Presentation is loading. Please wait.

Presentation is loading. Please wait.

教育局資安課程 戒慎恐懼-談公務上的資安認知.

Similar presentations


Presentation on theme: "教育局資安課程 戒慎恐懼-談公務上的資安認知."— Presentation transcript:

1 教育局資安課程 戒慎恐懼-談公務上的資安認知

2 Agenda 前言        情境式分析     個資法簡介     法務部函釋     安全使用資訊   

3 前言        情境式分析     個資法簡介     法務部函釋     安全使用資訊   

4 個人資料保護法訂定的損害賠償(節錄) 公務機關違反本法規定,致個人資料遭不法蒐集、處理、 利用或其他侵害當事人權利者,負損害賠償責任…如被害 人不易或不能證明其實際損害額時,得請求法院依侵害情 節,以每人每一事件新臺幣五百元以上二萬 元以下計算。 對於同一原因事實造成多數當事人權利受侵害之事件,經 當事人請求損害賠償者,其合計最高總額以新臺 幣二億元為限。但因該原因事實所涉利益超過新 臺幣二億元者,以該所涉利益為限。…(§28)

5 個人資料保護法訂定的罰則(節錄) 違反第六條第一項、第十五條、第十六條、第十九條、第 二十條第一項規定,或中央目的事業主管機關依第二十一 條限制國際傳輸之命令或處分,足生損害於他人者,處 二年以下有期徒刑、拘役或科或併科新臺 幣二十萬元以下罰金。(§41) 意圖營利犯前項之罪者,處五年以下有期徒刑, 得併科新臺幣一百萬元以下罰金。(§41) 公務員假借職務上之權力、機會或方法,犯本章之罪者, 加重其刑至二分之一。(§44)

6 公告時請務必確認附件是否正確 搜尋引擎可解析的檔案格式愈來愈多 Excel文件的(1)隱藏功能(2)工作表 資料只要不小心上了網
就很難全數回收!

7 前言        情境式分析     個資法簡介     法務部函釋     安全使用資訊   

8 身分證第一碼 VS 戶籍住址 資料隱蔽是否有效? 姓名 性別 身分證字號 戶籍地址 陳小明 男 XXX3456789 臺北市XXXXXXX
王小英 XXX 臺中市XXXXXXX 吳小華 XXX 基隆市XXXXXXX 第一碼代表出生地 A 臺北市 B 臺中市 C基隆市 第二碼代表性別 1 男 2 女 資料隱蔽是否有效?

9 信用卡種類 VS 信用卡前置碼 資料是否無法反推? 姓名 信用卡類別 信用卡號 陳小明 花旗銀行○○卡
XXXX-XX 王小英 富國銀行○○卡 XXXX-XX 吳小華 美國運通○○卡 XXXX-X 客戶姓名:陳小明( ) 會員編號:A12345 收件住址:臺中市豐原區陽明街36號 商名名稱:數位相機(金色) 發票號碼:SE 付款方式:花旗銀行○○卡      XXXX-XX 資料是否無法反推?

10 止不了的好康-抽獎活動 當獎抽完了,您的資料被…

11 巨細靡遺的物管服務 某大眾運輸舊購票系統要填中文姓名、英文姓名、 身分證號、住家地址、手機、住家電話、公司電 話、電子郵件、出生年月日…
某大眾運輸舊購票系統要填中文姓名、英文姓名、 身分證號、住家地址、手機、住家電話、公司電 話、電子郵件、出生年月日… 哪些資料的收集是合理收集?

12 永無止盡的客戶服務 信用卡停用後仍然接到服務電話? 特定目的或期限屆滿時,應主動 依當事人要求刪除個人資料。 您好, 我們是XX貸款

13 公司權益 VS 員工隱私 求職時調查犯罪紀錄、健康紀錄… 特種個人資料,除第六條所定情 形外,不得蒐集、處理或利用。 我沒有犯罪紀錄…
我的身高… 體重… 三圍…

14 前言        情境式分析     個資法簡介     法務部函釋     安全使用資訊   

15 個資法已悄悄地影響我們的生活 以往的傳單 收件人:真實姓名 現在的傳單 收件人:貴住戶、貴家長… 為什麼有這樣的改變?

16 個人資料保護法 共六章 56條 第一章 總則(第1條至第14條) 第二章 公務機關對個人資料之蒐集、處理及利用(第 15條至第18條)
第三章 非公務機關對個人資料之蒐集、處理及利用 (第19條至第27條) 第四章 損害賠償及團體訴訟(第28條至第40條) 第五章 罰則(第41條至第50條) 第六章 附則(第51條至第56條) 立法精神 行為規範

17 立法目的與精神 第一條: 個資法之立法目的: 尋求個人資料隱私權 與資料合理使用間之 平衡。
為規範個人資料之蒐集、處理及利用,以避免人格權 受侵害,並促進個人資料之合理利用,特制定本法。 個資法之立法目的: 尋求個人資料隱私權 與資料合理使用間之 平衡。

18 法令比較 – 第一條 個人資料保護法所規範的個人資 料並不限於電子資料。 電腦處理個人資料保護法 第一條 個人資料保護法
為規範電腦處理個人資料, 以避免人格權受侵害,並促 進個人資料之合理利用,特 制定本法。 為規範個人資料之蒐集、處 理及利用,以避免人格權受 侵害,並促進個人資料之合 理利用,特制定本法。 個人資料保護法所規範的個人資 料並不限於電子資料。

19 新法修正重點 - 1 擴大適用主體:(八類行業→各行各業及個人) 擴大保護客體:(電子個資→各種個資)
現行法:公務機關(依法行使公權力之中央或地方機關)      非公機關(醫院、學校、電信業、金融業、證券業、保      險業、大眾傳播業、徵信業等八類行業) 新 法:打破行業別限制,包括各行各業及個人。 受委託蒐集、處理或利用個人資料者,視同委託機關。 擴大保護客體:(電子個資→各種個資) 現行法:使用電腦或類似設備處理之個人資料檔案。  蒐 集:為建立個人資料檔案而取得個人資料。 新 法:以任何方式(包括紙本)留存的資料。  蒐 集:以任何方式取得個人資料。 個 人:生存之特定或得特定之自然人。

20 新法修正重點 - 2 增訂告知義務:(蒐集須告知) 直接蒐集及間接蒐集之告知義務。 資料違法(個資法)外洩之通知義務。
本法修正施行前非由當事人提供之個人資料,應自本法修正施 行之日起1年內完成告知,逾期未告知而處理或利用者,以違 反第9條規定論處。 當事人拒絕行銷之權利。 資料違法(個資法)外洩之通知義務。

21 新法修正重點 - 3 調整賠償義務及罰則:(加重罰則) 民事賠償:新臺幣2千萬→2億元。 刑事處罰:新臺幣5萬元→100萬元。
有期徒刑:3年以下→5年以下。 意圖營利犯罪者,非告訴乃論。 行政處罰:新臺幣10萬元→50萬元。 主管機關並為下列處分: 禁止蒐集、處理或利用個人資料。 命令刪除經處理之個人資料檔案。 沒入或命令銷毁違法蒐集之個人資料。 公布違法情形及其姓名或名稱與負責人。

22 其他法律-民法(人格權) 第18條:「人格權受侵害時,得請求法院除去其侵害;有 受侵害之虞時,得請求防止之。前項情形,以法律有特別 規定者為限,得請求損害賠償或慰撫金。」 第195條第1項:「不法侵害他人之身體、健康、名譽、 自由、信用、隱私、貞操,或不法侵害其他人格法益而情 節重大者,被害人雖非財產上之損害,亦得請求賠償相當 之金額,其名譽被侵害者,並得請求回復名譽之適當處 分。」 被告因人員業務處理疏失,將原告個人之姓名、地址、電 話、手機、電子信箱無端附加於購票確認系統回覆之電子 郵件,公開揭示於與原告購買套票目的無關之第三人,對 原告之隱私權自屬侵害無誤。(臺北地院97年度訴字第 1683號判決)

23 其他法律-刑法(妨害秘密罪) 第315條:「無故開拆或隱匿他人之封緘信函、文書或圖 畫者,處拘役或三千元以下罰金。無故以開拆以外之方法, 窺視其內容者,亦同。」 第315-1條:「無故利用工具或設備窺視、竊聽他人非公 開之活動、言論、談話或身體隱私部位,或無故以錄音、 照相、錄影或電磁紀錄竊錄他人非公開之活動、言論、談 話或身體隱私部位者,處三年以下有期徒刑、拘役或三萬 元以下罰金。」 第318-1條:「無故洩漏因利用電腦或其他相關設備知悉 或持他人之秘密者,處二年以下有期徒刑、拘役或五千元 以下罰金。」

24 其他法律-通訊保障及監察法(秘密通訊自由)
第19條第1項:「違反本法或其他法律之規定監察他人通 訊或洩漏、提供、使用監察通訊所得之資料者,負損害賠 償責任。」 第24條第1項:「違法監察他人通訊者,處五年以下有期 徒刑。」 第25條第1項:「明知為違法監察通訊所得之資料,而無 故洩漏或交付之者,處三年以下有期徒刑。」 第13條第1項規定:「通訊監察以截收、監聽、錄音、錄 影、攝影、開拆、檢查、影印或其他類似之必要方法為之。 但不得於私人住宅裝置竊聽器、錄影設備或其他監察器 材。」

25 個人資料之定義 - 1 但查詢困難、需耗時過鉅或耗時過 久始能特定者,不在此限。
現行法:自然人之姓名、出生年月日、身分證統一編號、 特徵、指紋、婚姻、家庭、教育、職業、健康、病歷、財 務情況、社會活動及其他足資識別該個人之資料。 新 法:自然人之姓名、出生年月日、國民身分證統一編 號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、 病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡 方式、財務情況、社會活動及其他得以直接或間接方式識 別該個人之資料。 但查詢困難、需耗時過鉅或耗時過 久始能特定者,不在此限。 前面是舉例,重點是「得以直接或 間接方式識別該個人之資料」。

26 個人資料之定義 - 2 將護照號碼、醫療、基因、性生活、健康檢查、 犯罪前科、聯絡方式等列入個人資料範圍。
將護照號碼、醫療、基因、性生活、健康檢查、 犯罪前科、聯絡方式等列入個人資料範圍。 特種個人資料,包括醫療、基因、性生活、健康 檢查、犯罪前科: 除第6條所定情形外,不得蒐集、處理或利用。 將個人資料的判斷標準改為「得以直接或間接方 式識別該個人之資料」: 即便未指名道姓,只要揭露,即足以識別為某一特定 人之資料,即有本法之適用。

27 個人資料之定義 – 電話號碼 電話門號如未與申請人或使用人之姓名作連結, 該門號僅係電話通訊線路之識別代碼,尚不足資 識別該自然人為何人時,自不屬本法所稱之個人 資料。 另如該電話門號係由公司或法人名義申請,由於 非屬自然人之個人資料,則根本與本法無涉。 如電信公司僅提供電話門號資料,並未揭露該門 號申請人或使用人之姓名,由於未達足資識別特 定當事人之程度,自無本法之適用問題。  (法務部96年06月21日法律字第 號)

28 個人資料之定義 – 車牌號碼 車輛之車牌號碼,並無法識別該車輛所屬之個人 資料,非屬於本法所稱之個人資料。
車輛之車牌號碼,並無法識別該車輛所屬之個人 資料,非屬於本法所稱之個人資料。  (法務部96年07月03日法律字第 號)

29 蒐集、處理及利用行為 - 1 蒐集:以任何方式取得個人資料。
直接向當事人蒐集。 間接從第三人取得,包括向他人購買名單。 處理:為建立或利用個人資料檔案所為資料之記 錄、輸入、儲存、編輯、更正、複製、檢索、刪 除、輸出、連結或內部傳送。 內部傳送: 公務機關將資料傳送給國外辦事處, 校本部將資料傳送給分部, 總公司將資料傳送給分公司。 

30 蒐集、處理及利用行為 - 2 利用:將蒐集之個人資料為處理以外之使用。 國際傳輸:將個人資料作跨國(境)之處理或利 用。
直接向當事人使用其個人資料,例如對當事人從事行 銷。 將資料提供當事人以外之第三人。 國際傳輸:將個人資料作跨國(境)之處理或利 用。 向大陸地區傳輸個人資料。  (法務部94年08月26日法律字第 號) 外國在臺分公司將客戶資料傳遞予外國總公司。  (法務部90年04月27日法律決字第014746號)

31 特定目的(1) ○○一 人身保險業務 (依保險法令規定辦理之 人身保險相關業務) ○○二 人事行政管理 ○○三 土地行政
○○一 人身保險業務 (依保險法令規定辦理之 人身保險相關業務) ○○二 人事行政管理 ○○三 土地行政 ○○四 公立與私立慈善機構之目標 ○○五 公共衛生 ○○六 公共關係 ○○七 火災預防與控制 ○○八 戶政及戶口管理 ○○九 不動產服務 ○一○ 公職人員財產申報業務 ○一一 立法或立法諮詢 ○一二 民政 ○一三 代理與仲介之管理 ○一四 犯罪預防、刑事偵查、執行、矯正、 保護處分或更生保護事務 ○一五 外匯管理 ○一六 生態保育 ○一七 合法性審計 ○一八 交通運輸 ○一九 刑案資料管理 ○二○ 存款與匯款業務管理 ○二一 行銷 (不包括直銷至個人) ○二二 行銷 (包括直銷至個人) ○二三 有價證券之承銷、自營買賣或代客買 賣業務管理 ○二四 有價證券與有價證券持有人登記 ○二五 住宅政策

32 特定目的(2) ○二六 兵役行政 ○二七 社會行政 ○二八 社會服務或社會工作 ○二九 投資管理 ○三○ 供水與排水服務 ○三一 科技管理
○三二 法律服務 ○三三 法院執行業務 ○三四 法院審判業務 ○三五 放射性廢棄物收集與處理 ○三六 金融監理 ○三七 客戶管理 ○三八 信用卡或轉帳卡之管理 ○三九 訂位、住宿登記與購票事項 ○四○ 政府福利金或救濟金給付行政 ○四一 信託業務管理 ○四二 計畫與管制考核 ○四三 退撫基金或退休金管理 ○四四 保險監理 ○四五 個人資料之交易 ○四六 捐供血服務 ○四七 畜牧行政、管理 ○四八 財產保險業務 (依保險法令規定辦理之 財產保險相關業務) ○四九 財產管理 ○五○ 借款戶與存款戶存借作業綜合管理 ○五一 消費者保護與交易準則 ○五二 核貸與授信業務

33 特定目的(3) ○五三 教育或訓練行政 ○五四 授信業務管理 ○五五 國稅與地方稅稽徵 ○五六 商業與技術資訊 ○五七 票據交換管理
○五八 採購與供應管理 ○五九 救護車服務 ○六○ 統計調查與分析 ○六一 就業安置、規劃與管理 ○六二 著作權行政 ○六三 會計與相關服務 ○六四 電信監理業務 ○六五 資訊與資料庫管理 ○六六 會員 (籍) 管理 (含會員指派之代表) ○六七 農產品交易 ○六八 農產品推廣資訊 ○六九 募款 ○七○ 發照與登記 ○七一 傳播行政與管理 ○七二 華僑資料管理 ○七三 經營郵政業務郵政儲匯保險業務 ○七四 經營電信業務與電信加值網路業務 ○七五 債權整貼現及收買 ○七六 漁業行政、管理 ○七七 僱用服務管理 ○七八 輔助性與後勤支援

34 特定目的(4) ○七九 學生資料管理 ○八○ 徵信 ○八一 學術研究 ○八二 選舉、罷免事務 ○八三 衛生行政 ○八四 營建業之行政管理
○八五 輻射公害 ○八六 輻射防護 ○八七 環境保護 ○八八 糧食行政、管理 ○八九 保健醫療服務 ○九○ 警政 ○九一 護照、簽證及文件證明處理 ○九二 觀光旅館業及旅行業管理業務 ○九三 其他中央政府 ○九四 其他公共部門 ○九五 其他司法行政業務 ○九六 其他地方政府事務 ○九七 其他合於營業登記項目或章程所定業 務之需要 ○九八 其他金融業務管理 ○九九 其他財政收入 一○○ 其他財政服務 一○一 其他諮詢與顧問服務。

35 基本原則 應尊重當事人之權益。 應依誠實及信用方法為之。 不得逾越特定目的之必要範圍。 應與蒐集之目的具有正當合理之關聯。
立法理由:避免資料蒐集者巧立名目或理由,任 意蒐集、處理或利用個人資料,明定個人資料之 蒐集、處理或利用,應與蒐集目的有正當合理關 聯,不得與其他目的作不當聯結。

36 合法蒐集及處理之要件 蒐集或處理: 個資法第十五條:公務機關對個人資料之蒐集或處理, 除第六條第一項所規定資料外,應有特定目的,並符 合下列情形之一者: 執行法定職務必要範圍內。 經當事人書面同意。 對當事人權益無侵害。

37 蒐集者告知與免為告知之情形(1) 公務機關或非公務機關依第十五條或第十九條規 定向當事人蒐集個人資料時,應明確告知當事人 下列事項(§8)
公務機關或非公務機關依第十五條或第十九條規 定向當事人蒐集個人資料時,應明確告知當事人 下列事項(§8) 公務機關或非公務機關名稱。 蒐集之目的。 個人資料之類別。 個人資料利用之期間、地區、對象及方式。 當事人依第三條規定得行使之權利及方式。 當事人得自由選擇提供個人資料時,不提供將對其權益之影響。

38 蒐集者告知與免為告知之情形(2) 有下列情形之一者,得免為前項之告知:(§8) 依法律規定得免告知。
個人資料之蒐集係公務機關執行法定職務或非公務機關履行法定義務 所必要。 告知將妨害公務機關執行法定職務。 告知將妨害第三人之重大利益。 當事人明知應告知之內容。

39 合法利用之要件 公務機關利用個人資料,應於執行法定職務必要 範圍內為之,並與蒐集之特定目的相符。
公務機關利用個人資料,應於執行法定職務必要 範圍內為之,並與蒐集之特定目的相符。 非公務機關利用個人資料,應於蒐集之特定目的 必要範圍內為之。

40 特定目的外之利用 - 1 得為特定目的外之利用之情形:
公務機關對個人資料之利用,除第六條第一項所規定資料外,應 於執行法 定職務必要範圍內為之,並與蒐集之特定目的相符。但 有下列情形之一者 ,得為特定目的外之利用(§16) 法律明文規定。 為維護國家安全或增進公共利益。 為免除當事人之生命、身體、自由或財產上之危險。 為防止他人權益之重大危害。 公務機關或學術研究機構基於公共利益為統計或學術研究而有 必要, 且資料經過提供者處理後或蒐集者依其揭露方式無從 識別特定之當事 人。 有利於當事人權益。 經當事人書面同意。

41 特定目的外之利用 - 2 得為特定目的外之利用之情形:
第十五條第二款及第十九條第五款所稱書面同意,指當事人經 蒐集者告知 本法所定應告知事項後,所為允許之書面 意思表示。 第十六條第七款、第二十條第一項第六款所稱書面 同意,指當事人經蒐集者明確告知特定目的外之其他利 用目的、範圍及同意與否對其權益之影響後,單獨所 為之書面意思表示。(§7) 避免特定目的外利用個人資料之同意與其他事項作不 當聯結,或被列入定型化契約概括同意條款,特定目 的外利用個人資料,應獨立作書面意思表示。

42 特種個人資料之限制 醫療、基因、性生活、檢康檢查及犯罪前科之個 人資料,除有下列情形外,不得蒐集、處理或利 用: 法律明文規定。
醫療、基因、性生活、檢康檢查及犯罪前科之個 人資料,除有下列情形外,不得蒐集、處理或利 用: 法律明文規定。 公務機關執行法定職務或非公務機關履行法定義務所 必要,且有適當安全維護措施。 當事人自行公開或其他已合法公開之個人資料。 公務機關或學術研究機關基於醫療、衛生或犯罪預防 之目的,為統計或學術研究而有必要,且經一定程序 所為蒐集、處理或利用之個人資料。(§6)

43 機關之義務 - 1 依當事人請求,答覆查詢、提供閱覽或製給複製本。 例外不答覆或提供之情形: 機關得酌收必要成本費用。(§14)
妨害國家安全、外交及軍事機密、整體經濟利益或其他國家重大利益。 妨害公務機關執行法定職務。 妨害該蒐集機關或第三人之重大利益(如:檔案資料自第三人取得, 如應當事人之請求准予查詢、閱覽或製給複製本,將損及保有機關與 第三人之協助或信賴關係者,或洩漏資料蒐集者之業務秘密等。) (§10)。 機關得酌收必要成本費用。(§14) 機關受理當事人請求答覆查詢、提供閱覽或製給複製本,應於15 日內為准駁之決定;必要時,得延長15日,並應將原因以書面通 知請求人。(§13) 機關拒絕或未於期間內決定時,當事人得提起訴願或訴訟。

44 機關之義務 - 2 維護個人資料之正確,並主動或依當事人之請求 更正或補充之。(§11)
維護個人資料之正確,並主動或依當事人之請求 更正或補充之。(§11) 個人資料正確性有爭議者,停止處理或利用(但 因執行職務或業務所必須,並註明其爭議或經當 事人書面同意者,不在此限)。(§11) 因可歸責於機關之事由,未為更正或補充之個人 資料,於更正或補充後,通知曾提供利用之對象。 (§11)

45 機關之義務 - 3 個人資料蒐集之特定目的消失或期限屆滿時,刪 除、停止處理或利用該個人資料(但因執行職務 或業務所必須,或經當事人書面同意者,不在此 限)。(§11) 違反本法規定蒐集、處理或利用個人資料,應刪 除、停止蒐集、處理或利用該個人資料。(§11)

46 機關之義務 – 4 公務機關應將下列事項公開於電腦網站,或以其 他適當方式供公眾查閱;有變更者亦同: 個人資料檔案名稱。
公務機關應將下列事項公開於電腦網站,或以其 他適當方式供公眾查閱;有變更者亦同: 個人資料檔案名稱。 保有機關名稱及聯絡方式。 個人資料檔案保有之依據及特定目的。 個人資料之類別。(§17) 公務機關依本法第十七條規定為公開時,應於建 立個人檔案後一個月內為之;變更時,亦同。公 開方式應予以特定,並避免任意變更。(實行細 則第十九條)

47 機關之義務 – 5 公務機關保有個人資料檔案者,應指定專人辦理 安全維護事項,防止個人資料被竊取、竄改、毁 損、滅失或洩漏。(§18)
公務機關保有個人資料檔案者,應指定專人辦理 安全維護事項,防止個人資料被竊取、竄改、毁 損、滅失或洩漏。(§18) 非公務機關保有個人資料檔案者,應採行適當之 安全措施,防止個人資料被竊取、竄改、毁損、 滅失或洩漏。中央目的事業主管機關得指定非公 務機關訂定個人資料檔案安全維護計畫或業務終 止後個人資料處理方法。前項計畫及處理方法之 標準等相關事項之辦法,由中央目的事業主管機 關定之。(§27)

48 機關之義務 - 6 機關受理當事人請求答覆查詢、提供閱覽或製給 複製本,應於15日內為准駁之決定;必要時,得 延長15日,並應將原因以書面通知請求人。(§13) 機關受理當事人請求更正、補充、請求刪除、停 止蒐集、處理或利用其個人資料,應於30日內, 為准駁之決定;必要時,得延長30日,並應將原 因以書面通知請求人。 (§13) 機關拒絕或未於期間內決定時,當事人得提起訴 願或訴訟。

49 損害賠償責任 – 1 損害賠償,除依本法規定外,公務機關適用國家 賠償法之規定,非公務機關適用民法之規定。 (§31)
損害賠償,除依本法規定外,公務機關適用國家 賠償法之規定,非公務機關適用民法之規定。 (§31) 公務機關違反本法致個人資料遭不法蒐集、處理、利 用或其他侵害當事人權利者,負損害賠償責任。但損 害因天災、事變或其他不可抗力所致者,不在此限。 (§28) 非公務機關違反本法致個人資料遭不法蒐集、處理、 利用或其他侵害當事人權利者,負損害賠償責任。但 能證明其無故意或過失者,不在此限。(§29)

50 損害賠償責任 – 2 如被害人不易或不能證明其實際損害額時,得請 求法院依侵害情節,以每人每一事件新臺幣500 元以上2萬元以下計算。
如被害人不易或不能證明其實際損害額時,得請 求法院依侵害情節,以每人每一事件新臺幣500 元以上2萬元以下計算。 對於同一原因事實造成多數當事人權利受侵害之 事件,經當事人請求損害賠償者,合計最高總額 以新臺幣2億元為限。但因該原因事實所涉利益 超過新臺幣2億元者,以該所涉利益為限。同一 原因事實造成之損害總額逾前項金額時,被害人 所受賠償金額,不受前述每人每一事件最低賠償 金額新臺幣500元之限制。

51 損害賠償責任 – 3 非財產上之損害,亦得請求賠償相當之金額。 名譽被侵害者,得請求為回復名譽之適當處分。
公務員假借職務之權力、機會或方法,犯本章之 罪者,加重其刑至二分之一。

52 損害賠償責任 – 4 請求權時效: 損害賠償請求權,自請求權人知有損害及賠償義務人 時起,因2年間不行使而消滅;自損害發生時起,逾 5年者,亦同。(§30) 團體訴訟: 對於同一原因事實造成多數當事人權利受侵害之事件, 財團法人或公益社團法人經受有損害之當事人20人以 上以書面授與訴訟實施權者,得以自己之名義,提起 損害賠償訴訟。當事人得於言詞辯論終結前以書面撤 回訴訟實施權之授與,並通知法院。(§34)

53 前言        情境式分析     個資法簡介     法務部函釋     安全使用資訊   

54 「合法」之判斷原則 步驟一:確認「特定目的」與是否符合「法令執掌」 步驟二:確認「蒐集」是否合法 步驟三:確認「處理」是否合法
步驟四:確認「利用」是否合法 步驟五:考慮「比例原則」與其他應注意事項

55 案例一 設置全國不適用教師通報系統網路,供學校在網 路查詢,防制具教育人員任用條例第31條不得聘 任之教師應聘,是否合於電腦處理個人資料保護 法第7條第1款「在法令規定職掌必要範圍內」 規定?

56 案例一 「教育或訓練行政」係屬蒐集或電腦處理個人資 料之特定目的項目之一(代號053),另教育人 員任用條例第31條定有教育人員任用之消極資格, 同條例第30條復規定教師任用資格審查為法定必 經程序且貴部為審查機關之一,故貴部基於教育 人員任用條例主管機關立場,為執行該條例相關 規定,對於具有該條例第31條所定教育人員任用 消極資格之個人資料為蒐集、電腦處理及提供相 關學校、機關審查之用,應可認係符合上開本法 第7條第8條規定。

57 案例一 本法第6條、第17條規定:「個人資料之蒐集或 利用,應尊重當事人之權益,依誠實及信用方法 為之,不得逾越特定目的之必要範圍。」「公務 機關保有個人資料檔案者,應指定專人依相關法 令辦理安全維護事項,防止個人資料被竊取、竄 改、毁損、滅失或洩漏。」故貴部為建置本件全 國不適任教師通報系統網路,於從事個人資料之 蒐集與利用時,宜請注意上開比例原則與資訊安 全等規定,就相關技術性事項妥為規劃,併此敘 明供參。  (法務部96年10月26日法律字第 號)

58 案例二 隨紙本公文函送之機關同仁名冊,如包含個人資 料,是否違反個人資料保護法?

59 案例二 本法第8條規定:「公務機關對個人資料之利用, 應於法令職掌必要範圍內為之,並與蒐集之特定 目的相符。但有左列情形之一者,得為特定目的 外之利用:一、法令明文規定者。二、有正當理 由而僅供內部使用者。三、為維護國家安全者。 四、為增進公共利益者。五、為免除當事人之生 命、身體、自由或財產上之急迫危險者。六、為 防止他人權益之重大危害而有必要者。七、為學 術研究而有必要且無害於當事人之重大利益者。 八、有利用當事人權益者。九、當事人書面同意 者。」

60 案例二 本件交通部臺中港務局函送之機關同仁名冊如確 有包含個人資料者,需於其法令職掌必要範圍內 為之,並與蒐集之特定目的相符;或有上述所揭 9款情形之一,而為特定目的外之利用,始為合 法,此宜由該利用個人資料之機關(臺中港務局) 本於職權依法審認之。 1.需於其法令職掌必要範圍內為之,並與蒐集之特定目的相符 2.有上述所揭9款情形之一,而為特定目的外之利用

61 案例二 本法第6條規定,個人資料之蒐集或利用,應尊 重當事人之權益,依誠實信用方法為之,不得逾 越特定目的之必要範圍。準此,本件所提供之人 員名冊含有出生年月日及身分證統一編號等重要 個人資料,是否逾越必要範圍?有無必要性?應 視提供該人員名冊之目的而定,如不提供出生年 月日及身分證字號等資料亦能達到目的時,依上 開規定,自不宜提供該等資料,以保護當事人隱 私權益。  (法務部97年02月18日法律字第 號)

62 案例三 學校蒐集本校或他校畢業紀念冊,並利用畢業紀 念冊內所載學生資料寄發升學資訊等疑義:

63 案例三 本法第18條規定:「非公務機關對個人資料之蒐 集或電腦處理,非有特定目的,並符合左列情形 之一者,不得為之:一、經當事人書面同者。二、 與當事人有契約或類似契約之關係而對當事人權 益無侵害之虞者。三、已公開之資料且無害於當 事人之重大利益者。四、為學術研究而有必要且 無害於當事人之重大利益者。五、依本法第3條 第7款第2目有關之法規及其他法律有特別規定 者。」

64 案例三 準此,本件學校蒐集或利用本校畢業紀念冊所載 學生資料,如有本部會同貴部所定之特定目的之 一(例如代號079學生資料管理)必要範圍內, 且符合上開規定五種情形之一者,自非不得為之。 如屬他校畢業紀念冊之學生資料或用於寄發升學 資訊者,則其特定目的係屬何種項目?不無待酌 之處。

65 案例三 依本法施行細則第32條第3項規定:「本法第18 條第3款所稱已公開之資料,指不特定之第三人 得合法取得或知悉之個人資料。」係為平衡個人 權利的保護及促進資料的合理利用,並鑑於合法 公開的資料原則上對隱私權的影響極微。來函所 載明個人資料之畢業紀念冊如僅發送或售予該校 畢業生,是否該當以公開之資料乙節,則屬事實 認定,請參酌上開說明本於職權自行審酌。  (法務部97年02月18日法律字第 號)

66 案例四 公所發布在案之職員考績、獎懲等個人資料,宜 否冊列附於代表會定期會之工作報告內,是否有 侵害個人隱私之嫌或牴觸該法?

67 案例四 本案所涉職員考績、獎懲等個人資料,如經電腦 處理,核屬上開本法所稱「個人資料」;至於公 所已發布在案之職員考績獎懲等個人資料,宜否 依代表會決議冊列於代表會定期會之工作報告內 乙節,公所應依個案事實認定究屬「人事行政管 理」之特定目的內利用或特定目的外利用,本於 職權審認適用上開規定。 惟公所決定檢附上開個人資料時,應尊重當事人 之權益,依誠實及信用方法為之,不得逾越特定 目的之必要範圍(本法第6條規定參照)。  (法務部97年02月18日法律字第 號)

68 案例五 學校或學術研究機構等以學術研究名義申請提供 民眾戶籍資料,所涉及電腦處理個人資料保護法 第8條規定之適用疑義:

69 案例五 行政資訊公開辦法第5條第1項第5款規定,行 政資訊之公開或提供有侵犯營業或職業上秘密、 個人穩私者,應限制公開或提供;但法令另有規 定、對公益有必要或經當事人同意者,不在此限。

70 案例五 本件台灣大學心理系曹老師為國科會專題研究計畫向 台北市民政局請求提供新生兒資料乙節,就該局利用 個人資料性質觀之,應屬特定目的(戶政及戶口管理) 外利用之情形,是否符合個資法首開規定第7款所稱 之「為學術研究而有必要且無害於當事人之重大利 益」,宜由該局本於權責審認之,其審酌事項宜包括 例如:蒐集資料者是否簽有保密義務,保證不洩漏當 事人資料?當事人資料有無作匿名化處理,致研究報 告公布或揭露時,不會識別特定當事人?提供之資料 是否僅屬一般基本資料,未涉及當事人較敏感之資料 等。

71 案例五 如認符合前揭個資法第8條第7款所稱「為學術研究而有 必要且無害於當事人之重大利益」而得為目的外利用者, 仍應依行政資訊公開辦法判斷有無限制公開或提供之情事。 因該新生兒個人資料屬於個人隱私之一部分,依該辦法前 揭條款規定,除有法令規定或經當事人同意者外,須「對 公益有必要者」始得公開或提供之。至於上開所稱之「公 益」及「有必要」,均屬不確定法律概念,宜由受理請求 提供資訊之機關,就「公開個人資料所欲增進之公共利益」 與「不公開個人資料所保護之隱私權益」間比較衡量判斷 之。是以,如該局經衡量判斷認為本件符合「公開個人資 料所欲增進之公共利益」,而對於提供個人資料所侵害之 隱私權益較為輕微者,自得提供之。

72 案例五 另個資法第6條規定:「個人資料之蒐集或利用, 應尊重當事人之權益,依誠實及信用方法為之, 不得逾越特定目的之必要範圍」。本件於提供該 新生兒之個人資料時,應注意所提供之資料,應 以該學術研究有必要者為限,與該學術研究無關 之資料,則不得提供,併予敘明。  (法務部94年11月01日法律字第 號)

73 案例六 議員服務處函請行政機關提供學生名冊之適法性 疑義:

74 案例六 貴局基於管理學校所搜集之學生名冊等個人資料 檔案,如提供議員或其服務處作為問政使用或民 調使用,係屬於對個人資料之特定目的(079學 生資料管理)外利用,故貴局提供上開學生名冊 資料,應符合個資法第8條但書「公務機關對個 人資料之利用,應於法令職掌必要範圍內為之, 並與蒐集之特定目的相符。但有左列情形之一者, 得為特定目的外之利用:一、法令明文規定者。 …四、為增進公共利益者。…八、有利於當事人權 益者。九、當事人書面同意者。」所列各款情形 之一,始符為特定目的外之利用。

75 案例六 本件議員服務處函請提供學生名冊,作為問政使 用或公費營養午餐專業民調使用,是否符合上開 個資料第8條但書規定任一款情形,宜由貴局本 諸權責判斷。  (法務部97年10月13日法律決字第 號)

76 前言        情境式分析     個資法簡介     法務部函釋     安全使用資訊   

77 步驟三:確認是否須履行告知義務並建立告知機制
資料蒐集、處理、利用之自我檢查五步驟 步驟一:清點所有個人資料 步驟二:清查蒐集個人資料之途徑與方式 步驟三:確認是否須履行告知義務並建立告知機制 步驟四:確認蒐集、處理、利用之特定目的 步驟五:檢視利用的範圍與方式

78 檢視個資蒐集的合法性 步驟一:確認是否為個資 步驟二:確認個資來源 (直接來自當事人或間接來自第三者)
步驟三:確認是否取得書面同意或符合例外規定 步驟四:確認為特定目的內使用或符合例外規定 步驟五:確認是否完成告知義務或符合免告知情形

79 如何讓電腦使用更安全

80 清理資源回收筒 一般來說,我們會把不要的文件丟進資源回收筒, 但是否定期清理? 如果不清理的話,可能會導致個人檔案或隱私資 料被取得與利用!

81 搜尋包含敏感資訊或個人資訊檔案 如何找尋儲存在電腦中的敏感資訊或個人資訊檔 案或文件?
如何找尋儲存在電腦中的敏感資訊或個人資訊檔 案或文件? 按下開始鈕在搜尋框中輸入敏感資訊或個人資訊 的關鍵字(例如:密碼、身份證、薪資…等), 就能立即搜尋到相關資訊的文件。

82 刪除瀏覽器中的暫存和歷史記錄 一般而言,瀏覽器在登入網站時都會問是否要記 住密碼,如果選「是」的話,此密碼就會暫存至 Cookie中。

83 刪除瀏覽器中的暫存和歷史記錄(IE)

84 刪除瀏覽器中的暫存和歷史記錄(FF)

85 檔案加密(MS Office)

86 檔案加密(OpenOffice.org)

87 壓縮加密(7zip)

88 壓縮加密(WinRAR)

89 防毒軟體 只要安裝防毒軟體就不會中惡意程式? 防毒軟體有沒有更新沒關係? 錯,如果使用者習慣不良,仍可能中惡意程式 防毒軟體裝愈多套愈安全?
錯,如果不更新,比較新的惡意程式就無法偵測到 錯,可能會互相衝突而導致系統不穩定

90 線上掃毒

91 社交工程攻擊 利用人性弱點、人際交往或互動特性所發展出來 的一種攻擊方法。 透過電子郵件進行攻擊之常見手法 假冒寄件者
利用人性弱點、人際交往或互動特性所發展出來 的一種攻擊方法。 透過電子郵件進行攻擊之常見手法 假冒寄件者 運用與業務相關或令人感興趣的郵件內容 含有惡意程式的附件或連結 利用應用程式的弱點

92 引毒上身?五成網友主動下載有毒影音檔、電子郵件(1)
總是抱怨網路毒駭事件層出不窮的使用者聽到以下消息,可能要先檢討自己 為何如此「手癢」囉!入口網站最新調查顯示,網路中毒原因的前三名分別 為「下載有毒 的音樂或影音檔案」(27.6%)、「帳號被盜」(26.7%)及 「收到夾帶有毒檔案和連結的電子郵件」(24.2%),除了帳號被盜,有五 成以上的網友 都是「主動被駭」,主因來至網路安全知識的不足,而誤入 「毒」徑。 這項最新調查主題為「網路安全危機」,是由Yahoo!奇摩民調中心在3月18 日至23日期間執行。 該民調雖然指出有五成網友是主動下載有毒音樂、影音檔,讓自己身處危險 毒駭世界中,但使用者的網路安全知識也已有普遍提升的趨勢,5成以上的網 友在遇「駭」的第一時間,會立即進行掃毒,但網路安全問題還是時有所聞, 顯示網友的網路安全知識和掃毒工具一樣需要時時更新。

93 引毒上身?五成網友主動下載有毒影音檔、電子郵件(2)
此外,調查還顯示,網友最容易點選「跟搜尋結果相關的網站」(42.3%) 及「好友寄的信件或訊息」(29%)而上了有毒程式的釣鉤,誤入電腦被 駭 的危機。而另外依序還有「免費試玩或下載」(13.9%)、「火辣性感圖」 (7.3%)及「折扣好康」(5.7%)等誘人資訊也會讓網友忍不住點選。 透過交叉分析也發現有趣的現象,會被「折扣好康」內容吸引的女性網友為 男性的三倍,而「火辣性感圖」的內容吸引者則大多數為男性網友。 (NOWnews 2009年4月1日 14:39)

94 惡意網站攻擊(八掛主旨)

95 惡意圖檔攻擊(情色主旨)

96 惡意Word檔攻擊(休閒娛樂主旨)

97 惡意網站攻擊(養身保健主旨)

98 假強風真病毒

99 假冒行政院技服中心的病毒通告

100 收到可疑電子郵件應有警覺性 為何會收到? 是否應收到? 是否應開啟? 確認寄件來源及寄件者 確認郵件主指及郵件內容 是否與業務工作相關?
不開啟(點選連結)是否有影響 審慎查證(寄件者)

101 預防社交工程攻擊流程 收到疑似攻擊信件 按一下信件(點選) 按兩下信件(開啟) 是 直接刪除信件 (不會觸發攻擊) 是 否 否 可能觸發攻擊
是否關閉預覽 直接刪除信件 (不會觸發攻擊) 是否設定 純文字模式 是否設定 純文字模式 可能觸發攻擊

102 Windows Live Mail 關閉預覽窗格
檢視→讀取窗格→關閉

103 教育局Mail (Gmail) 請只在確認後才點「顯示以下圖片」

104 綠色軟體 什麼是綠色軟體? 一般指的是免安裝、易刪除、佔用少量系統資源 的小軟體。 使用綠色軟體可能會有什麼問題?
有些被破解的合法軟體被做成「可攜版」,可能 會內藏惡意程式,所以要仔細分辨,不要從非官 方網站隨便下載使用。

105 GPU GPU (Graphics Processing Unit) : 圖形處理器,是一種專 門用來處理在個人電腦、工作站或遊戲機上那些影像運算 工作的微處理器。 GPU是NVIDIA公司在發布GeForce 256繪圖處理晶片時 首先提出的概念,在此之前,電腦中處理影像輸出的顯示 晶片,通常很少被視為是一個獨立的運算單元。 GPU使顯示卡減少了對CPU的依賴,並分擔了部分原本 是由CPU所擔當的工作,尤其是在進行3D圖形處理時, 功效更加明顯。 GPU所採用的核心技術有硬體座標轉換與光源、立體環境 材質貼圖和頂點混合、紋理壓縮和凹凸映射貼圖、双重紋 理四像素256位渲染引擎等。

106 GPU與高速運算 而原本只用於圖形顯示的GPU,一張卡裡即有上百個串流 處理器(相當於CPU的計算核心),所以在平行處理程式 下,使用GPU時,其計算的時間會比一般CPU快上百倍。 加上CPU發展目前遇到瓶頸,現有架構已逼近半導體材料 的物理極限,即使不斷地縮小電路尺寸(現可到三四十奈 米),要在合理的耗電和散熱條件下,已很難繼續提高處 理器的時脈,雖然多核心可以幫助縮短計算時間,但目前 最新的GPU計算加速卡就已經有1024個CUDA核心 (nVidia)或3200組串流處理器(AMD),所以GPU的 發展與應用備受矚目。

107 GPU與密碼破解-1 以Radeon HD 5770 (目前市價約五千元,800 組串流處理器)為例,利用GPU密碼破解工具
它能以每秒33億密碼猜測速度在一秒內破解出五 位密碼“fjR8n”(如果有4個HD 5970顯卡,破 解速度可以提高到331億/s,每片各有3200組串 流處理器) 標準的桌面CPU的速度只有980萬/s,需要耗時 24秒

108 GPU與密碼破解-2 密碼形態 CPU GPU (HD 5770) 五位 “fjR8n” 24秒 1秒 六位 “pYDbL6” 1小時30分
七位 “fh0GH5h” 4天 17分30秒 九位 混合大小寫隨機密碼 43年 48天

109 簡報完畢


Download ppt "教育局資安課程 戒慎恐懼-談公務上的資安認知."

Similar presentations


Ads by Google