 英國標準協會蒲樹盛總經理(左)頒發BS10012認證給中興大學李德財校長  左起為NII吳國維執行長、英國標準協會蒲樹盛總經理、中興大學李德財校長、林俊良副校長、計資中心呂瑞麟主任 |
【圖文/媒體公關組】個人資料保護法去年10月正式上路,對於經常需要處理大批個人資料的公務機關與私人企業來說,都是相當大的考驗。國立中興大學早在去年3月即導入「個人資訊管理系統」(PIMS),同年12月27日取得英國標準協會BS10012的認證,成為國內第一個通過個資保護認證的大學。今日(23日)上午由英國標準協會蒲樹盛總經理蒞校頒發證書,興大李德財校長代表接受證書。
蒲樹盛總經理指出,國內目前取得該認證的機關僅有10家,以金融業為主,約占6成,中興大學為全台第一所通過的學校,通過認證代表組織內部已了解現行法律法規的要求,且已建立起相關的管理流程規範。證書效期為三年,每半年須接受一次續審。興大超越金融與電信機構率先通過認證,意義非凡,未來可作為其他教育機構及企業個資防護推動的典範。
李德財校長為聞名國內外的資訊科學學者,資訊安全為其專長,任職中研院資訊所所長期間曾主導北中南三所大學成立資安研究與教學中心。他指出,國人對於個資保護的靈敏度相當不夠,學校擁有大量的教職員工生資料,透過提升師生的個資保護意識與建置有效的控管制度,可避免人員執行業務時不慎觸犯法令,同時降低學校個資被竊取或外洩的風險,也讓師生重視個人資料的保護。
興大資安暨個資保護推動委員會召集人由林俊良副校長擔任,他表示,導入「個人資訊管理系統」需經過個人資料盤點、風險評鑑、建立保護管理制度、內部稽核等階段,最後完成驗證。
興大個資保護認驗是由中華民國國家資訊基本建設產業發展協進會(簡稱NII)協助輔導,主要從人員培訓、作業流程改善、法學素養提昇三面向著手。人員培訓部分,興大自去年3月開始舉辦教育訓練,在校內培訓出22位個資稽核員,每人受訓時數40小時,作為各單位個資推廣的種子人員,並針對全校行政單位人員辦理8梯次的個資宣導及個資事故緊急應變教育訓練。讓大家了解個資的重要性以及如何進行防護。
林俊良副校長指出,做好個資防護最簡單也最首要的是改變電腦使用的習慣,讓個資保護的習慣成為學校的文化。行政單位具體措施包含:涉及個資的檔案要加密,密碼至少6碼、涉及個資的資料庫不共用帳號,密碼至少8碼,並留下登錄紀錄、啟動營幕保護程式並設密碼,時間設定在15分鐘以內、電子信箱不記憶帳號密碼、隨時更新防毒軟體病毒碼、定期清空資源回收桶等等。
負責導入PIMS的興大計資中心舉出實例,以往校內單位舉辦研討會架設報名網站時,通常是由報名者上網填報個人資料,並未告知報名資訊的蒐集目的與使用範圍,此舉已違反個資保護法。PIMS導入後,報名網頁必須增加隱私權公告聲明,讓報名者充分了解資料蒐集的目的與應用的範圍,以符合個資保護法的規定。而在學務方面,不同身份別的人員進入學務資訊系統的權限也不同,如導師、學務處輔導人員等,必須使用個人的帳號密碼登入,且必須閱讀「隱私權公告」後才可查詢學生資料並及時輔導。
興大也是台綜大系統(興大、成大、中山、中正所組成的聯盟)中率先通過個資認證的學校,未來興大將主導推動「台綜大資安暨個資保護網」,提升台綜大資安及個資安全水準,透過經驗交流協助三校通過國際認證。
李德財校長表示,希望興大成功的個資防護模式成為典範,期盼未來持續推廣至台綜大、高等教育與國中小教育體系,將資安教育、隱私教育、個資教育融入生活之中。
★個人資料保護法 小檔案
--施行日期:2012年10月1日
--實施對象:政府機關、一般公司或個人
--罰責:對違法蒐集、利用或變造個資造成他人損害,可處刑責及罰金,刑度最重5年徒刑。若難證明受損金額,民眾可向法院請求每人每一事件500元至2萬元賠償,同一事件總額以2億元為限,可團體訴訟求償。
---個資法所定義的個人資料:自然人的姓名、出生年月日、國民身分證統一編碼、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動,以及其他得以間接或直接識別該個人的資料。
★個資保護原則:
--蒐集個資時,須明確告知蒐集目的與使用範圍。
--處理與利用個資時,都必須要在已經告知過的使用範圍之內,不得挪做他用。
★個資保護輕鬆做:
--涉及個資的檔案加密,密碼至少6碼
--涉及個資的資料庫不共用帳號,密碼至少8碼,並留下登錄紀錄
--啟動營幕保護程式並設密碼,時間設定在15分鐘以內
--電子信箱不記憶帳號密碼
--隨時更新防毒軟體病毒碼
--定期清空資源回收桶
