本聲明經由第 1130110 次校務會議協定通過於 2025 年 01 月 10 日發行,版本:V-1.0
C S J H(以下簡稱本校)為落實個人資料之保護及管理並符合「個人資料保護法(以下簡稱個資法)」及「個人資料保護法施行細則」之要求,特訂定個人資料保護管理政策(以下簡稱本政策)。本校個人資料保護管理之目標如下:
一、依「個人資料保護法」、「個人資料保護法施行細則」要求,保護個人資料蒐集、處理、利用、儲存、傳輸、銷毀之過程。
二、 為保護本校業務相關個人資料之安全,免於因外在威脅,或內部人員不當之管理與使用,致遭受竊取、竄改、毀損、滅失、或洩漏等風險。
三、提升對個人資料之保護與管理能力,降低營運風險,並創造可信賴之個人資料保護及隱私環境。
四、 為提升同仁個人資料保護安全意識,每年定期辦理個人資料保護宣導教育訓練。
五、 定期針對個人資料流程進行盤點作業,建立個人資料清冊,並進行風險評鑑,鑑別可承受風險等級。
設立資訊安全暨個人資料保護推動人員,明確定義相關人員之責任與義務,提升整體個人資料保護工作效能與達到符合法規要求,並發展與建立個人資料管理制度( PIMS ),以確認本政策之實行。
本校因營運所需取得或蒐集之包含但不限於個人之姓名、出生年月日、國民身分證統一編號(護照號碼)、特徵、指紋、婚姻、家庭、教育、職業等個人資料,應遵循我國個人資料保護法等法令,不過度且符合目的、相關且適當並公平、合法且透明地從事個人資料之蒐集與處理。
一、本校於利用個人資料時,除需依個資法之特定目的必要範圍內為之外,如需為特定目的以外之利用時,將依據個資法第二十條第一項之規定辦理;倘有取得個人資料當事人同意之必要者,本校應依法取得當事人之同意。
二、本校所蒐集、處理之個人資料,應遵循個人資料保護法、個人資料保護法施行細則及本校個人資料管理制度之規範,且於本校業務所需之範圍內,方可為本校承辦同仁利用。
為維持正確個人資料並確保其安全,當本校接獲個人資料調閱或異動之需求時,應依個資法及本校所訂之程序,於合法範圍內進行當事人之個人資料查詢或請求閱覽、請求製給複製本、請求補充或更正、請求停止蒐集、處理、利用、請求刪除。
本校因業務或行政上所擁有之個人資料負有保密義務,應符合個資法第二十條及相關法令規定,並以正式公文查詢外,本校不得對第三人揭露。
一、規範個人資料有關之檔案與紀錄之保存期限及銷毀方式。
二、若法規有規定,依法規規定。
三、若法規未要求,由各單位依業務保存之必要自行訂定合理之保存期限。
四、定期將過期檔案與紀錄整理及銷毀。
五、個人資料由專人進行保管,並以適當安全維護措施保全之,以維護個資之機密性及完整性。
六、應確保處理直接由未成年人蒐集的資訊受到特別保護。
七、應留存處理個資檔案的相關軌跡紀錄及稽核紀錄,以界定同仁在PIMS中之責任與歸責性。
一、定期執行個資盤點,並維持最新之個人資料類別清單。
二、定期執行風險評鑑,以確認其可能之威脅及衝擊,並加以回應。
三、定期執行個人資料管理制度(PIMS)之內部稽核及管理審查,以確認PIMS運作之符合性、落實狀況、運嘬狀況及需改善之處。
一、在與委外廠商約定之前,進行適當安全性的評估。
二、備妥書面協議以提供具體指明的服務與內容,並要求委外廠商提供適當的安全措施。
三、如委外廠商有使用複委託廠商蒐集、處理、利用個人資料之需求,其在合約下有義務先獲得本校對此等需求之許可。
本校之個人資料保護政策,每月定期或因時勢變遷或法令修正等事由,予以適當修訂,並陳資訊安全暨個人資料保護推動委員會後,公告實施,修正時亦同。