個人資料保護法於非公務機關之相關研究

個人資料保護法本法於99.05.26修正公布之全文，除第6、54條條文施行日期，由行政院定之外，其餘條文定自中華民國一百零一年十月一日施行。詳細法規：詳見。

私立學校屬於非公務機關之實証，詳見。頁面截錄如下：

私立學校於實施教育之範圍內，為個人資料保護法所稱公務機關或非公務機關？
張貼日期：2013/10/23

答：個資法所定之公務機關，係指依法行使公權力之中央或地方機關或行政法人。因此，公立學校如係各級政府依法令設置實施教育之機構，而具有機關之地位，應屬個資法之公務機關。至於私立學校，雖然由法律在特定範圍內授與行使公權力，惟私立學校在適用個資法時，為避免其割裂適用個資法，並使其有一致性規範，私立學校應屬個資法所稱之非公務機關。(摘自「法務部102年6月24日法律字第10200571790號書函」-本函全文可於本部全球資訊網點選「法務部主管法規查詢系統」查詢）

第一章　總則（討論立法精神，在這邊略過。）

第三章　非公務機關對個人資料之蒐集（討論行為規範，這是我們實務工作者真正要關心的事。）

＊第19條　五、經當事人書面同意。

所以最佳狀態是要跟學生簽署「同意書」，但是依據「二、與當事人有契約或類似契約之關係。」，學生跟學校本來就有某程度上的契約關係，因此或許必要性也不是那麼的重要。

＊第 22 條 中央目的事業主管機關或直轄市、縣（市）政府為執行資料檔案安全維護、業務終止資料處理方法、國際傳輸限制或其他例行性業務檢查而認有必要或有違反本法規定之虞時，得派員攜帶執行職務證明文件，進入檢查，並得命相關人員為必要之說明、配合措施或提供相關證明資料。中央目的事業主管機關或直轄市、縣（市）政府為前項檢查時，對於得沒入或可為證據之個人資料或其檔案，得扣留或複製之。對於應扣留或複製之物，得要求其所有人、持有人或保管人提出或交付；無正當理由拒絕提出、交付或抗拒扣留或複製者，得採取對該非公務機關權益損害最少之方法強制為之。中央目的事業主管機關或直轄市、縣（市）政府為第一項檢查時，得率同資訊、電信或法律等專業人員共同為之。對於第一項及第二項之進入、檢查或處分，非公務機關及其相關人員不得規避、妨礙或拒絕。參與檢查之人員，因檢查而知悉他人資料者，負保密義務。

如果一旦遭受到檢察系統進入，就是完全攤牌讓他們抄機器吧！

＊第 27 條 非公務機關保有個人資料檔案者，應採行適當之安全措施，防止個人資料被竊取、竄改、毀損、滅失或洩漏。中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。前項計畫及處理方法之標準等相關事項之辦法，由中央目的事業主管機關定之。

重點就是你要有一個「個人資料檔案安全維護計畫」以及「業務終止後個人資料處理方法」。至於這個計畫以及方法誰來證明其有效性，那要看行政院跟教育部的角力。（端看私校最終的主管事業機關是誰，理論上是教育部。）

行政院法務部，是已經在101年09月26日推出「個人資料保護法施行細則」。不過裡面訂的非常的仔細，一個私立學校是否有能力以及資源去運行政院版這樣的機制，這點我認為有法律上的疑慮。一切要端看教育部怎麼做吧，或許又是走上ISO認證的機制來辦理。※依照教育部於102年度所推出的教材（說帖）中，定調式的說法如下：

法務部施行細則第十二條說明了「適當孜全防護措施」，基本上就是英國 BS 10012 的做法。為了避免違反個資法，透過機制來建立防護措施，不是為驗證而已。（過去ISO 27001只集中於資訊部門）

檔案出處：http://cissnet.edu.tw/uploads/others/20130502.zip

個人認為教育部不推出施行細則，會有違法的問題，因為他違反了第三章第27條的規定，ISO的機制就算實施還是很難杜悠悠之口，更徨論上法院了。至於為何不直接弄政院版的施行細則，那我想要反問，請一般小家庭做帳並請會計師來報稅，也是很合理的啊！這種比喻只是要突顯資源的不對稱下，難以一法強制齊頭。

個資法