臺北市政府教育局

一、教育部111年1月22日臺教社（一）字第1112400237D號令修正「短期補習班個人資料檔案安全維護計畫實施辦法」第8、13、15條 發布令影本及修正條文如附檔，全文請逕至教育部主管法規查詢系統(https://edu.law.moe.gov.tw/)或臺北市法規查詢系統查詢。

二、修正條文節錄如下：
(一)第8條；補習班進行個人資料國際傳輸前，應檢視有無中央主管機關依本法第二十一條規定為國際傳輸之限制，並且告知當事人其個人資料所欲國際傳輸之區域，同時對資料接收方為下列事項之監督︰
1.預定處理或利用個人資料之範圍、類別、特定目的、期間、地區、對象及方式，
2.當事人行使本法第三條所定權利之相關事項。

(二)第13條：補習班應訂定應變機制，在發生個人資料被竊取、洩漏、竄改或其他侵害事故時，迅速處理以保護當事人之權益。前項應變機制，應包括下列事項：
1.採取適當之措施，控制事故對當事人造成之損害。
2.查明事故發生原因及損害狀況，以適當方式通知當事人或其法定代理人。
3.研議改進措施，避免事故再度發生。
補習班應於事故發現時起七十二小時內，填具個人資料侵害事故通報與紀錄表（如附件），通報直轄市、縣（市）主管機關，並副知中央主管機關，未依時限內通報者，應附理由說明；並自處理結束之日起一個月內，將處理方式及結果，報直轄市、縣（市）主管機關備查。
依規定通報後，直轄市、縣（市）主管機關得派員檢查，補習班不得規避、妨礙或拒絕，直轄市、縣（市）主管機關並得依本法第二十二條至第二十五條規定為適當之監督管理措施。

(三)第15條：補習班提供電子商務服務系統或本法第六條所定個人資料種類之資通系統時，應採取下列資訊安全措施：
1.使用者身分確認及保護機制。
2.個人資料顯示之隱碼機制。
3.網際網路傳輸之安全加密機制。
4.應用系統於開發、上線、維護等各階段軟體驗證及確認程序。
5.個人資料檔案與資料庫之存取控制及保護監控措施。
6.防止外部網路入侵對策。
7.非法或異常使用行為之監控及因應機制。
前項所稱電子商務，指透過網際網路進行有關商品或服務之廣告、行銷、供應或訂購等各項商業交易活動；資通系統，指用以蒐集、控制、傳輸、儲存、流通、刪除資訊或對資訊為其他處理、使用或分享之系統。第二項第六款及第七款所定措施，應定期演練及檢討改善。