| 回首頁 | 臺大首頁 | 計中首頁 |
資安事件通報資訊聯絡方式:
  • 電子郵件信箱:
    security@ntu.edu.tw
    abuse@ntu.edu.tw
  • 聯絡電話:
    (02)3366-5010

個資法Q&A



Why 為什麼要盤點個人資料檔案

  1. 按99年5月26日公布之個人資料保護法(尚未施行,以下簡稱個資法)第17條及現行電腦處理個人資料保護法第10條均規定,公務機關應將保有個人資料檔案名稱、保有機關名稱及聯絡方式、個人資料檔案保有之依據及特定目的、個人資料類別等事項公開。
  2. 資料如為短期持有,使用者可以確定資料使用完後刪掉,填寫內部資料有助於管理者控管風險,對於外部的資料,公務機關需要把個人資料所收集的部份對外公開。管理者須掌握哪些單位有個人資料,以了解風險所在。
    • 一般性的活動報名表由於簽到完之後都會銷毀,屬於短暫性的資料,因此這些短暫性的資料不需要填寫。


What 那些資料要盤點

  1. 公告時,相同的個人資料檔案,僅需公告一份(見第四大項第六點)。但內部盤點時,相同的個人資料檔案,若同時存在系統資料庫、存於個人電腦,以及列印成紙本,於盤點時需填三份表單。
  2. 若有多份個人資料檔案,使用目的相同,僅部分欄位有所出入,於盤點時僅需填寫1份表單,但填寫第五欄「個人資料之範圍」時,須填寫最大化之所有欄位。
  3. 若有一份個人資料檔案重複或是多種資料表,內部盤點時,相同的個人資料檔案,若同時存在系統資料庫、存於個人電腦,以及列印成紙本,於盤點時需填三份表單。格式一樣的表單,只要寫一份就好,不是每份都要填。不是盤點它的數量,而是盤點它的格式。例如兵役系統有很多的報表,如果兵役系統有10種報表,每種報表都必須填寫,如果報表可以轉成紙本或列印出來或燒成光碟,也必須填寫,所以系統,電子檔,紙本都要填寫。
  4. 檔案格式分為三種:1.系統2.檔案3.紙本
    • 若有列印出來的,或有存放到個人電腦裡面,或燒成光碟備份的,都需要填寫。
    • 若系統在他處,只是在不同時間下載來使用,就只需要填一筆,不需要每次下載都去填寫,但前提下載格式、欄位都必須相同。
    • 只要資料有輸出,且資料有不同的格式,都必須增加一個盤點的紀錄檔,舉例而言,在醫療體系中,整個門診的流程裡面會產生各種報表,包括報告單,收據,處方籤,病歷…等,雖然這些資料的所有來源都是在醫療門診系統裡,但因為至這些資料格式都不相同,因此,皆需增加一個盤點的紀錄檔。
  5. 如果使用的特定目的不一樣就需要填寫。
  6. 如果是同個類型的只需要填一筆,不需要每個人都去填,所謂同類型是指特定目的一樣,資料收集範圍一樣,就只需要填一筆。例如,舉辦一個研討會可能收集身分證,電子郵件,姓名,下次再舉辦研討會時,如果又收集電話的話,就要再填一筆。而填寫的人沒關係,重要的是要盤點。
  7. 如使用者引用其他資料,需填寫:1.類型、2.欄位、3.特定目的。
  8. 若有多份個人資料檔案,使用目的相同,僅部分欄位有所出入,於盤點時僅需填寫1份表單,舉例而言,以學校請款的報帳系統來說,每個月幾乎都有一萬份以上的支出憑證單,由於它們都是同一個格式,同一個特定目的,同一個個人資料類別,因此,只需要填寫一份盤點紀錄即可。


Who 誰要負責盤點

  1. 盤點時,因須填寫「使用目的」等相關欄位細節,應由個人資料檔案之蒐集使用者(即業務單位)熟悉業務者來填寫盤點表,而非系統建置單位或委外廠商填寫。一般而言,計資中心是系統的擁有人,負責整個系統以及資料庫的維護作業,不負責檔案資料的填寫。
  2. 各個單位裡面都有自己承辦的業務,填系統則是由個人填而不是單位填,比如說有人是負責財產申報,有人則是負責管理辦理,是屬於個人填而不是單位填。所以只要有跟個人資料有關的都必須填妥。
  3. 若因工作變更或是更換單位,這是屬於「資料移交」的範圍,所屬工作都是移交的部份,就要在移交清冊裡這些檔案移交到下一個單位。目前系統是隨時開放,期限在8/19之前要完成所有的盤點。等計中系統開發完成,會在網址留新系統的連結(或通知信通知),請重新確認並填寫。
  4. 當一個系統跨很多單位使用時,有兩種方法來填寫:第一種做法是讓每個使用這套系統的部門都填寫;第二種做法是只由一個部門負責填寫,但是必須要指出這個系統有哪些單位在使用。
  5. 活動資料之填寫,因為需填寫使用目的等相關欄位,應由個人資料檔案的蒐集使用者來填寫,而非系統建置廠商或委外廠商填寫。


When 何時、頻率

  1. 各單位務必須趕緊填寫(8/19),以助於教育部把特定目的呈報上去,讓施行細則在公告的時候可以把特定目的,或者是個人資料的類別新增上去,如此一來,即可補足法規的部分,讓我們在合法的狀態下收集個人資料。
  2. 盤點依教育部的規範,目前預定半年盤點一次,但還要看未來實際立法的狀況,可能就視狀況延長到一年或兩年盤點一次,但基本上不會超過兩年以上,大部都是兩年內會盤點一次。


How 如何盤點?

  1. 舉辦研討會活動時,所收集的資料、目的、類別和範圍是一模一樣的話,理論上只需填妥一筆。假設今天收集五個欄位,下次再多一個欄位,就需再增添一筆。學生舉辦迎新活動,不需要填資料。但因為活動在法規上屬於社交活動,所以還是需要查詢實際案例,比方說某些活動是公開的,這部分可能需要填,若有些活動是私下舉辦的,可能就要諮詢教育部。
  2. 學生舉辦的活動,如為公開性質,則需填寫,如活動為私下舉辦,則必須諮詢教育部。
  3. 目前系統並沒有提交、刪除和修改的部份,如果填錯不能反悔,只能填一次。
  4. 對於比較私密的內容,此系統只需填寫個人資料的欄位資訊,不用填寫個人資料的內容。
  5. 有關個人資料的盤點,收集的個人資料沒有在特定的範圍內,要去確認未來是不是可以再繼續收集,否則就不能再繼續收集。如果系統中有非常多欄位,像子女、身分證字號、性別等等,資料都有的話,要確定收集這些欄位的目的是什麼。沒有目的的個人資料盡可能不要去收集。


Others 其他

  1. 使用者只要有填寫資料並做好安全防護措施,即不用負任何資料遭竊之責任。
  2. 建議業務單位日後為個人資料檔案建立、使用及保管之標準作業流程,以減少資料外洩之可能與妥善控管。