學校使用資通系統或服務蒐集及使用個人資料指引

一、    教育部為保護教職員、學生、家長之權益，特訂定學校使用資通系統或服務之個人資料指引（以下簡稱本指引）。
二、    各級學校為特定目的使用資通系統或服務蒐集、處理及利用教職員、學生、家長之個人資料者，應遵循個人資料保護法相關規定並參酌本注意事項辦理。但各直轄市、縣（市）政府另有規定者，其所轄學校從其規定。
三、    學校為特定目的使用資通系統或雲端資通服務（如Google 表單、Microsoft Forms 等問卷調查服務，YouTube等影音平台等）涉及蒐集、處理及利用個人資料者，應注意下列事項：
（一）    資料蒐集最小化：僅蒐集適當、相關且限於處理目的所必要之個人資料。
（二）    資料處理及利用：不得逾越特定目的之必要範圍，並應與蒐集之目的具有正當合理之關聯。
（三）    存取控制：應注意檔案存取權限設定，應採最小權限原則，僅允許使用者依目的，指派任務所需之最小授權存取。
（四）    使用雲端資通服務者，應詳閱設定內容，不宜使用者共同編輯個人資料檔案清冊，並應注意避免設定允許顯示其他使用者作答內容（如Google 表單不應勾選「顯示摘要圖表和其他作答內容」），避免使用者能瀏覽其他使用者資料，造成個人資料外洩。公佈前應確實做好相關設定檢查，並實際操作測試，確認無誤後再行發布。
（五）    傳輸之機密性：網路傳輸應採用網站安全傳輸通訊協定（HTTPS）加密傳輸，並使用TLS 1.2 以上版本傳輸。
（六）    資料儲存安全：如涉及蒐集個人資料保護法第六條之個人資料或其他敏感個人資料，應以加密方式儲存。其餘個人資料儲存應符合個人資料保護法第十八條及第二十七條資料儲存安全措施之規範。
（七）    應訂定個人資料保存期限，並於期限或業務終止後將蒐集之個人資料予以刪除或銷毀，避免個人資料外洩。
（八）    應設置個人資料保護申訴或諮詢窗口，以確保個資當事人具明確行使其權利之管道，且該管道應明確並便利當事人使用。
（九）    學校在蒐集個人資料前，除符合個人資料保護法第八條第項各款情形外，應明確告知當事人同法第八條第一項各款應告知事項及適當之申訴管道，俾利當事人充分了解所蒐集之目的及相關權利。
四、    各校或其主管機關應依本指引，訂定各校相關作業流程規定，或納入既有規範中。