國立嘉義大學個人資料保護政策

國立嘉義大學（以下簡稱本校）為落實個人資料之保護及管理並符合「個人資料保護法」之要求，特訂定個人資料保護管理政策（以下簡稱本政策）。本校個人資料保護管理之目標如下：

一、依「個人資料保護法」、「個人資料保護法施行細則」要求，規範個人資料之蒐集、處理及利用，以避免人格權受侵害，促進個人資料之合理利用及最小化使用，並保護個人資料蒐集、處理、利用、儲存、傳輸、銷毁及國際傳輸之過程。

二、為保護本校業務相關個人資料之安全，免於因外在威脅，或內部人員不當之管理與使用，致遭受竊取、竄改、毁損、滅失、或洩漏等風險。

三、提升對個人資料之保護與管理能力，降低營運風險，並創造可信賴之個人資料保護及隱私環境。

四、為提升同仁個人資料保護安全意識，每年定期辦理個人資料保護宣導教育訓練定期針對個人資料流程進行風險評鑑，鑑別可承受風險等級。

壹、全景與宗旨

一、本校以「光耀嘉義、揚名全國、躋身國際」之發展使命與願景為宗旨，以研究高深學術及培養專門人才為要務，積極建構一個充滿關懷、溫馨、和諧及人文氣息之校園。

二、電算中心為促進本校個人資料保護管理制度執行之有效性，期使本制度達成既定之目標，以增進業務之運作，確保本校利害關係人個人資料之安全，提供安全穩定的資訊服務為宗旨。

貳、利害關係人之參與及期許

本校個人資料保護及管理決議事項應納入個資管理委員會報告，涉及重大決議之會議紀錄應提報主管機關（教育部）及利害關係人（如企業雇主、畢業校友、學生家長、本校教職員工生及其他與本校相關人士等），如有任何回饋事項，將列入下次推動委員會議之討論議題。

為確保本校矯正預防措施之有效運作，應落實管理審查機制，本校每年至少舉行一次個資管理委員會會議，並確實討論下列議題：

（一）過往管理審查之議案的處理狀態

（二）資通訊安全或個資管理要求的變更，如上級機關要求、最高行政管理會議決議事項

（三）管理目標與指標量測結果

（四）內外部稽核結果

（五）個資事故與不符合項目之矯正情形

（六）風險評鑑結果及風險處理計畫執行進度

（七）持續改善之機會

參、個人資料之蒐集與處理

本校因營運所需取得或蒐集之包括但不限於個人之姓名、出生年月日、國民身分證統一編號（護照號碼）、特徵、指紋、婚姻、家庭、教育、職業等個人資料，應遵循我國個人資料保護法（以下簡稱個資法）等法令，不過度且符合目的、相關且適當並公平與合法地從事個人資料之蒐集與處理。

肆、個人資料之利用及國際傳輸

一、本校於利用個人資料時，除需依個資法之特定目的必要範圍內為之外，如需為特定目的以外之利用時，將依據個資法第十六條之規定辦理；倘有需取得用戶之書面同意之必要者，本校應依法取得用戶之書面同意。

二、本校所蒐集、處理之個人資料，應遵循我國個資法及本校個資管理制度之規範，且個人資料之使用為本校營運或業務所需，方可為本校承辦同仁利用。

三、本校取得之個人資料，如有進行國際傳輸之必要者，定謹遵不違反國家重大利益、不以迂迴方法向第三國傳輸或利用個人資料規避個資法之規定等原則辦理，又倘國際條約或協定有特別規定、或資料接受國對於個人資料之保護未有完善之法令致有損害當事人權益之虞者，本校將不進行國際傳輸，以維護個人資料之安全。

伍、個人資料之調閱與異動

本校應尊重當事人對其個人資料所能行使之權利，當本校接獲個人資料調閲或異動之需求時，應依個資法及本校所訂之程序，於合法範圍內進行當事人之個人資料權利行使，並維持個人資料之正確性。

陸、個人資料之例外利用

一、本校因業務上所擁有之個人資料負有保密義務，除當事人之要求查閲或有下列情形外，應符合個資法第十六條及相關法令規定，並以正式公文查詢外，本校不得對第三人揭露：

(一) 司法機關、監察機關或警政機關因偵查犯罪或調查證據所需者。

(二) 其他政府機關因執行公權力並有正當理由所需者。

(三) 與公眾生命安全有關之機關（構）為緊急救助所需者。

二、本校對個人資料之利用，除個資法第六條第一項所規定資料外，應於蒐集之特定目的必要範圍內為之。但有下列情形之一者，得為特定目的外之利用：

（一）法律明文規定。

（二）為維護國家安全或增進公共利益所必要。

（三）為免除當事人之生命、身體、自由或財產上之危險。

（四）為防止他人權益之重大危害。

（五）公務機關或學術研究機構基於公共利益為統計或學術研究而有必要，且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。

（六）有利於當事人權益。

（七）經當事人同意。

柒、個人資料之保護

（一）本校已成立個人資料保護組織，明確定義相關人員之責任與義務。

（二）本校已建立與實施個人資料管理制度，以確認本政策之實行；全體員工及委外廠商應遵循個人資料管理制度之規範與要求，並定期審查。

（三）為防止個人資料被竊取、竄改、毁損、滅失或洩漏，本校設置個人資料保護管理委員會（以下簡稱個資管理委員會），統籌個資保護作業原則規劃事宜，置召集人及執行秘書各一人，分別由副校長及電算中心主任擔任。管理小組成員，由各行政單位主管及學院院長擔任之。並依相關法令規定辦理個人資料檔案及個人資料清冊安全維護及更新事項。

（四）個人資料檔案應建立管理制度，分級分類管理，並針對接觸人員建立安全管理規範。

（五）為確保所有個人資料安全，應強化個人資料檔案資訊系統之存取安全，防止非法授權存取，維護個人資料之隱私性，應建立安全保護機制，並定期查核。

（六）個人資料檔案儲存於個人電腦者，應於該電腦設置可辨識身分之登入通行碼，並視業務及重要性，考量其他輔助安全措施。

（七）個人資料輸入、輸出、存取、更新、銷毁或分享等處理行為，應釐定使用範圍及調閲或存取權限。

（八）本校各單位如遇有個人資料檔案發生遭人惡意破壞、毁損或作業不慎等安全事件，應進行緊急因應措施，並依本校【個人資料保護緊急應變處理作業說明書】通報程序辦理。

（九）本校應設置個資聯絡窗口，受理當事人個資陳情、投訴、諮詢、個人權益及個資保護事項之協調聯繫等相關事宜。

（十）本校係以嚴密之措施、政策保護當事人之個人資料，包括本校之所有教職員工生，均受有完整之個資法及隱私權保護之教育訓練。倘有洩露個資之情事者，將依法追究其民事、刑事及行政責任。

（十一）本校之委外廠商或合作廠商與本校業務合作時，均應簽訂保密契約，使其充分瞭解個人資料保護之重要性及洩露個資之法律責任。倘有違反保密義務之情事者，將依法追究其民事及刑事責任。

（十二）本校於委託蒐集、處理及利用個資時，應妥善監督受委託單位，明定受委託單位個資安全保護責任及保密規定，並列入契約，要求受委託單位遵守並定期予以查核。

捌、個人資料保護政策之修正