1. 前言：

崇右影藝科技大學（以下簡稱本校）為落實個人資料保護法要求，以及維護校園之個人資料安全，規劃本校個人資料保護之框架，發展具適法性及有效性之個人資料保護管理機制，建立本校個人資料管理系統(PIMS)之共同性規範、程序指引與參考表單，以落實個人資料保護與管理。

2. 個人資料保護政策：

為使個人資料保護管理委員會執行方向能有所依據，訂定個人資料保護政策聲明，作為個人資料保護工作之最高指導方針。聲明內容如下：

2.1 崇右影藝科技大學個人資料保護政策聲明

2.2 本校認知個人資料保護的重要性，為展現對個人資料與隱私保護之決心，特訂定下列政策聲明為本校個人資料保護最高指導方針。

2.2.1 本校基於合法的組織目的，蒐集最少的必要個人資料，並採行適當安全措施，確保個人資料被公平合法的處理及利用。

2.2.2 本校將維持學校處理的個人資料檔案清單。

2.2.3 本校將維持所經手個人資料於正確與最新狀態。

2.2.4 本校尊重個人對其個人資料所受保障的相關權利。

2.2.5 本校僅在確實必要且有適當充分保護的狀況下，將個人資料移轉到其他的地方。

2.2.6 本校將發展和實行個人資料管理系統，落實個人資料保護政策。

2.2.7 本校針對涉及個人資料之個案，會確認內部和外部的利害關係人，以及這些利害關係人涉及學校個人資料管理系統治理的程度。

2.2.8 本校確保個人資料管理系統之管理皆由特定職責且承擔責任的人員負責。

3. 適用範圍、目標與義務

3.1 範圍

本管理系統適用範圍包含全校各行政單位，涉及個人資料的蒐集、處理與利用相關業務，包含之文件紀錄、資訊系統、軟硬體設備、人員與作業程序。

3.2 組織全景評鑑

個人資料保護執行小組依據「I-2-21組織全景評鑑管理程序書」規範，建議個人資料保護安全管理制度(PIMS)之實施範圍，呈報「個資保護管理委員會」進行審核同意。

3.3 目標

本校依據我國個資保護法規暨BS 10012國際標準，制定PIMS目標，作為本校評鑑個資保護機制運作良窳之基準， 並參考「I-2-02管理系統目標作業程序書」製訂PIMS目標，每年定期納入管審會議審核。

3.4 義務

本校蒐集、處理與利用個人資料時應履行下列之義務：

3.3.1 個人資料之蒐集、處理與利用，應尊重當事人之權益，依誠實及信用方法為之，不得逾越特定目的之必要範圍，並應與蒐集之目的具有正當合理之關聯。

3.3.2 本校依個人資料保護法第十九條規定向當事人蒐集個人資料時，應明確告知當事人下列事項：

3.3.2.1 本校名稱。

3.3.2.2 蒐集之目的。

3.3.2.3 蒐集個人資料之類別。

3.3.2.4 個人資料利用之期間、地區、對象及方式。

3.3.2.5 當事人依個人資料保護法第三條規定得行使之權利及方式。

3.3.2.6 當事人得自由選擇提供個人資料時，不提供將對其權益之影響。

3.3.3 非由當事人提供之個人資料，應於處理或利用前，或對當事人首次利用時，向當事人告知個人資料來源及前條所列事項。

3.3.4 本校應依當事人之請求，就其蒐集之個人資料，答覆查詢、提供閱覽或製給複製本。

3.3.5 本校應維護個人資料之正確，並應主動或依當事人之請求更正或補充之。

3.3.6 本校若發生違反個人資料保護法規定，致個人資料被竊取、洩漏、竄改或其他侵害者，應查明後以適當方式通知當事人。

4. 適用法律規定

本校個人資料管理系統適用個人資料保護法、個人資料保護法施行細則、私立專科以上學校及私立學術研究機構個人資料檔案安全維護實施辦法等法規。

5. 名詞解釋

5.1 個人資料：指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。

5.2 個人資料檔案：指依系統建立而得以自動化機器或其他非自動化方式檢索、整理之個人資料之集合。

5.3 蒐集：指以任何方式取得個人資料。

5.4 處理：指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。

5.5 利用：指將蒐集之個人資料為處理以外之使用。

5.6 當事人：指個人資料之本人。

5.7 資訊安全：保護資訊的機密性、完整性與可用性。

5.8 風險評估：以有系統的方式使用資訊，進而辨識風險的來源，將預估與既定的風險標準比較，以決定風險的重要性。

5.9 風險處理：選擇與實施修正風險的措施。

5.10 機密等級：個人資料檔案依其個人資料內容可能包含多種的個人資料類別。個人資料檔案依其所含個人資料類別中最高之機密等級，對應為該個人資料檔案之機密等級。

5.11 個人資料類別清單：考量本校實際蒐集之個人資料，依據個人資料保護法個人資料之類別，修改為適用本校之個人資料類別清單，並定義各種個人資料類別的機敏等級。

6. 組織與職責

依據本校個人資料保護管理委員會組織章程，制訂「P-2-01個人資料組織及人力管理程序書」建立個人資料保護推動組織架構與工作職掌。

7. 資源提供

透過個人資料保護管理委員會決議事項，籌獲個人資料保護作業所需之適當資源，以持續改善其運作之績效。

8. 教育訓練

制訂「P-2-01 個人資料組織及人力管理程序書」並要求本校個資管理單位應定期實施個人資料教育訓練，以提升管理個人資料相關人員能力與觀念。

9. 個人資料管理程序

9.1 個人資料保護原則

9.1.1 公平、合法並透明的處理。

9.1.2 僅為了特定合法的目的而取得，且不進行不合於該目的之處理。

9.1.3 充分、相應及有限的，以符合資料限制原則。

9.1.4 精準並更新，盡力避免超過應刪除或修正的時間。

9.1.5 明定儲存方式，保存不超過所需求的時間。

9.1.6 以技術和組織化量測方式確保個人資料適當的安全、誠信及隱私。

9.2 本校依據BS 10012:2017、個人資料保護法、施行細則，建立「P-1-01-01 個資文件階層參照表」，以對應四階程序文件，落實個資保護管理系統建置。

9.3 個人資料風險評估與管理

制訂「P-2-03個人資料蒐集、處理與利用管理程序書」「P-2-05個人資料風險評估與管理程序書」並要求本校各一、二級單位應針對個人資料檔案進行風險分析採取措施，以確保個人資料檔案可受到適當之保護。

9.4 個人資料蒐集、處理與利用管理

制訂「P-2-03個人資料蒐集、處理與利用管理程序書」及「P-2-02隱私權告知管理程序書」等相關程序，並要求本校各一、二級單位應確保蒐集的個人資料在特定目的下適當且不過度，並且讓當事人的個人資料能被公平與合法的處理。

9.5 個人資料權利行使管理

制訂「P-2-04個人資料權利行使管理程序書」並要求本校個資蒐集權責單位應依個人資料法規定個人資料當事人享有之權利，訂定本校對於個人權利行使之方式與流程，相關單位作業應包含：

9.5.1 提供當事人依個人資料法享有之權利。

9.5.2 當事人各項權利行使方式與流程。

9.5.3 當事人各項權利行使所需費用評估。

9.5.4 對當事人請求之回覆要求。

9.5.5 當事人針對個人資料案件申訴作業。

9.6 隱私權告知管理

制訂「P-2-02隱私權告知管理程序書」並要求本校個資蒐集單位應依據個人資料法規定，向當事人蒐集個人資料時，應明確對當事人履行告知義務。對於隱私權告知內容與方式應有規範，各單位作業應包含

9.6.1 隱私權告知時機與方式

9.6.2 隱私權告知聲明內容修(新)訂

9.6.3 隱私權公告版本控制與紀錄保留

9.7 個人資料安全作業管理

制訂「P-2-03個人資料蒐集、處理與利用管理程序書」及相關三階作業標準書，並要求本校各一、二級單位應確保個人資料能受到安全保護，結合「資訊安全管理系統ISMS」，對於如資訊系統、資訊設備或個人電腦之使用需有安全作業規定，相關作業需保存紀錄，並定期進行檢核，確保作業安全。

9.8 個人資料事件管理

制訂「P-2-07個人資料事件管理程序書」並要求本校各一、二級單位應針對個人資料安全事件的發生，即刻進行反應，並採取適當的處理措施，降低損害的擴大，列入後續改正參考，以杜絕類似事件再發生，有效降低威脅，相關單位作業應包含：

9.8.1 建立資訊與個人資料安全事件通報流程，包含內部通報與外部通報。

9.8.2 資訊與個人資料安全事件處理，作業內容應記錄備查，並經由權責人員審視確認。

9.8.3 事件處理前，應確實做好證據保存工作，如為數位證據應先備份。

9.8.4 定期彙總進行事件分析，以採取適切管控措施。

9.9 個人資料委外作業管理

制訂「P-2-06個人資料委外作業管理程序書」並要求本校各一、二級單位應於委託他人蒐集、處理或利用個人資料時，對委外單位做適當之監督。對於涉及個人資料之委外作業應做管制。

9.10 文件管理

參考「I-2-01 文件資訊管理程序書」作業，並要求本校各一、二級單位應針對個人資料文件、紀錄等各項資料，建立適當管理機制，以確保個人資料管理系統文件作業安全。。

9.11 內部稽核管理

參考「I-2-04內部稽核管理程序書」作業，並要求本校各一、二級單位應針對個人資料保護各項管理機制，需經由內部稽核機制進行監控與審查，以確保個人資料管理系統運行達到預期目標。藉由內部稽核作業，瞭解各項作業執行之成效，以作為持續維護個人資料管理制度之參考。透過稽核結果進行改善與預防，確保個人資料管理制度之有效性及持續改善，相關單位作業應包含：

9.11.1 稽核規劃與稽核人員的選擇。

9.11.2 建立個人資料保護稽核檢查表。

9.11.3 定期或不定期進行，並向管理階層報告結果。

10. 管理責任

本校管理階層需規劃符合校方或政府相關法令規範要求之個人資料政策及目標，每年應訂定並發布績效衡量指標、完成內部稽核，並應於個人資料保護管理委員會議中，提出績效指標達成現況統計值，透過管理審查活動，瞭解本管理系統之適法性與有效性，進而修正本管理系統，以達持續改善之目的。

10.1 於內部稽核執行後召開管理審查會議，檢討稽核結果處理狀況、管理系統可改善之機會，及審查管理系統是否可維持其適法性、充分性與有效性。

10.2 管理審查會議中需檢討下述各項資訊：

10.2.1 先前管理審查措施的執行狀況；

10.2.2 與PIMS有關之外部與內部議題的變更；

10.2.3 PIMS的績效資訊，及各方回饋意見。

10.2.4 風險評估結果，及其他可能升級風險。

10.2.5 內、外部稽核結果。

10.2.6 個人資料管理各項程序變更審查。

10.2.7 個人資料相關之管理、資訊系統或其他技術升級及/或更換的結果。

10.2.8 主管機關檢查結果及評估要求。

10.2.9 個人資料申訴抱怨事件及當事人權利行使結果。

10.2.10 已違反或已發生個人資料內外部個資事件及事件統計與處理情形。

10.2.11 個人資料管理矯正預防及改善情形與追蹤報告。

10.2.12 其他持續增進改善個人資料管理系統事項。

10.3 管理審查會議結果需包含以下事項之決策目標及行動方式：

10.3.1 持續改善機會有關之決策，及任何對PIMS變更之需要（例：個人資料管理制度之政策、程序、作業及表單，是否需要進行修正）。

10.3.2 審查會議依據審查及討論事項之內容，應將個人資料管理審查結果製作成會議紀錄，以利後續之改善追蹤。

10.4 矯正預防管理

參考「I-2-05矯正及預防管理程序書」作業，並要求本校各單位應確保任何有關現有或潛在不合格事項能及時採取有效之對策，經由適當的矯正及預防措施處理，防止類似問題再次發生，達到持續改善之目的，相關單位作業應包含：

10.4.1 發現呈異常情況時須進行矯正改善。

10.4.2 依據適切的資料來源採取預防措施。

11. 參考文件

11.1 I-2-21組織全景評鑑管理程序書

11.2 I-2-02管理系統目標作業程序書

12. 使用表單：

12.1 個資文件階層參照表(P-1-01-01)