我國現行學生個資保護體系之破與立

本章第一、二節分別以個人資料保護原則並參考美國 FERPA 法案 規制，對我國中小學現行有關處理學生個資之辦法進行檢視，發現與 學生個資保護有相當關係之學籍、成績評量及輔導管教辦法之規定在 體系上並非十分完整。經本文之研究，其中部分原因乃為上述辦法規 範學校行政行為及處理師生關係的依據，學生個資保護僅為其中的一 部分，故無法完全予以說明。

個資保護既為學生為維護隱私權、實現資訊自決權之基礎，教育 主管機關應提出可行且明確之規準以供學校遵行。再則學校教育人員 對於學生個資之侵害不斷發生，除了分散而複雜之規準讓教師無法清 楚理解個資保護體系的觀念外，沒有正視校務 E 化後對學生個資保護 的挑戰亦是主因。是故，隨學生資料電子化且可線上存取的時代來臨，

藉由制度規準之訂定，以促進教育人員個資保護之認知為必要且具急 迫性。

本文認為，以學生個資保護之重要性，需跳脫現有學生資料蒐集、

處理、利用辦法中分散之保護規定，應由教育部統籌規劃原有學籍、

成績評量及輔導管教辦法中有關個資保護的部分，考量學校、學生、

家長三方之權利義務，並配合校務 E 化之發展，訂定學生個人資料保 護準則或注意事項，以整合各種辦法中有關個資保護的部分，以建立 較完整之學生個資保護體系。

由教育部統籌規劃的原因，乃因學生個資保護具有權利之普遍 性，不宜由地方政府設定，以避免各方對學生權利看法不同、一國多

制而產生爭議²⁵⁰；另以法律保留原則來看，有關學生權利事項，本應 在法律上予以明定，但考量為學生權利單獨立法困難度頗高，而學生 之個資受保護權利已可由「電資法」等法所延伸，故由教育部籌畫並 基於職權以行政規則頒行似較為可行²⁵¹。而有關訂定準則中之規範，

根據本文對於「電資法」及美國 FERPA 法制之研究，應包含下列三項：

壹、明定蒐集、處理學生個資之目的與內容

「電資法」規定對個資之蒐集或電腦處理非有特定目的，並符合 法令規定職掌必要範圍內者、經當事人書面同意者、對當事人權益無 侵害之虞者不得為之，意即蒐集或電腦處理學生個資之特定目的為必 要之條件，而該特定目的應於準則或辦法中敘明。

環顧學籍、成績評量及輔導管教辦法，經歸納雖然可以看出蒐集 處理學生個資之目的，為學校行政或教學活動所必需，除學籍辦法較 為明確外，其他離「明定」之境界仍有不足。是故，基於目的明確化 原則、限制蒐集原則及限制利用原則，應對學生個資(包括但不限於學 籍、成績評量及輔導管教資料)蒐集或處理(包含非自動化之處理)之特 定目的予以明文規範。

若以 FERPA 規制來看，學校保有之學生個人資料，可再分為個人 可資識別之個人資料及有關成績、獎懲等紀錄。我國若制定相關準則 或辦法，除了參考國外之法制外，其細項其實可根據「國民中小學－

學生學籍／成績／健康資料交換規格標準 3.0 版」交換規格標準文件 中之基本欄位及交換欄位進行設定。該標準提出電子化之學生資料至

250 學生權利以特別權力關係說、消費者保護說、契約關係說等理論視之，會有不同之結果，參閱 林盈君，同註 177，頁 26-28。

251 以教育部制定「教師輔導與管教學生辦法注意事項」為例，乃由立法院通過「教育基本法」修 正案時採附帶決議，要求教育部與全國教師會於 6 個月內研擬完成，以使基層教師對於輔導管教有 一明確可循之處理原則，參閱 http://140.111.34.180/news_detail.php?code=01&sn=289，教育部愛的 教育網，檢索日期：2008 年 10 月 1 日。

少應有基本資料、學期資料(含學期總成績、訓導紀錄、輔導資料) 、 學生異動資料(已有在籍、轉出、畢業、休學、繼續就讀等相關資料) 及 期中資料(含學期中各科目現有成績) ，其中諸如學期資料、學生異動 資料、期中資料即類似於 FERPA 之教育紀錄，而基本資料即為可資識 別之個人資料，是故，本文認為以上紀錄項目經歸納後，即可用於學 生個資保護之具體內容。

上述資料形成之紀錄應受到學校保護，惟需注意的是，除了經電 腦處理之個人資料外，有關學校內與學生個資有關之紙本紀錄應予以 納入；而根據本文對美國 FERPA 之研究，對於何者屬於教育紀錄之內 容，仍不斷經由判決及社會共識，透過行政解釋予以擴充更新。如美 國其對於教育紀錄最新之定義為 2008 年提出²⁵²，其新穎且考量資訊化 影響之說明，可為我國訂定相關辦法之參考。

貳、明定當事人權利及行使程序

當事人乃指在學中之學生及其家長(法定代理人)，就參考美國 FERPA 之規制而言，應明確定義學生及家長²⁵³之身分，而後才規範當 事人之權利及其義務。有關當事人之權利根據「電資法」之規範，應 包含查詢及請求閱覽權、製給複製本、補充或更正、停止電腦處理及 利用、刪除；就中小學生部分，經本文之歸納當事人應具有知悉權、

修正權、向第三者揭露之同意權及隱私權遭受侵害之救濟權。其中知 悉權對學生及家長而言較常接觸且多無疑義，而現行之學籍、成績評 量及輔導管教辦法亦多所著墨，惟部分行使資訊自決權如修正權部分

252 同註 157、158，其內容即為美國教育主管機關之建議補充規定，俟公眾提出建議並檢討後，形 成正式規定。

253 「學校實施教師輔導與管教學生辦法須知」第 6 條即訂有「家長向學校申請閱覽學生個人輔導 資料，除學校依法令負有保密義務，或知悉該家長有遭停止親權、監護權或不適格之情形外，不 得拒絕。」之說明，已提及家長身分若在法律上之地有所變動即不可閱覽學生個人輔導資料。

應由家長發動，而救濟權亦是如此²⁵⁴，但依法律保留原則，仍應予以 明文規範較為適宜。

救濟權為實現正當法律程序中非常重要的部分，以美國 FERPA 法 案為例，當事人若覺得相關權益受損，可要求學校召開聽證會進行處 理，另外亦可向美國教育部家庭政策執行辦公室進行申訴。以我國而 言並無聽證會之制度，根據「電資法」規範，則僅能以請求國家賠償 或民事上之賠償為救濟²⁵⁵。但若未來有法源基礎下，亦可成立個資遭 受侵害之申訴管道，並於準則中說明申訴之步驟，一則節省司法資源，

二則成為保障當事人救濟權的好方法²⁵⁶。

而當事人權利限制之部分，以參考美國 FERPA 法制並配合我國國 情來看，就當事人之知悉權、修正權部分較無所謂限制，而未經同意 即可揭露的部分至少應包含符合正當教育權益之教育人員、欲轉學之 學校相關人員、教育主管機關授權之代表、學校合法委任之組織團體 等對象，應在訂定準則或辦法時予以敘明。

參、明定學校之義務及責任歸屬

學校之義務，除了維護當事人權利外，主要在於實現對學生個資 安全保護原則及責任原則之達成。

在安全保護原則下，依「電資法」之規定，應指定專人辦理安全 維護事項，防止個人資料被竊取、竄改、毀損、滅失、販賣或洩漏，

而本法施行細則亦有規範公務機關應訂定電腦處理個人資料安全維護

254 救濟權應可分為行政上之權利救濟及民事上之損害賠償。非財產上損害之賠償請求權，在國中 小階段學生為限制行為能力者下，一般由法定代理人發動；但法定代理人以限制行為能力者之名義 代理為之時，仍需注意不能違反其明確之意思為限，參閱曾世雄，《非財產上之損害賠償》，學林文 化：台北，2002 年，頁 153-154。

255 依「電資法」對公務機關之規範，以電腦處理者才能依法進行國家賠償，非電腦處理者仍需以 民事賠償為主，此部分仍待新法修正統一。

256 即便是「電資法」修正草案亦無提及申訴之管道，若能如「性別工作平等法」第 13 條、「性騷 擾防制法」第 6 條及「工作場所性騷擾防治措施申訴及懲戒辦法訂定準則」第 7 條之規定設立相關 申訴處理委員會，將對於學生個資之保護可收、即時處理、就近預防之效。

法令，其內容包括資料安全、資料稽核、設備管理及其他安全維護等 事項，可作為制定相關準則之依據。

實務上所有學生學籍、成績評量及輔導管教紀錄之建置，多數皆 已採數位化並存放在資料庫中，在面臨系統安全可能遭受侵入的威脅 下，準則中應明定疌供學生個資儲存、修改或查詢之主機，除嚴格設 定權限、資料之傳輸應以加密處理外，在實體安全方面，儲存個人資 料之主機、主機所在機房亦應有適當之管制；教育主管機關應不定時 稽核下轄學校對於資訊安全維護的程度，以維護學生個資之安全²⁵⁷。

另外，對於教育人員侵害學生個資者，依責任原則來看應負相關 法律責任。對此「電資法」規定若公務員有違法侵害人民權利，應負 賠償責任，受侵害之當事人得依國家賠償法程序請求之，若為非公務 機關(私立學校)有不法侵害個人權益者，則可依民法採民事途徑進行求 償；若有故意或意圖營利而違「電資法」或「刑法」妨害祕密或妨害 電腦使用罪部分，則應負刑事責任。

依本文對現行制度之研究，教師及教育人員處理日常活動之資料 保護應由其個人負責；行政處室部分，學籍及學習領域成績評量資料 屬教務處負責，日常生活成績評量由訓導處負責，輔導管教紀錄部分 則由輔導室負責(訓導處亦可能相關)。依據目前現行辦法職掌之規定，

依本文對現行制度之研究，教師及教育人員處理日常活動之資料 保護應由其個人負責；行政處室部分，學籍及學習領域成績評量資料 屬教務處負責，日常生活成績評量由訓導處負責，輔導管教紀錄部分 則由輔導室負責(訓導處亦可能相關)。依據目前現行辦法職掌之規定，