https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

【從法規面解讀 7大產業如何遵循個資法】系列~~教育單位:公立私立適用條款不同

2013 / 08 / 09
朱瑞陽
【從法規面解讀 7大產業如何遵循個資法】系列~~教育單位:公立私立適用條款不同

避《個資法》 X大提醒家長別亂拆成績單


個人資料保護法上路後,曾經發生學校的榮譽榜成了「圈圈榜」的新聞,引起不少爭議,另外,前陣子各學校寄送期末考的成績單給學生,XX大學就刻意提醒家長,如果沒有經過孩子同意,最好別隨意拆閱,以免觸法。XX大學認為,學生都是滿18歲的成年人,成績單向來都是直接寄給他們,另學校也有提供網路查詢,只要家長得到孩子同意,取得帳號密碼也能上網查,若是親自到校或打電話來,校方會徵求其兒女同意才提供。(Ettoday東森新聞,2013/01/26)


針對本案例,就學校張貼榮譽榜一事,法務部認其係屬學校為達成教育或訓練行政目的,於其必要範圍內所為獎勵學生之行為,應符合新版個資法第16條、第20條利用規定,無需遮掩姓名,否則有違新版個資法第1條規定所稱「促進個人資料之合理利用」意旨(註1)。而學生成績單依新版個資法之特定目的及個人資料之類別,係屬教育、考選、技術或其他專業類別之學生記錄,應屬學生之個人資料,但家長拆閱學生成績單因係屬私生活目的之行為,與其職業或業務職掌無關,應屬自然人為單純個人或家庭活動之目的,而蒐集、處理或利用個人資料,不適用新版個資法之規定(新版個資法第51條)。

註1:法務部個人資料保護專區:http://pipa.moj.gov.tw/cp.asp?xItem=1253&ctNode=408&mp=1

各級教育機構為辦理招生、確定學籍、推展校務及管理學生等各項活動,經常保有各種類別的個人資料,例如:教職員人事資料、學生基本資料、家長聯絡方式、家庭狀況、班級成績資料、健康檢查結果、心理輔導檔案等。也因此,在舊個資法(也就是電腦處理個人資料保護法)施行的年代,便已將學校納入適用範圍內。

當時舊個資法的適用主體便已分成公務機關與非公務機關,而教育部也依據該法條第19條第3項、第20條第5項、第26條第2項規定,分別訂定私立學校及學術研究機構電腦處理個人資料管理辦法、短期補習班電腦處理個人資料管理辦法。因此,私立學校與短期補習班須依該辦法,向主管機關辦理登記並領得執照後,始能為個人資料之蒐集、電腦處理或國際傳遞與利用。

新版個資法上路後,廢除了上述登記執照制度,並修正為私立學校及學術研究機構製給個人資料複製本收費標準、短期補習班製給個人資料複製本收費標準,由於新版個資法仍將主體區分成公務機關與非公務機關,其適用條文有所不同,其中公立學校係由各級政府依法設置實施之教育機構,具有機關地位,應屬個資法所稱公務機關,而私立學校則屬個資法所稱之非公務機關。

 

教育機構個資遵循事項 公立私立不同

雖然各級教育機構應按其為公立或私立學校,分別適用新版個資法相關規定,然新版個資法中,仍有不論公立或私立學校均須遵循的事項,例如,個人資料直接或間接蒐集之告知義務(新版個資法第8條及第9條)、提供當事人行使查詢、閱覽、請求複本、補充或更正等權利之管道(新版個資法第10、11條)、個資事故發生後之通知義務(新版個資法第12條)。而前述之告知義務或通知義務,各級學校得以言詞、書面、電話、簡訊、電子郵件、傳真、電子文件或其他足以使當事人知悉或可得知悉之方式為之(新版個資法施行細則第16、22條)。

 

此外,各級公立學校就其保有個人資料,須指定專人辦理安全維護事項(新版個資法第18條)、應將保有及管理個人資料之項目彙整公開於電腦網站,或以其他適當方式供公眾查閱(新版個資法第17條)。如違反新版個資法,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,應負無過失之損害賠償責任,且適用國家賠償法之規定(新版個資法第28、31條)。

而私立學校就其保有之個人資料檔案,應採行適當安全維護措施(新版個資法第27條),且須接受中央目的事業主管機關或直轄市、縣(市)政府為執行資料檔案安全維護等所為之必要檢查(新版個資法第22條),如有違反新版個資法之情事時,中央目的事業主管機關或直轄市、縣(市)政府除可依法裁處罰鍰外,亦可對私立學校為禁止蒐集、處理及利用;命令刪除等處分(新版個資法第25、47、48條)。至於違反新版個資法,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,亦應負推定過失之損害賠償責任,適用民法之規定(新版個資法第29、31條)


教育部制定資通安全管理規範、個資基本應用原則

隨著IT技術普及,學校行政工作已有很多藉由網路與資訊系統完成,因此,教育部在民國96年制定教育體系資通安全管理,以教育體系為對象,設計出適合相關單位施行的管理規範。同時,為遵循以上管理規範及個人資料保護法等規定,教育部又制定了教育機構個人資料保護工作事項。

其中就學校機關個人資料的基本應用原則,即規範了限制蒐集、資料內容、目的明確化、限制使用、安全保護、公開、個人參與、責任義務等8大原則,並明定個人資料保護持續改善管理流程等,讓教育機構相關人員可以參考上述工作事項所規定的管理措施,或配合學校所制定規範,做好個資保護。

 

蒐集健檢報告 依法執行職務或履行義務

新版個資法第6條及施行細則第4條規定,健康檢查之個人資料屬性質較為特殊或具敏感性,如任意蒐集、處理或利用,恐會造成社會不安或對當事人造成難以彌補之傷害,原則上不得任意蒐集、處理或利用,惟有法律明文規定、公務機關執行法定職務或非公務機關履行法定義務所必要,且有適當安全維護措施、當事人自行公開或其他已合法公開之個人資料等情況,不在此限。但新版個資法第6條之施行日期,由行政院另行定之,故該條文目前暫緩實施。

惟依學校衛生法第8條第1項、第9條第1項之規定,學校應建立學生健康管理制度,定期辦理學生健康檢查,必要時,得辦理臨時健康檢查或特定疾病檢查。另應將學生健康檢查及疾病檢查結果載入學生資料,併隨學籍轉移。復依學生健康檢查實施辦法第4條第1項,學校辦理新生入學時,應進行學生健康基本資料調查,並做成記錄。學生健康基本資料應包括家族疾病史、個人疾病史、特殊疾病現況、預防注射紀錄及其他相關資料,因此,各級學校蒐集、處理學生之健康檢查資料,應屬公務機關執行法定職務,或非公務機關履行法定義務所必要,而得蒐集、處理之。 

 

本文刊載於《深入7大產業 解讀個資法》專刊,如有興趣,請來信詢問:isnews@newera.messefrankfurt.com,謝謝。


(本文作者現為國巨律師事務所律師)