學校使用生物特徵辨識技術個人資料保護指引

一、    教育部為規範學校使用生物特徵辨識技術之生物特徵個人資料蒐集、處理及利用，保護教職員生之權益，特訂定學校使用生物特徵辨識技術個人資料保護指引（以下簡稱本指引）。
二、    各級學校為特定目的使用生物特徵辨識技術，得以系統識別特定之當事人者，應遵循個人資料保護法相關法規並參酌本指引辦理。但各直轄市、縣（市）政府另有規定者，其所轄學校從其規定。
三、    本指引用詞，定義如下：
（一）    生物特徵：指具個人專屬性足以識別個別身分之個人生理特徵資料（如指紋、臉部特徵、虹膜、聲音、掌紋、靜脈等）。
（二）    原始生物特徵資料：指透過掃描器、相機等感測器所蒐集並用以擷取個人生物特徵之原始資料。
（三）    特徵值：指將原始生物特徵資料依各種技術或演算法轉換成用於生物特徵比對之不可逆資料。
（四）    生物特徵辨識：指運用生物特徵辨識科技，與資料庫已儲存之個人生物特徵值識別資料進行比對，以識別特定之當事人。
四、    學校使用生物特徵辨識技術，應尊重教職員生當事人之權益，應公開說明依誠實及信用方法為之，不得逾越特定目的之必要範圍，並應與蒐集之目的具有正當合理之關聯。
五、    應設置個人資料保護申訴或諮詢窗口，以確保個資當事人具明確行使其權利之管道，且該管道應明確並便利當事人使用。
六、    學校為使用生物特徵辨識技術，並蒐集生物特徵個人資料前，應明確告知當事人個人資料保護法第八條第一項各款應告知事項及適當之申訴管道，讓當事人充分了解所蒐集之目的及相關權利。
    學校應取得當事人同意，未成年學生應同時取得其法定代理人同意後，始得蒐集。
    當事人不同意提供生物特徵個人資料時，學校應提供替代方案，以不影響教職員生之權益為原則。
七、    學校利用前點蒐集生物特徵個人資料，應與蒐集之特定目的相符，不得為目的外之利用。
八、    應訂定個人資料保存期限，並於期限或業務終止後將蒐集之個人資料予以刪除或銷毀，避免個人資料外洩。
九、    學校使用生物特徵辨識技術應以轉換為特徵值再行處理及利用為原則。
    原始生物特徵資料非必要以不留存為原則，如有留存必要者，應與特徵值加密分別儲存於不同之儲存媒體並有嚴謹之存取管控措施。
    特徵值連結個人資料以使用代號、代碼等假名化資料為原則，如有必要連結其他個人資料者，應資料最小化。
    特徵值與其他個人資料結合得以直接或間接方式識別該個人者，應依個人資料保護法施行細則第十二條，採取技術上及組織上之安全維護措施，防止個人資料被竊取、竄改、毀損、滅失或洩漏。
    前項安全維護措施得依教育體系個人資料安全保護基本措施及作法辦理，並應注意資通安全管理法相關規定。
十、    學校如有使用生物特徵個人資料，應依本指引訂定各校使用生物特徵個人資料保護管理規範，或納入既有規範中。