不會引起爭議。
4. 個資法的告知與通知義務
個資法第8條及第9條規範明定告知義務與通知義務,以學校的學生資料為例,除了當事人的基本資料,還包括父母姓名、聯絡電話等其他資料,雖不是直接蒐集,是透過學生間接蒐集到的資料,此狀況可以不用事先一一告知,可依個資法第9條規定,於處理或利用前,向當事人告知個人資料來源;若資料有外洩或錯誤,則必須通知曾提供利用之對象。若是違反此規範,主管機關會先請求限期改正,限期不改正則處以行政罰鍰。
5. 個資法的違法責任
民事責任最高可賠償到2億,刑事責任最高可處五年以下有期徒刑,行政責任則可處2萬至50萬元罰鍰,且代表人或管理人要一併受罰。
6. 學校的因應措施
學校應全面檢視所持有的個人資料檔案,依性質及用途予以分類處理,刪除不必要的資料;建置完整合法的資料蒐集、處理及利用的標準流程,且由專人負責;因應學校內部作業需求,內部傳輸學生資料需有控管機制,因應不同的業務需求,傳送必要資料,而非全部資料,尤其部份敏感資料,更需限定可取用人員;另外,定期辦理個資法的教育訓練與宣導,提高個資保護意識,防堵大量個資外洩發生,都是積極防範的措施。