邱委員顯智:(16 時 12 分)主席、各位列席官員、各位同仁。部長好,剛剛您提到學生安全一定
是最優先的,在此想請教有關學生個資的資訊安全。教育部在 2007 年的時候就有「教育體系資
通安全暨個人資料管理規範」,並在 2019 年有大幅的修正,今年 8 月又再次修正。我想請教部
長,你知道教育部轄下的國立大學有同步進行修正嗎?
主席:請教育部潘部長說明。
潘部長文忠:主席、各位委員。這部分教育部一旦做修正,也都會函知各個學校。
邱委員顯智:對,但他們是否有確實去做?請部長看一下,這是今年中正大學通識中心所發的通知
信,發信給 220 位學生之時,夾帶了 104 學年度到 108 學年度入學學生的個人資料,包括姓名
、身分證字號、電子信箱、手機,包括本地生、僑外生、身心障礙者以及原住民的身分註記。
請問校長知道這件事嗎?
主席:請國立中正大學馮校長說明。
馮校長展華:主席、各位委員。是,知道。
邱委員顯智:關於此事洩漏的筆數,中正大學在 10 月 29 日有做出說明,總共涉及約 8,495 位的個
資,對嗎?
馮校長展華:對。
邱委員顯智:我想請教校長,為什麼會發生這件事情?
馮校長展華:這是因為一位新到職的職代,在試用期間教他發通知信,照理說不該有任何附件……
邱委員顯智:他不慎將該信件夾帶查詢作業的學生個人檔案全都發出去了,是不是?
馮校長展華:是,所以我們事後完全遵照規定,在 24 小時內通知所有的收信人。
邱委員顯智:我剛剛說過,事實上教育部在 2007 年就有「教育體系資通安全暨個人資料管理規範
」,因為學生的個人資料一旦被外洩出去,像中正大學位於嘉義民雄,學生們離鄉背井去念書
,如果有不肖之徒取得他們的個資,也會造成學生有危險。為什麼這些學生的個資會存放在單
一且未加密的文件裡面?
馮校長展華:這是我們學校管理上的疏失。
邱委員顯智:對,所以你完全沒有按照相關規定來做。為什麼該職員能取得這樣的文件?
馮校長展華:其實是通識中心沒有銷燬歷年資料,目前學校已經全部處理了,包括相關經手人員的
部分。
邱委員顯智:現在的問題是,倘若他有權取得,按照資通安全規定的話,取得的範圍是否已遠超出
其業務所需?我們現在要做的不是去檢討基層的承辦人,而是這個制度,到底該怎麼做才能更
加完善?
個人資料保護法第十八條規定,應防止個人資料被竊取、竄改、毀損、滅失或洩漏。個人資
料保護法施行細則第十二條第二項中也洋洋灑灑規定了 11 款,大家可能要注意這個部分。我剛
剛說了,教育部在 2019 年曾大幅修正「教育體系資通安全暨個人資料管理規範」,今年 2020
年 8 月又再次修正。請部長和校長看一下,中正大學的個人資料保護管理規定最後一次修訂是
在 2018 年 11 月 2 日。也就是說教育部一直在修改個人資料保護法,因為你們知道這是非常嚴重
的事情,但顯然中正大學並沒有同步,尤其是在 2019 年這次的大幅修正,這部分必須要注意。
教育部可能也要注意各個大學是否有做出相應的修正,因為教育部改了之後大學卻沒改還是一
樣。
再來是關於中正大學的「個人資料保護管理要點」,即便是舊的規定當中都有提到「各單位
應建立資訊資產清冊加以分類分級,並訂定相對應之管制措施。」、「應考量人員職務授予相
關權限,必要時得採行加解密及身分鑑別機制,以加強資料之安全。」,倘若你有確實建立這
個機制,就不可能會發生由於一個承辦人的過失就造成八千多筆個資全部外洩的狀況,當然我
們仍肯定中正大學事後的積極處理。
最後,個人資料保護法第二十八條規定,被害人雖非財產上之損害,亦得請求賠償相當之金
額,假設一個人以 500 元計,8,495 個學生所受的損害就是四百多萬元,所以這真的是非常嚴重
的一件事。中正大學法學院貼出一則貼文,校長應該知道吧?
馮校長展華:是。
邱委員顯智:起因是有學長在當律師,希望能夠協助學弟妹求償,結果中正大學法學院竟貼出這則
貼文,表示有損害才有賠償的法理。問題是個人資料保護法第二十八條第二項本來就有規定,
非財產上損害也可以請求賠償,所以怎麼會有民法第一百八十四條第一項規定的問題?接著竟
然還說是防止有心人士興訟,用這種方式來警告學生,不可做出對學校求償的動作。
校長,其實你應該要在此公開呼籲,我認為學生的權利受到侵害,我們本來就是一個法治國
家,個人資料保護法第二十八條第二項也規定,非財產上損害也可以請求賠償。如果學生要請
求救濟,應該也是他的基本權利吧!
馮校長展華:是。
邱委員顯智:不該發生避免學生請求賠償,或是學長想幫助學弟妹,還予以警告稱「防止有心人士
興訟」,甚至貼上律師倫理規範。