個人資料保護管理政策

　　臺北醫學大學（以下簡稱本校）為落實個人資料之保護及管理並符合「個人資料保護法」（以下簡稱個資法）之規定，特訂定個人資料保護管理政策（以下簡稱本政策）。本校個人資料保護管理之目標如下：

一、依「個人資料保護法」、「個人資料保護法施行細則」之規定，及參考個人資料管理制度（PIMS）BS 10012：2009、CNS 29100內容要求，保護個人資料蒐集、處理、利用之過程。
二、為保護本校業務相關個人資料之安全，免於因外在威脅，或內部人員不當之管理與使用，致遭受竊取、竄改、毀損、滅失或洩漏等風險。
三、提升對個人資料之保護與管理能力，降低營運風險，並創造可信賴之個人資料保護及隱私環境。
四、定期針對個人資料流程進行風險評鑑，鑑別可承受風險等級。

壹、個人資料之蒐集與處理

　　本校因營運所需取得或蒐集之包括但不限於個人之姓名、出生年月日、國民身分證統一編號（護照號碼）、特徵、指紋、婚姻、家庭、教育、職業等個人資料，應遵循我國個人資料保護法等法令，不過度且符合目的、相關且適當並公平與合法地從事個人資料之蒐集與處理。且依個資法第5條規定，對於個人資料之蒐集、處理或利用，應尊重當事人之權益，依誠實及信用方法為之，不得逾越特定目的之必要範圍，並應與蒐集之目的具有正當合理之關聯。

貳、個人資料之利用及國際傳輸

一、本校於利用個人資料時，需依個資法之特定目的必要範圍內為之，如需為特定目的以外之利用時，將依據個資法第20條之規定辦理；倘有需取得當事人同意之必要者，本校應依法取得當事人同意。
二、本校所蒐集、處理之個人資料，應遵循我國個人資料保護法及本校個人資訊管理制度之規範，且個人資料之使用為本校營運或業務所需，方可為本校承辦同仁利用。
三、本校取得之個人資料，如有進行國際傳輸之必要者，定謹遵個資法第21條及相關規定且不違反國家重大利益、不以迂迴方法向第三國傳遞或利用個人資料規避個資法之規定等原則辦理。又，倘國際條約或協定有特別規定或資料接受國對於個人資料之保護未有完善之法令致有損害當事人權益之虞者，本校將不進行國際傳輸，以維護個人資料之安全。

參、個人資料之調閱與異動

　　當本校接獲個人資料調閱或異動之需求時，應依個資法及本校所訂之程序，於合法範圍內進行當事人之個人資料調閱或異動，且不得預先拋棄或以特約限制之：

一、查詢或請求閱覽（依個資法第14條規定得酌收必要成本費用）。
二、請求製給複製本（依個資法第14條規定得酌收必要成本費用）。
三、請求補充或更正。
四、請求停止蒐集、處理或利用。
五、請求刪除。

肆、個人資料之例外應用

一、本校因業務上所擁有之個人資料負有保密義務，除當事人之要求查閱或有下列情形外，應符合個資法第20條及相關法令規定，本校不得對第三人揭露：
- (一)司法機關、監察機關或警政機關依法律明文規定或為增進公共利益因偵查犯罪或調查證據所需者。
- (二)其他政府機關因執行公權力依法律明文規定或為增進公共利益並有正當理由所需者。
二、依個資法第20條之規定，本校對個人資料之利用，除個資法第6條第1項所規定資料外，應於蒐集之特定目的必要範圍內為之。但有下列情形之一者，得為特定目的外之利用：
- (一)法律明文規定。
- (二)為增進公共利益所必要。
- (三)為免除當事人之生命、身體、自由或財產上之危險。
- (四)為防止他人權益之重大危害。
- (五)公務機關或學術研究機構基於公共利益為統計或學術研究而有必要，且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人。
- (六)經當事人同意。
- (七)有利於當事人權益。

伍、個人資料之保護

一、本校已成立個人資料保護組織，明確定義相關人員之責任與義務。
二、本校已建立與實施個人資料管理制度 (Personal Information Management System，以下簡稱PIMS )，以確認本政策之實行；全體員工及委外廠商應遵循個人資料管理制度之規範與個資法相關規定之要求，並定期審查PIMS之運作。
三、為防止個人資料被竊取、竄改、毀損、滅失或洩漏，本校應成立個資保護小組，並依相關法令規定辦理個人資料檔案及個人資料清冊安全維護及更新事項。
四、個人資料檔案應建立管理制度，分級分類管理，並針對接觸人員建立安全管理規範。
五、為確保所有個人資料安全，應強化個人資料檔案資訊系統之存取安全，防止非法授權存取，維護個人資料之隱私性，應建立安全保護機制，並定期查核。
六、個人資料檔案儲存於個人電腦者，應於該電腦設置可辨識身分之登入通行碼，並視業務及重要性，考量其他輔助安全措施。
七、個人資料輸入、輸出、存取、更新、銷毀或分享等處理行為，應釐定使用範圍及調閱或存取權限。
八、本校如遇有個人資料檔案發生遭人惡意破壞、毀損或作業不慎等安全事件，應進行緊急因應措施，並依本校之通報程序辦理。
九、本校係以嚴密之措施、政策保護當事人之個人資料，包括但不限於本校之所有員工，均受有完整之個資法或隱私權保護之教育訓練。本校之委外廠商或合作廠商與本校業務合作時，均簽有保密協議，使其充分知悉個人資料保護之重要性及洩露個資相關之法律責任，倘有違反保密義務之情事者，將受嚴格之內部懲處或嚴重之違約求償，並追究其民、刑事法律責任。

陸、個人資料保護政策之審議及修正權

　　本校之個人資料保護政策，每年定期或因時勢變遷或法令修正等事由，予以適當修訂，並陳本校資訊安全委員會審議通過後公告實施。

個人資料保護管理政策

個人資料保護管理政策

臺北醫學大學（以下簡稱本校）為落實個人資料之保護及管理並符合「個人資料保護法」（以下簡稱個資法）之規定，特訂定個人資料保護管理政策（以下簡稱本政策）。本校個人資料保護管理之目標如下：

一、依「個人資料保護法」、「個人資料保護法施行細則」之規定，及參考個人資料管理制度（PIMS）BS 10012：2009、CNS 29100內容要求，保護個人資料蒐集、處理、利用之過程。

二、為保護本校業務相關個人資料之安全，免於因外在威脅，或內部人員不當之管理與使用，致遭受竊取、竄改、毀損、滅失或洩漏等風險。

三、提升對個人資料之保護與管理能力，降低營運風險，並創造可信賴之個人資料保護及隱私環境。

四、定期針對個人資料流程進行風險評鑑，鑑別可承受風險等級。

壹、個人資料之蒐集與處理

貳、個人資料之利用及國際傳輸

一、本校於利用個人資料時，需依個資法之特定目的必要範圍內為之，如需為特定目的以外之利用時，將依據個資法第20條之規定辦理；倘有需取得當事人同意之必要者，本校應依法取得當事人同意。

二、本校所蒐集、處理之個人資料，應遵循我國個人資料保護法及本校個人資訊管理制度之規範，且個人資料之使用為本校營運或業務所需，方可為本校承辦同仁利用。

參、個人資料之調閱與異動

當本校接獲個人資料調閱或異動之需求時，應依個資法及本校所訂之程序，於合法範圍內進行當事人之個人資料調閱或異動，且不得預先拋棄或以特約限制之：

一、查詢或請求閱覽（依個資法第14條規定得酌收必要成本費用）。

二、請求製給複製本（依個資法第14條規定得酌收必要成本費用）。

三、請求補充或更正。

四、請求停止蒐集、處理或利用。

五、請求刪除。

肆、個人資料之例外應用

一、本校因業務上所擁有之個人資料負有保密義務，除當事人之要求查閱或有下列情形外，應符合個資法第20條及相關法令規定，本校不得對第三人揭露：

(一)司法機關、監察機關或警政機關依法律明文規定或為增進公共利益因偵查犯罪或調查證據所需者。

(二)其他政府機關因執行公權力依法律明文規定或為增進公共利益並有正當理由所需者。

二、依個資法第20條之規定，本校對個人資料之利用，除個資法第6條第1項所規定資料外，應於蒐集之特定目的必要範圍內為之。但有下列情形之一者，得為特定目的外之利用：

(一)法律明文規定。

(二)為增進公共利益所必要。

(三)為免除當事人之生命、身體、自由或財產上之危險。

(四)為防止他人權益之重大危害。

(五)公務機關或學術研究機構基於公共利益為統計或學術研究而有必要，且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人。

(六)經當事人同意。

(七)有利於當事人權益。

伍、個人資料之保護

一、本校已成立個人資料保護組織，明確定義相關人員之責任與義務。

二、本校已建立與實施個人資料管理制度 (Personal Information Management System，以下簡稱PIMS )，以確認本政策之實行；全體員工及委外廠商應遵循個人資料管理制度之規範與個資法相關規定之要求，並定期審查PIMS之運作。

三、為防止個人資料被竊取、竄改、毀損、滅失或洩漏，本校應成立個資保護小組，並依相關法令規定辦理個人資料檔案及個人資料清冊安全維護及更新事項。

四、個人資料檔案應建立管理制度，分級分類管理，並針對接觸人員建立安全管理規範。

五、為確保所有個人資料安全，應強化個人資料檔案資訊系統之存取安全，防止非法授權存取，維護個人資料之隱私性，應建立安全保護機制，並定期查核。

六、個人資料檔案儲存於個人電腦者，應於該電腦設置可辨識身分之登入通行碼，並視業務及重要性，考量其他輔助安全措施。

七、個人資料輸入、輸出、存取、更新、銷毀或分享等處理行為，應釐定使用範圍及調閱或存取權限。

八、本校如遇有個人資料檔案發生遭人惡意破壞、毀損或作業不慎等安全事件，應進行緊急因應措施，並依本校之通報程序辦理。

陸、個人資料保護政策之審議及修正權

本校之個人資料保護政策，每年定期或因時勢變遷或法令修正等事由，予以適當修訂，並陳本校資訊安全委員會審議通過後公告實施。

　　臺北醫學大學（以下簡稱本校）為落實個人資料之保護及管理並符合「個人資料保護法」（以下簡稱個資法）之規定，特訂定個人資料保護管理政策（以下簡稱本政策）。本校個人資料保護管理之目標如下：

　　當本校接獲個人資料調閱或異動之需求時，應依個資法及本校所訂之程序，於合法範圍內進行當事人之個人資料調閱或異動，且不得預先拋棄或以特約限制之：

　　本校之個人資料保護政策，每年定期或因時勢變遷或法令修正等事由，予以適當修訂，並陳本校資訊安全委員會審議通過後公告實施。