Download presentation
Presentation is loading. Please wait.
1
簡報人:鍾沛原 專案經理 成大資通安全研發中心 chungpy@crypto.ee.ncku.edu.tw (06)276-1204
學校不能不瞭解的個資議題 簡報人:鍾沛原 專案經理 成大資通安全研發中心 (06)
2
Outline 個資法帶來的衝擊與影響 個資法條款與內容簡介 教育單位防洩漏個資掃瞄平台 結論
3
個資法帶來的衝擊與影響
4
個資洩漏案例
5
個資洩漏案例(cont.) 5
6
個資洩漏案例(cont.) 放遠雄人壽
7
個資法帶來的影響 提升全民意識,正視個人資料保護。 確立握有個人資料的組織、管理者必須善盡保護 之責。 只要擁有個人資料,就有責任。
8
個資法帶來的影響(cont.) 宜蘭縣所屬各國中小學校校務行政管理個人資料保護 管理規範 ( 民國 100 年 06 月 02 日 發布/函頒 ) 八、行政單位應依本要點及相關法令辦理個人資料處理作業及 保存維護事項,單位應建立內部安全管理考核機制及適當存管 地點,以防止個人資料被竊取、竄改、損毀、滅失或洩漏,並 接受上級主管機關不定期查核督訪,其成效列為獎懲與考核之 依據。 九、行政單位應建立單位個人資料存取權限,設置適當安全層 級之加密處理,加強資料存取控制,並應不定期進行單位內部 自我查核及更新。 十、依本要點規定得提供之資料,應由行政單位以適當安全之 傳送方式提供。
9
網站的公開性 單位網站 公開區 保護區 完全責任 部份責任 個資外洩 無心之過 惡意竊取 合法管道 非法管道 單位責任 駭客入侵 無適當
個資外洩時單位網站需承擔 完全責任 個資外洩時單位網站需承擔 部份責任 個資外洩 無心之過 惡意竊取 合法管道 非法管道 單位責任 駭客入侵 無適當 防護機制 無刑責 有刑責
10
個人資料保護法源起 原個人資料保護法 個人資料保護法 電腦處理個人資料保護法(84/08/11)
電腦處理個人資料保護法施行細則 (85/5/01) 為因應急速變遷之社會環境,特別彙整國內學界與實 務界的相關修法建議,並參考其他國家之個人資料保 護相關法令來針對本法進行修訂,並將本法名稱修訂 為「個人資料保護法」。 個人資料保護法 個人資料保護法(99/05/26) 因「個人資料保護法」全文尚未生效,現仍適用電腦 處理個人資料保護法,全文施行日期由行政院定之。
11
新舊法比較 電腦處理個人資 料保護法 個人資料保護法 差 異 適用主體及申請執 照 公務機關、八類行業及指 定適用之團體或個人→有 執照制度
差 異 電腦處理個人資 料保護法 個人資料保護法 適用主體及申請執 照 公務機關、八類行業及指 定適用之團體或個人→有 執照制度 公務機關及任何自然人、 法人、團體→廢止執照制 度 保護客體 限經電腦處理之個人資料 任何形式之個人資料 特種資料 無規定 規定醫療等五種資料原則 不得蒐集、處理或利用 通知義務 僅規定公告機制,無規定 通知義務 規定無論直接或間接蒐集 個人資料均需告知當事人 書面同意 無特別規定 有特別規定,尤其是目的 外利用之書面同意 參考資料來源:1.全國法規資料庫 2.
12
每人每一事件新臺幣二萬元以上 十萬元以下計算;負損害賠償責 任者最高可賠償總額新台幣2000 萬元
新舊法比較(cont.) 差 異 電腦處理個人資料保護法 個人資料保護法 拒絕接受行銷權 利 無特別規定 首次行銷時應提供免費拒絕之 方式並尊重其意思 當事人查詢資料 權利 查詢限制過於嚴格 放寬限制查詢之規定以保障當 事人之權利 團體訴訟 無規定 符合規定之公益團體可代替當 事人提起團體訴訟 刑罰規定 僅處罰意圖營利侵害個人資 料隱私權益者,刑期為2年 以下 罰金上限為4萬~5萬 告訴乃論罪 違反本法規定雖未意圖營 利亦予處罰,刑期為2年以 下;意圖營利者加重其刑 為5年以下,且為公訴罪 罰金上限為20萬~100萬 公務員涉案,依法得加重 其刑二分之一,最重可處 七年半徒刑,與刑責已接 近涉及貪瀆案。 民事損害賠償總 額限制 每人每一事件新臺幣二萬元以上 十萬元以下計算;負損害賠償責 任者最高可賠償總額新台幣2000 萬元 每人每一事件新臺幣五百元以 上二萬元以下計算;負損害賠 償責任者最高可賠償總額新台 幣2億元
13
個資法條款與內容簡介
14
個人資料保護法架構 共計六章56條 第一章 總則 (第1條~第14條) 第二章 公務機關對個人資料之蒐集、處理及利用(第 15條~第18條)
第一章 總則 (第1條~第14條) 第二章 公務機關對個人資料之蒐集、處理及利用(第 15條~第18條) 第三章 非公務機關對個人資料之蒐集、處理及利用(第 19條~第27條) 第四章 損害賠償及團體訴訟(第28條~第40條) 第五章 罰則(第41條~第50條) 第六章 附責(第51條~第56條) 第55條 本法施行細則,由法務部定之。(2011年10月份 提出草案) 第56條 本法施行日期,由行政院定之。 (預定100年7月 施行)
15
什麼是個人資料 個人資料保護法—第一章 總則 第2條 本法用詞定義
個人資料:指自然人之姓名、出生年月日、國民身分 證統一編號、護照號碼、特徵、指紋、婚姻、家庭、 教育、職業、病歷、醫療、基因 、性生活、健康檢查 、犯罪前科、聯絡方式、財務情況、社會活動及其他 得以直接或間接方式識別該個人之資料。 Q:姓名+出生年月日+身份證字號 = ?筆個資 個人資料檔案:指依系統建立而得以自動化機器或其 他非自動化方式 檢索、整理之個人資料之集合。
16
個人資料檔案(施行細則草案) 所稱個人資料檔案,包括: 備份檔案 軌跡資料 係指個人資料在蒐集、處理、利用過程中所產生非
屬於原蒐集個資本體之衍生資訊(LOG FILES),包 括(但不限於)資料存取人之代號、存取時間、使 用設備代號、網路位址(IP)、經過之網路路徑…等 ,可用於比對、查證資料存取之適當性。
17
個人資料Life Cycle 個人資料 蒐集 處理 利用 傳輸 銷毀
18
蒐集、處理、利用 第1條 為規範個人資料之蒐集、處理及利用,以避免人格權 受侵害,並促進個人資料之合理利用,特制定本法。
蒐集(Collect):指以任何方式取得個人資料。 處理(Process):指為建立或利用個人資料檔案所為資料 之記錄、輸入、儲存、 編輯、更正、複製、檢索、刪除、 輸出、連結或內部傳送。 利用(Utilize):指將蒐集之個人資料為處理以外之使用。 刪除既指使已儲存之個人資料自個人資料檔案中消失,然如使 個人資料自個人資料檔案中全部消失,將不利於電腦系統追查 過往作業紀錄,為考量資訊安全與數位鑑識等證明作業之需要 ,乃增列由系統留存之必要軌跡資料。
19
當事人的基本權利 第3條 第14條 當事人就其個人資料依本法規定行使之下列權利,不得預先拋 棄或以特約限制之: 一、查詢或請求閱覽。
二、請求製給複製本。 三、請求補充或更正。 四、請求停止蒐集、處理或利用。 五、請求刪除。 Q:如何證明已應使用者要求完成個資刪除? 第14條 查詢或請求閱覽個人資料或製給複製本者,公務機關或非公務 機關得酌收必要成本費用。
20
請求停止蒐集、處理或利用
21
委託機關 第4條 否視同委託機關? 受公務機關或非公務機關委託蒐集、處理或利用個人 資料者,於本法適用範圍內,視同委託機關。
Q:財團法人、私立學校受教育部委託辦理業務,能 否視同委託機關? 受教育部委託辦理升學考試業務→應可視為公務機 關,若洩漏個資「可能」會加重二分之一刑罰
22
不得逾越特定目的 第5條 個人資料之蒐集、處理或利用,應尊重當事人之權益 ,依誠實及信用方法為之,不得逾越特定目的之必要 範圍,並應與蒐集之目的具有正當合理之關聯。
23
特種個資 第6條 有關醫療、基因、性生活、健康檢查及犯罪前科之個人資料, 不得蒐集、處理或利用。但有下列情形之一者,不在此限:
一、法律明文規定。 二、公務機關執行法定職務或非公務機關履行法定義務所 必要,且有適當安全維護措施。 三、當事人自行公開或其他已合法公開之個人資料。 四、公務機關或學術研究機構基於醫療、衛生或犯罪預防 之目的,為統計或學術研究而有必要,且經一定程序 所為蒐集、處理或利用之個人資料。 前項第四款個人資料蒐集、處理或利用之範圍、程序及其 他應遵行事項之辦法,由中央目的事業主管機關會同法務 部定之。 Q:學校於學生入學時要求繳交的健康檢查資料,其法源依據 或法定義務?
24
學校握有哪些學生個資 學籍 身體健康檢查 其他 學校應將學生健康檢查及疾病檢查結果載入學生資料,
學校衛生法( ) 第九條 學校應將學生健康檢查及疾病檢查結果載入學生資料, 併隨學籍轉移。 前項學生資料,應予保密,不得無故洩 漏。但應教學、輔導、醫療之需要 ,經學生家長同意或 依其他法律規定應予提供者,不在此限。
25
學籍管理辦法 國民小學學生學籍管理辦法 ( 民國 97 年 05 月 08 日 修正 )
第 十九 條 學生學籍管理,應依下列規定辦理: 一、學校對學生之學籍資料得設置學籍資料專櫃(室),按年屆順序放置 ,由專人妥善保管及嚴加保密,並依「電腦處理個人資料保護法」、 「檔案法」等規定辦理。 二、學校對於歷屆學生、因故申請至大陸或國外就讀者之學籍紀錄表冊( 入學、畢業名冊)應永久妥善保存,並列入移交。 三、非依法調閱者,學校不得出具學生學籍資料。 四、學生自動離校,連其父母或監護人,均去向不明,其學籍應永久保留 。 五、學校因故廢校,其學籍資料由本府教育處指定適當學校,代為保管及 辦理學籍相關事宜。 六、學生學籍資料如遭遇不可抗力而損害時,學校應即向本府教育處報備 ,並予重建。 七、學校學籍資料之經辦人、組長、主任、校長於離職時,均應列入移交 。
26
明確告知當事人事項 第8條 公務機關或非公務機關依第十五條或第十九條規定向當事人蒐集個人 資料時,應明確告知當事人下列事項:
一、公務機關或非公務機關名稱。 二、蒐集之目的。 三、個人資料之類別。 四、個人資料利用之期間、地區、對象及方式。 五、當事人依第三條規定得行使之權利及方式。 六、當事人得自由選擇提供個人資料時,不提供將對其權益 之影響。 有下列情形之一者,得免為前項之告知: 一、依法律規定得免告知。 二、個人資料之蒐集係公務機關執行法定職務或非公務機關履行法定 義務所必要。 三、告知將妨害公務機關執行法定職務。 四、告知將妨害第三人之重大利益。 五、當事人明知應告知之內容。
27
我這是xxx單位、為了要讓小明知道你找他,需要留你的個人資料……………..我會善盡保護之責,並於轉達後刪除你的個資
以後打電話找人….. 請找小明 他不在位置上 沒問題 請留我的聯絡資料給他 我這是xxx單位、為了要讓小明知道你找他,需要留你的個人資料……………..我會善盡保護之責,並於轉達後刪除你的個資 我叫小天、單位xxx、聯絡電話xxxx
28
請找小明 他不在位置上 請留我的聯絡資料給他 嘟嘟….. ……x#&@%
28
29
維護個人資料之正確 Q:已畢業生之學籍資料、畢業生升學、就業資訊? 第11條
公務機關或非公務機關應維護個人資料之正確,並應主動或 依當事人之請求更正或補充之。 個人資料正確性有爭議者,應主動或依當事人之請求停止處 理或利用。但因執行職務或業務所必須並註明其爭議或經當 事人書面同意者,不在此限。 個人資料蒐集之特定目的消失或期限屆滿時,應主動或依當 事人之請求,刪除、停止處理或利用該個人資料。但因執行 職務或業務所必須或經當事人書面同意者,不在此限。 違反本法規定蒐集、處理或利用個人資料者,應主動或依當 事人之請求, 刪除、停止蒐集、處理或利用該個人資料。 因可歸責於公務機關或非公務機關之事由,未為更正或補充 之個人資料, 應於更正或補充後,通知曾提供利用之對象 。 Q:已畢業生之學籍資料、畢業生升學、就業資訊?
30
違反後的通知 第12條 公務機關或非公務機關違反本法規定,致個人資料被 竊取、洩漏、竄改或其他侵害者,應查明後以適當方 式通知當事人。
不好意思,你的個資不小心被駭客偷走了 ………. 沒關係,反正也不是第一次了
31
蒐集、處理之特定目的(公務機關) 第15條 公務機關對個人資料之蒐集或處理,除第六條第一項 所規定資料外,應有特定目的,並符合下列情形之一 者: 一、執行法定職務必要範圍內。 二、經當事人書面同意。 三、對當事人權益無侵害。
32
蒐集、處理之特定目的(公務機關)(cont.)
信用卡約定條款第四條 申請人或持卡人同意貴行、所持用聯名(認同)卡之聯名 (認同)團體、往來之金融機構、財團法人金融聯合徵信 中心、財團法人聯合信用卡處理中心、財金資訊股份 有限公司,得依法令規定蒐集、電腦處理、國際傳遞 及利用其個人資料。 考生個人資料蒐集、處理及利用條款(聲明) 考生同意 「相關試務單位:教育部、考試與測驗中心 、招生委員會、登記分發委員會、試務委員會…」,在 「遵循試務作業規範,符合試務作業宗旨之目的下」 ,蒐集、處理與利用考生個人資料,以完成試務作業 ,保障考生入學、分發之權益。 範例僅作參考 考生簽名: 家長簽名:
33
特定目的外之利用 第16條 公務機關對個人資料之利用,除第六條第一項所規定資料外 ,應於執行法定職務必要範圍內為之,並與蒐集之特定目的 相符。但有下列情形之一者,得為特定目的外之利用: 一、法律明文規定。 二、為維護國家安全或增進公共利益。 三、為免除當事人之生命、身體、自由或財產上之危 險。 四、為防止他人權益之重大危害。 五、公務機關或學術研究機構基於公共利益為統計或學術研 究而有必要,且資料經過提供者處理後或蒐集者依其揭 露方式無從識別特定之當事人。 六、有利於當事人權益。 七、經當事人書面同意。
34
供公眾查閱 第17條 第18條 公務機關應將下列事項公開於電腦網站,或以其他適當方式供 公眾查閱;其有變更者,亦同: 一、個人資料檔案名稱。
二、保有機關名稱及聯絡方式。 三、個人資料檔案保有之依據及特定目的。 四、個人資料之類別。 第18條 公務機關保有個人資料檔案者,應指定專人辦理安全維護事項 ,防止個人資料被竊取、竄改、毀損、滅失或洩漏。 Q:專人是否等同 1人?維護是否等同保護?
35
專人(施行細則草案) 專人 指具有管理及維護個人資料檔案之專業能力,且足 以擔任機關檔案資料安全維護經常性工作之人員。( 該人力得以團隊方式執行職務) 公務機關為使專人具有辦理安全維護事項之能力, 應辦理或使專人接受相關專業之教育訓練。
36
電腦處理個人資料登記公告範例 短期補習班使用電腦處理個人資料登記公告 一、申請人基本資料: 補習班全名:私立**文理短期補習班。 立案核准文號及證明文件:*.*.*府教習字第09900*****號。 補習班所在地:**市**路**號*樓。 設立人姓名:***。 設立人聯絡電話:**-******** 。 二、個人資料檔案名稱:學員資料檔案、員工資料檔案、廣告郵寄名單。 三、個人資料檔案保有之特定目的:學生資料管理、人事行政管理、電訪 、行銷。 四、個人資料之類別(可複選):識別類、家庭情形、特徵類、教育、技術或 其他專業、受雇情形。 五、個人資料之範圍:學員資料、員工資料、問卷回收資料、電訪資料。 六、個人資料檔案之保存期限:10年。 七、個人資料之蒐集方法:學員提供、問卷回收、電話訪談、民眾上網登 錄。 八、個人資料檔案利用範圍:學員管理、員工管理、電訪、成績單寄發、 廣告單寄發。 九、國際傳遞個人資料之直接收受者:無。 十、個人資料檔案維護人員職稱及姓名:***。 Q:專人資料的公開是否恰當?
37
學校應建立之檔案名稱 個人資料檔案名稱 個人資料檔案之保存期限: 高級中等學校學生學籍管理要點(99.03.03)
二、各校於學生修業期間,應建立下列資料: (一)學生學籍表。 (二)新生名冊。 (三)轉入學生名冊。 (四)學生學籍異動(包括轉科生、復學生、休學生、重讀生、退學生及延 修生)名冊。 (五)畢業學生名冊。 (六)其他有關學籍資料。 國民中小學學生學籍管理辦法 個人資料檔案之保存期限: 國民教育法( ) 第六條 國民小學及國民中學學生學籍資料,應以書面或電子方式切實記錄,永久保存 並依法使用;其學籍管理辦法,由直轄市、縣 (市) 政府定之。
38
個人資料類別 電腦處理個人資料保護法之特定目的及個人資料 之類別(85/08/07) 特定目的項目:○○一~一○一 共101類
教育單位特定目的:○○二 人事行政管理、○五三 教 育或訓練行政、、 ○四九 財產管理、○七九 學生資料 管理… 資料類別: 識別類:C○○一~C○○三 共3類 特徵類:C○一一~C○一四 共4類 家庭情形:C○二一~C○二四 共4類 社會情況:C○三一~C○四一 共11類 教育、技術或其他專業:C○五一~C○五七共7類
39
個人資料類別(cont.) 資料類別: 教育單位資料類別: 受僱情形:C○六一~C○七三 共13類 財務細節:C○八一~C○九四 共14類
商業資訊:C一○一~C一○三 共3類 健康與其他:C一一一~C一二一 共11類 其他各類資訊:C一三一~C一三三 共3類 教育單位資料類別: 識別類 特徵類 家庭情形(父母) 教育、技術或其他專業 受僱情形(役畢、薪資與預扣款、健康與安全紀錄…) 財務細節(保險細節…)
40
蒐集、處理之特定目的(非公務機關) 第19條 一、法律明文規定。 二、與當事人有契約或類似契約之關係。
非公務機關對個人資料之蒐集或處理,除第六條第一項所規定資料外,應有特定 目的,並符合下列情形之一者: 一、法律明文規定。 二、與當事人有契約或類似契約之關係。 三、當事人自行公開或其他已合法公開之個人資料。 四、學術研究機構基於公共利益為統計或學術研究而有必要,且 資料經過提供者處理後或蒐集者依其揭露方式無從識別特定 之當事人。 五、經當事人書面同意。 六、與公共利益有關。 七、個人資料取自於一般可得之來源。但當事人對該資料之禁止 處理或利用,顯有更值得保護之重大利益者,不在此限。 蒐集或處理者知悉或經當事人通知依前項第七款但書規定禁止對該資料之 處理或利用時,應主動或依當事人之請求,刪除、停止處理或利用該個人 資料。
41
個人資料檔案安全維護計畫 第27條 非公務機關保有個人資料檔案者,應採行適當之安全 措施,防止個人資料被竊取、竄改、毀損、滅失或洩 漏。中央目的事業主管機關得指定非公務機關訂定個 人資料檔案安全維護計畫或業務終止後個人資料處理 方法。 前項計畫及處理方法之標準等相關事項之辦法 ,由中央目的事業主管機關定之。 網路範例
42
適當安全措施(施行細則草案) 適當安全維護措施、安全維護事項或適當之安 全措施 一、成立管理組織,配置相當資源。 二、界定個人資料之範圍。
公務機關或非公務機關為防止個人資料被竊取、竄改 、毀損、滅失或洩漏,採取技術上及組織上之必要措 施。應包括下列事項: 一、成立管理組織,配置相當資源。 二、界定個人資料之範圍。 三、個人資料之風險評估及管理機制。 四、事故之預防、通報及應變機制。 五、個人資料蒐集、處理及利用之內部管理程序。
43
適當安全措施(施行細則草案)(cont.)
六、資料安全管理及人員管理。 七、認知宣導及教育訓練。 八、設備安全管理。 九、資料安全稽核機制。 十、必要之使用紀錄、軌跡資料及證據之保存。 十一、個人資料安全維護之整體持續改善。 資安必要措施,以所須支出之費用與所欲達成之個人 資料保護目的符合適當比例者為限。為與國際接軌, 乃仿英國BS10012:2009及日本JISQ15001:2006 等個人資料管理系統之規範,以P-D-C-A方法論予 以建立。(ISO 29100)
44
你的個資在哪裡? 家人 朋友、同學 學校 金融機構 電信業者 網路
45
公務機關之賠償 第28條 公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他 侵害當事人權利者,負損害賠償責任。但損害因天災、事變或其他不 可抗力所致者,不在此限。 被害人雖非財產上之損害,亦得請求賠償相當之金額;其名譽被侵害 者, 並得請求為回復名譽之適當處分。 依前二項情形,如被害人不易或不能證明其實際損害額時,得請求法 院依侵害情節,以每人每一事件新臺幣五百元以上二萬元以下計算。 對於同一原因事實造成多數當事人權利受侵害之事件,經當事人請求 損害 賠償者,其合計最高總額以新臺幣二億元為限。但因該原因事實 所涉利益超過新臺幣二億元者,以該所涉利益為限。 同一原因事實造成之損害總額逾前項金額時,被害人所受賠償金額, 不受 第三項所定每人每一事件最低賠償金額新臺幣五百元之限制。 第二項請求權,不得讓與或繼承。但以金額賠償之請求權已依契約承 諾或 已起訴者,不在此限。 只要能證明單位遵循第16條之規定,則無違反之虞。
46
非公務機關之賠償 第29條 非公務機關違反本法規定,致個人資料遭不法蒐集、處理、 利用或其他侵害當事人權利者,負損害賠償責任。但能證明 其無故意或過失者,不在此限。 (無故意→不小心可能導致有過失;無過失→不是故意且已盡 應盡則責任義務;要證明無故意且無過失) 第30條 損害賠償請求權,自請求權人知有損害及賠償義務人時起, 因二年間不行 使而消滅;自損害發生時起,逾五年者,亦 同。 第31條 損害賠償,除依本法規定外,公務機關適用國家賠償法之規 定,非公務機關適用民法之規定。
47
團體訴訟 第32條 第34條 依本章規定提起訴訟之財團法人或公益社團法人,應符合下 列要件:
一、財團法人之登記財產總額達新臺幣一千萬元或社團法人 之社員人數達一百人。 二、保護個人資料事項於其章程所定目的範圍內。 三、許可設立三年以上。 第34條 對於同一原因事實造成多數當事人權利受侵害之事件,財團 法人或公益社團法人經受有損害之當事人二十人以上以書面 授與訴訟實施權者,得以自 己之名義,提起損害賠償訴訟 。當事人得於言詞辯論終結前以書面撤回訴訟實施權之授與 ,並通知法院。………
48
罰則 第41條 違反第六條第一項、第十五條、第十六條、第十九條、第二 十條第一項規定,或中央目的事業主管機關依第二十一條限 制國際傳輸之命令或處分,足生損害於他人者,處二年以下 有期徒刑、拘役或科或併科新臺幣二十萬元以下罰金。 意 圖營利犯前項之罪者,處五年以下有期徒刑,得併科新臺幣 一百萬元以 下罰金。 第六條第一項:特種資料(5種) 第十五條、第十六條:公務機關對個人資料之蒐集、處理及 利用 第十九條、第二十條第一項:非公務機關對個人資料之蒐集 、處理及利用
49
罰則(cont.) 第42條 意圖為自己或第三人不法之利益或損害他人之利益, 而對於個人資料檔案為非法變更、刪除或以其他非法 方法,致妨害個人資料檔案之正確而足生損害於他人 者,處五年以下有期徒刑、拘役或科或併科新臺幣一 百萬元以下罰金。 第44條 公務員假借職務上之權力、機會或方法,犯本章之罪 者,加重其刑至二分 之一。 第45條 本章之罪,須告訴乃論。但犯第四十一條第二項之罪 者,或對公務機關犯第四十二條之罪者,不在此限。
50
罰則(cont.) 第47條 非公務機關有下列情事之一者,由中央目的事業主管機關或 直轄市、縣(市)政府處新臺幣五萬元以上五十萬元以下罰 鍰,並令限期改正,屆期未改正者,按次處罰之…… 第48條 非公務機關有下列情事之一者,由中央目的事業主管機關或 直轄市、縣(市)政府限期改正,屆期未改正者,按次處新 臺幣二萬元以上二十萬元以下罰鍰: 四、違反第二十七條第一項或未依第二項訂定個人資料檔案 安全維護計畫或業務終止後個人資料處理方法。 第50條 非公務機關之代表人、管理人或其他有代表權人,因該非公 務機關依前三 條規定受罰鍰處罰時,除能證明已盡防止義 務者外,應並受同一額度罰鍰 之處罰。
51
附則 第51條 第53條 有下列情形之一者,不適用本法規定: 一、自然人為單純個人或家庭活動之目的,而蒐集、 處理或利用個人資料 。
二、於公開場所或公開活動中所蒐集、處理或利用之 未與其他個人資料結合之影音資料。 公務機關及非公務機關,在中華民國領域外對中華民 國人民個人資料蒐集、處理或利用者,亦適用本法。 第53條 本法所定特定目的及個人資料類別,由法務部會同中 央目的事業主管機關指定之。
52
個資法修正 修正第6條特種個資蒐集、處理及利用之規定 (1)增列病歷為特種個資。
(2)增列「為維護公共利益所必要」、「經當事人書面同意」二款 事由,為蒐集、處理或利用特種個人資料之例外要件。 刪除第41、45條部份條文 刪除非意圖營利違反本法相關規定之刑事處罰。包括第41條的處 二年以下有期徒刑、 拘役或科或併科新台幣20萬元以下罰金,與第45條的告訴乃論相 關規定。 修正第54條一年內完成告知義務之期限規定 刪除一年內完成告知之期限規定,改成於處理或利用前向當事人 告知即可。
53
個資法施行細則修正 拿掉細則草案的軌跡資料
多數認為軌跡資料若與個人資料檔案密不可分,相關 的蒐集、處理、利用和刪除等,便已經受到新版個資 法的規範,無須再以細則條文明訂相關軌跡資料該如 何保存;若軌跡資料多是系統設備的存取資訊與個資 無關,不受個資法規範,保存與否則受各公務與非公 務機關的資訊部門規範。
54
你今天洩漏個資了嗎?
55
教育單位防洩漏個資掃瞄平台
56
掃瞄平台服務說明 採監測平台營運模式,由各區網/縣市教育網路中心提 供轄下連線單位申請,針對網站之開放頁面(無須帳密 登入)掃瞄服務。
排程採「先進先出」模式,照排位先後進行掃瞄。 提供自建關鍵字以及設定風險值鑑別規則功能,滿足 教育單位需求。 檢測項目:身分證、信用卡、室內電話、手機號碼、 地址、電子郵件與自訂關鍵字(包括:名冊、名單、身 分證、信用卡) 已陸續完成27處區網、縣市網路中心移轉。
57
個資掃瞄平台架構
58
平台介面
59
1-1.檢測申請-使用者帳號申請流程圖 1.帳號申請 使用者 2. 通知管理者 4.帳號啟用結果 帳號審核 3.登入後台 系統管理者
防洩漏個資平台 1.帳號申請 使用者 2. 通知管理者 帳號審核 4.帳號啟用結果 3.登入後台 系統管理者
60
1-2.檢測申請-網站檢測申請流程圖 5.檢測申請 使用者 6.登入後台 網站審核 7.網站審核結果 系統管理者 ●流程說明:
防洩漏個資平台 5.檢測申請 使用者 網站審核 6.登入後台 7.網站審核結果 系統管理者 ●流程說明: 5. 使用者登入後,檢測申請網站。 6. 管理者登入後台後,審核使用者申請的網站。 7. 通知網站審核結果(通過或未通過)。 使用者需申請帳號、填寫個人資料。 通知管理者、使用者。 管理者登入後台後,審核使用者申請的帳號。 通知使用者審核結果(通過或未通過)。
61
檢測申請流程說明 ●檢測服務申請流程說明: 【使用者帳號申請流程】 【網站檢測申請流程】
1. 單位使用者至「教育機構防洩漏個資掃瞄平台」申請個人資訊與檢測平台網址,必須先勾選教育機構防洩漏個資掃瞄服務條款。 2. 填寫完畢後,平台將註冊資訊以電子郵件傳送給使用者,並發E- Mail通知管理者有新單位使用者帳號加入 3. 管理者審核單位使用者帳號 4. 審核結果由平台發通知信給單位使用者並且說明原因。 【網站檢測申請流程】 5.管理者以 回覆網站審核結果給單位使用者,審核無誤後,管理者開通單位使用者申請之檢測網址。
62
2、系統檢測流程圖 支援HTTPS 1.新增排程 2.取得號碼牌 使用者 3.系統排程 9.通知使用者 10.繼續下一筆檢測 8.完成檢測
防洩漏個資平台 1.新增排程 2.取得號碼牌 使用者 3.系統排程 9.通知使用者 10.繼續下一筆檢測 支援HTTPS 1.使用者登入網站應用程式弱點檢測平台 2.進入「網站排程」頁面 3.下拉「檢測網址」選擇受測網站與點選「檢測服務時程」選擇檢測時間(限制) 4.系統依排程進行網址檢測 5.檢測完成,系統自動產生檢測報告 6. 寄發檢測完成通知 7.使用者登入平台,進入「網站結果」頁面瀏覽檢測報告 8.完成檢測 5.Google 6. Spider 7.分析檔案內容 4.開始檢測 ●流程說明: 平台依排程進行網站檢測 檢測完成,平台自動自動產生檢測報告 寄發檢測完成通知給單位使用者 單位使用者登入平台, 進入「網站結果」頁面 瀏覽檢測報告 單位使用者登入平台 進入「網站排程」頁面 在「檢測網址」選擇受測網站,勾選檢測類別項目, 並點選「檢測服務時程」選擇檢測時間 (註:同一帳號申請另一次檢測,排程需間隔三天)
63
檢測申請
64
檢測申請(cont.) 平台支援IPV6格式掃瞄,但受限搜尋引擎尚未全面開放之因素,掃瞄結果可能會有所偏誤(但Domain Name掃瞄則無此限制)。 平台可進行https頁面掃瞄。 若該受測網站架構組成較複雜者,其檢測申請之網址設定需精確,或進行多筆Domain Name之申請。
65
檢測清單
66
6項個資檢測功能 目前可檢測之個資類別包括: 身份證 信用卡 室內電話 手機號碼 地址 關鍵字
67
新增關鍵字
68
可分析的副檔名 分析的副檔名可包含以下: html、htm、php、asp、aspx、 txt、doc、docx、xls、xlsx、
pdf、ppt、pptx、jsp
69
檢測結果畫面
70
檢測結果畫面(cont.) 若來源顯示「spider」,可能無否透過連結功能取得詳細URL資訊,需於伺服器本機 進行搜尋。
71
PDF檔案匯出
72
風險判定規則 風險 規則 值 身份證 信用卡 地址 室內電話 手機號碼 關鍵字 高 2 20 5 中 1 10 3 低
73
個資掃瞄平台使用說明 本平台僅提供教育單位針對轄下網站之公開頁面,進 行內容之掃瞄,以判斷是否有含個資訊息之網頁。
掃瞄的結果會受到URL爬尋範圍的影響,部分含個資 之頁面,在當次掃瞄中可能無法順利搜尋到,建議可 用其他方式輔助、加強。 組成架構較複雜之網站,檢測網站宜謹慎訂定,可設 定多Domain Name掃瞄(亦產生多份掃瞄報告),以完 整檢視該網站之所有含個資頁面。
74
個資掃瞄平台使用說明(cont.) 網站是活的,會不斷增長頁面,因此持續進行 個資掃瞄有其必要性。
藉由掃瞄系統風險高低區隔,輔以人工判讀將 有效協助判斷個資洩漏情事。建議可先以「高 風險區」著手。 本平台之掃瞄紀錄會定期刪除,以避免存放他 人個資,請即時檢視掃瞄報告,並盡早移除個 資洩漏風險之頁面或資訊。
75
單機版個資掃瞄軟體
76
結論
77
面對個資,教育單位應該… 校務行政 註冊 教學 成績與公告 其他 班級經營 聯絡清單 部落格
78
面對個資法,教育單位需思考… 如何建立全單位適用、能用的個資保護規範與流 程?
如何分散個資保護的責任與風險?非單位需概括 承受?非個人可置身事外? 商業行為不負擔教育顧客的責任,但教育顧客( 學生)卻是教育單位的天責!
79
如何保護個資? 瞭解個資法 識別簽署的文件、勾核的聲明條款 不養成分享的習慣 適時的捍衛自己的權益
80
教育單位因應作為 瞭解、蒐集相關可引用之規定,以及現有之條款 (法源依據、法令援引) 加強人員觀念及責任(設立專人、教育訓練)
落實個人資料蒐集、處理與利用相關作業之合法 措施(例如學籍表上的個資條款)→PIMS 強化與ISMS規範的連結 識別個人資料的歷程 鑑別個人資料的風險 建立個人資料的控管及記錄措施
81
參考資料 全國法規資料庫 2010年教育機構資訊安全驗證稽核實務課程講義
個人資料保護法新舊法比較 shx?FLID=2722 大眾傳播業保有個人資料檔案安全維護計畫 個資法執照登記公告 範例 範本
Similar presentations