學校使用資通系統或服務蒐集及使用個人資料指引

一、 指引目的

教育部為保護教職員、學生、家長之權益，特訂定學校使用資通系統或服務之個人資料指引，確保個人資料蒐集、處理及利用之安全與合規性。

二、 適用範圍

各級學校為特定目的使用資通系統或服務蒐集、處理及利用個人資料者，應遵循個人資料保護法相關規範，並依本指引辦理。

三、 主要規範

• 資料蒐集最小化： 僅蒐集適當、相關且限於處理目的所必要之個人資料。
• 資料處理及利用： 嚴禁逾越特定目的之必要範圍，並應與蒐集目的具有正當合理之關聯。
• 存取控制： 應採取最小權限原則，確保資料存取權限適當設置，避免未經授權之存取。
• 傳輸安全： 個人資料傳輸應採HTTPS加密，並使用TLS 1.2 以上版本確保安全。
• 儲存安全： 敏感個人資料應加密存儲，並符合個資法相關規範。
• 資料保存期限： 個人資料應設定保存期限，屆期或業務終止後應刪除或銷毀。

四、 使用雲端服務注意事項

學校使用雲端資通服務（如 Google 表單、Microsoft Forms、YouTube 等）涉及個人資料時，應注意：

• 避免開放其他使用者瀏覽填答內容，防止個人資料外洩。
• 公佈前應確保適當的存取控制設定，避免未經授權之存取或修改。

五、 個人資料告知義務

學校在蒐集個人資料前，應明確告知當事人相關資訊，並提供查詢或申訴管道，以確保個資權益。