【學生個人資料保護,不只是規定,更是義務】
上個月12日,中正大學發生了一場資安事故。有一份包括8,495位、橫跨五個學年度學生的身分證字號、手機、本地僑外生、身心障礙、原住民身分註記等資料的檔案,被寄給220位學生。
這是一次個人資料大量外洩的事故。
依據中正大學的說明,事件的原因,是因為中正大學通識中心一位還在試用期的承辦人員,「不慎」在信件中,「夾帶」了「用於查詢作業」的學生個資檔案。
然而,在這個案件中,學生個資通通放在單一未加密的文件裡面,除了難以避免未授權的存取,更不會有使用紀錄、軌跡資料,無從掌握個人資料的處理及利用情況。而且,這位新進職員取得資料目的只在於「取得e-mail通知講座訊息」,檔案卻包括身分證字號、手機、身心障礙等資訊,範圍顯然遠遠超過業務所需。
顯然的,整件事情不是單純個人疏失,更是制度性的問題。
在星期一的質詢中,中正大學馮展華校長,也證實該份個人資料檔案,是通識中心違規保存的歷年新生入學檔案彙整而成,並給未受學校個資保護相關訓練的試用期間人員使用。事後,學校也進行了懲處與通盤檢討。
我也在質詢中點出,事實上教育部早在2007年就定有「教育體系資通安全暨個人資料管理規範」,2019年和今年8月也有修正。然而,中正大學的「個人資料保護管理要點」,最後一次更新在2018年,從檢討看來,案發前也沒有落實相關的保護規範。
學生個人資料保護,不只是紙上的規定,學校更有積極作為的義務。
質詢的最後,則是一個濫用知識和地位不對等,不願意承擔責任的故事。
法律規定得很清楚:依據個人資料保護法第28條規定,公務機關違反個資法而侵害當事人權利時,就要負包括非財產損害的損害賠償責任,並且,在實際損害不易或不能證明的時候,法院可以依情節決定500元至2萬元的賠償。
然而,中正大學法學院卻在10月19日的臉書貼文,特別tag #基於有損害始有賠償之法理、#防止有心人士興訟。也有同學和我反應,有校方人員和他們說這次的個人資料外洩沒有造成任何損害,無需賠償。
學校外洩學生的個人基本資料、聯絡資訊甚至入學身分等,顯已侵害學生的資訊自主權,也造成學生擔心害怕的精神損失。但竟然有人向想主張權利的學生表示,學生不能求償?!這難道是面對過錯應該有的態度嗎!
只有面對問題、勇於承擔,才能真正建立防患於未然的處事文化。而除了學校,教育部也責無旁貸,應該以此為鑑,督促各級學校落實個人資料保護措施,防患於未然。
🎥質詢影片:https://reurl.cc/14Wl2m
基於有損害始有賠償之法理 在 #基於有損害始有賠償之法理 - Explore | Facebook 的推薦與評價
上個月12日,中正大學發生了一場資安事故。有一份包括8,495位、橫跨五個學年度學生的身分證字號、手機、本地僑外生、身心障礙、原住民身分註記等資料的檔案,被寄給220位 ... ... <看更多>