鑒於學校使用媒體網路影音平臺(如Youtube等)上傳作業時,可能因權限管理不當導致學生權利受到侵害,請各校使用媒體網路影音平臺請學生上傳作業者,應注意旨揭事項,做好帳號及權限之管理,降低風險,並請各校主管機關加強宣導所轄學校。
綜上,為了維護學生的基本權益,各校應加強宣導學生使用數位平臺之相關知能及素養,例如須注意隱私、分享等相關設定,降低資料非經當事人同意之使用行為風險;此外,教師使用數位平臺進行教學活動時,若課程所蒐集之學生作業或報告內含個資或隱私資訊者(如學生影音資料等),教師應妥為保管,並注意使用權限,於課程結束後,應做適當處置。
學校使用資通系統或服務蒐集及使用個人資料注意事項
(請留意粗黑色字體部份)
一、為保護教職員、學生、家長之權益,特訂定學校使用資通系統或服務蒐集及使用個人資料注意事項(以下簡稱本注意事項)。
二、各級學校為行政目的使用資通系統或服務蒐集教職員、學生、家長之個人資料者,應遵循個人資料保護法相關規定並參酌本注意事項辦理。但臺中市政府另有規定者,本校從其規定。
三、學校為行政目的使用資通系統或雲端資通服務(如 Google表單、Microsoft Forms等問卷調查服務)涉及蒐集個人資料者,應注意下列事項:
(一)資料蒐集最小化:僅蒐集適當、相關且限於處理目的所必要之個人資料,處理及利用時,不得逾越特定目的之必要範圍,並應與蒐集之目的具有正當合理之關聯。
(二)存取控制:應注意檔案存取權限設定,應採最小權限原則,僅允許使用者依目的,指派任務所需之最小授權存取。
(三)使用雲端資通服務者,應詳閱設定內容,不宜使用者共同編輯個人資料檔案清冊,並應注意避免設定允許顯示其他使用者作答內容(如Google表單不應勾選「顯示摘要圖表和其他作答內容」),避免使用者能瀏覽其他使用者資料,造成個人資料外洩。公佈前應確實做好相關設定檢查,並實際操作測試,確認無誤後再行發布。
(四)傳輸之機密性:網路傳輸應採用網站安全傳輸通訊協定(HTTPS)加密傳輸,並使用TLS 1.2以上版本傳輸。
(五)資料儲存安全:
1.如涉及蒐集個人資料保護法第6條之個人資料或其他敏感個人資料,應以加密方式儲存。
2.依個人資料保護法第11條第3項,當事人之影片應於作業批改完成後立即刪除並下架,並確保離線備份皆已刪除。
3.依個人資料保護法第16條,僅蒐集適當、相關且限於處理目的所必要之個人資料,處理及利用時,不得逾越特定目的之必要範圍,並應與蒐集之目的具有正當合理之關聯。
4.依個人資料保護法第28條第1項,應注意當事人影片或其他個人資料是否正當使用及留存,以避免違反個人資料保護法之規定。
(六)應訂定個人資料保存期限,並於期限或業務終止後將蒐集之個人資料予以刪除或銷毀,避免個人資料外洩。
附註:
個人資料保護法第6條
有關病歷、醫療、基因、性生活、健康檢查及犯罪前科之個人資料,不得蒐集、處理或利用。但有下列情形之一者,不在此限:
一、法律明文規定。
二、公務機關執行法定職務或非公務機關履行法定義務必要範圍內,且事前或事後有適當安全維護措施。
三、當事人自行公開或其他已合法公開之個人資料。
四、公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的,為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。
五、為協助公務機關執行法定職務或非公務機關履行法定義務必要範圍內,且事前或事後有適當安全維護措施。
六、經當事人書面同意。但逾越特定目的之必要範圍或其他法律另有限制不得僅依當事人書面同意蒐集、處理或利用,或其同意違反其意願者,不在此限。
依前項規定蒐集、處理或利用個人資料,準用第八條、第九條規定;其中前項第六款之書面同意,準用第七條第一項、第二項及第四項規定,並以書面為之。
個人資料保護法第11條第3項
個人資料蒐集之特定目的消失或期限屆滿時,應主動或依當事人之請求,刪除、停止處理或利用該個人資料。
個人資料保護法第16條
公務機關對個人資料之利用,除第六條第一項所規定資料外,應於執行法定職務必要範圍內為之,並與蒐集之特定目的相符。
個人資料保護法第28條第1項
公務機關違反個人資料保護法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。