第一節 結論
本文首先說明個人資料之定義,並陳述個資保護的相關概念,並 依據文獻介紹個人資料保護原則通說,來探討個資保護之權利基礎及 法制規範。另外,介紹美國保護學生個資專法 FERPA,以作為我國相 關規範之啟示;接下來說明我國現行中小學對於學生個資保護的制度 規範,並探討校務 E 化的現狀及影響。最後依據以個人資料保護原則 及美國 FERPA 規準,檢視我國現行蒐集、處理及利用學生個資的各項 辦法以提出檢討與建議。根據本文之研究,提出下列結論:
壹、學生個資應受良好的保護
基於下列理由,國中小學生個資應受良好之保護:
一、基於個資保護之權利基礎
個資保護之權利基礎,始於對人性尊嚴的保障。而源自於人性尊 嚴的資訊自決權,肯認個人對於提供國家或私人機構利用資料之控制 權,是個人自決、自治表現之基礎,為個資受保護之具體呈現。另外,
以美國所形成的隱私權及其後發展之資訊隱私權,亦指出個人屬性等 隱私內涵為個資保護之重要內容。是故,從上述權利基礎來看,就普 遍適用來說,所有人之個資應受保護並得以自決,學生個資亦不例外。
雖然國中小學生係屬未成年人,但其權利能力並不等同於行為能力,
基於憲法自然人之法律地位平等及民法第 13 條、第 16 條之規定,對 於未成年學生的法律行為能力有所限制,但不會剝奪其享有權利、負 擔義務的資格。另外,未成年之國中小學生年齡及心智尚未成熟,若 其個資權利遭受侵害將影響久遠,故學生之個資應受最大限度的保
護,以利其健康成長。
二、基於個資保護之法制規範
我國個資保護之法制規範,從「憲法」條文之擴張適用、第 22 條 未列舉權之適用,乃至於大法官解釋之延伸運用,皆肯認個資保護具 憲法位階之基礎;而 1995 年制定之「電資法」,更形成我國資訊隱私 保護法律體系的開始,亦為個資保護之具體規範。另外,個資保護之 規範亦散見於行政、刑事、民事法規,對於資訊管理者產生約束力,
國中小自然也不例外;除了學校身為學生個資保護之義務主體需遵守
「電資法」規範外,教師本於職責及專業以從事日常教學活動,在法 律上亦應基於「教師法」、「教育基本法」等法令,注意對學生隱私保 障之規範,以避免因過失而造成學生個人資料受到侵害。
三、美國保障學生個資之啟示
美國為保障學生之隱私權利及家長對學生教育紀錄之控制權,乃 立 FERPA 專法明確規範,後續並以行政命令補充的方式,隨時勢變化 賦予學生個資更佳的保護。本文闢專章討論美國 FERPA 法案及相關案 例,並據以對我國學生個資保護進行探討,發現我國對學生個資保護 之規範多分散於日常教育行政業務之辦法中,因此也較無具體之保護 作法,即使學校肯認學生個資需要保護,但對於運用學生個資之範圍 與限制無實際上之了解,可能會有保護作為上過與不及的困擾。是故,
本文透過美國 FERPA 專法的啟示,為達成「良好」之學生個資保護,
我國應將學生個資內涵及權利內容明確訂立,並界定學校揭露學生個 資之合理程序,綜合上述內容為相關準則或辦法,給學校及教師有所 遵循的方向,方為上策。
貳、學生個資受保護之權利內涵與作法 一、學生個資受保護之權利內涵
根據本文對美國 FERPA 法案之研究,學生及家長在個資上應有知 悉權、修正權、向第三者揭露同意權、救濟權等權利內涵。知悉權乃 透過資訊公開說明,讓家長及學生瞭解學校在處理教育紀錄上之作法 及程序;修正權則是讓家長及學生進行更正錯誤紀錄的權利;向第三 者揭露同意權則為對可公開之部分個資進行同意與否的選擇;而救濟 權的設計,則是在個資遭受不當侵害時,得以依法進行申訴或求償。
二、學校應有之具體作法
而為了讓家長及學生得具體實現上述 FERPA 各項權利,學校的作 法必須符合幾個必要的要求(一)個別學生的紀錄,包含個人的可資識別 的資料必須保持機密,且校方不能在沒被家長或合於資格的學生同意 下揭露。(二)未成年學生的父母或監護人以及成年的學生,必須擁有檢 視所有和他有關學校紀錄的權利。(三)為了父母易於找出他們小孩資 料,校方的資料系統必須充分詳細(四)有權取得學生紀錄者必須能被識 別,並且在繳回學生教育紀錄時必須要有註記併同保存。
參、學生個資保護面臨挑戰 一、校務 E 化的危機
學校為配合資訊、網路科技的長足進步,逐漸加入校務 E 化的行 列,乃切合資訊革命之變遷,為不可逆之發展。教育主管機關為邁入 二十一世紀之教育現代化,戮力從事國中小之資訊基礎建設,至今已 可就學生成績及學籍資料進行電子交換,成就不可謂不大;但伴著校 務 E 化發展腳步,許多書面紙本資料轉成電子檔方式處理,個人資料 及隱私遭受侵害的機率相對增加,就管理上亦產生困難。
目前國中小學生資料管理常見模式為資訊委外或採自行開發或分
享開發方式進行系統建置,各有其優缺點,但同樣需面對使用管理上 權限設定、駭客入侵等問題。在資訊基礎建設完成後,資訊安全方面 的投資近年來才正式開始重視,許多資安問題便從防護較弱的政府機 關網站發生,而投資比率佔整體預算較小、防護較差的國中小學,因 資訊網管人員不足或教育訓練上的問題,便常成為駭客練功的好場 所。是故,從近年案例來看,採線上資料庫模式建立之學籍系統普遍 完成後,所有學生的個資及教育紀錄將完整紀錄在伺服器中,無妥善 的資訊安全防護,全校師生個資流失或外洩的後果將十分嚴重。
二、保護規範無整體規劃
隨著詐騙及身分盜用等案件不斷發生,個資保護議題已然受到全 民的重視,其中對於中小學生個資保護的問題上,並沒有因為其為未 成年人而受到忽略或排除。
針對個資保護,我國目前雖有「電資法」專法作為保障,但本法 尚無法涵蓋非電腦處理之個人資料,在安全保護規範上亦過於籠統,
且「電資法」明文規定學校乃屬非公務機關,但 1996 年「執行電腦處 理個人資料保護事項協調連繫會議」又將各級公立學校歸為公務機 關,對一般學校而言,在公、私立學校分屬於公務機關及非公務機關 之規定有所混淆下,可能造成法適用上的誤解。
另外,目前處理學生個資乃依「國民教育法」之規定辦法,就本 文探討之學籍紀錄、成績評量紀錄及輔導管教紀錄來看,除成績評量 部分由教育部訂有「國民小學及國民中學學生成績評量準則」較有統 一之規準外,學籍紀錄及輔導管教紀錄因授權地方政府或國中小校務 會議訂定之,並沒有整體之規劃,大部分條文僅用於規範學校之行政 行為及處理師生關係之依據,其紀錄之學生個資處理及應注意事項僅 為其中一小部分,而我國尚未就家長及未成年人權利行使作明確的規
定,可能不利於學生個資內容之認定及資訊自決權之行使。
三、學校的誤用或濫用
以往在「特別權力關係」下,教師對於學生個資的看法,常認為 其為教學或親師連繫之「工具」,個資應受保護的概念並沒有相當的認 識,雖然在人權教育及友善校園的推動後有所改善,但教師對學生個 資尊重與捍衛的認知仍有改善空間。現時教育現場學生個資遭不當公 開,不管是誤植於網站上或遭告知無關之第三者等皆時有所聞;另外,
只要是「師長」基於關心,要瀏覽學生個資大致上也不會有受到阻止 的可能;而學校對於學生個資之保存不恰當,致使紙本資料人人皆可 翻閱,或權限設定過於寬鬆致使學生個資外洩亦屬常見。
除上述問題之外,學生個資遭不當評核亦屬於個資受侵害項目之 一。學校或其教育人員對學生所作成之紀錄,若未予以正確登載,無 論屬於故意或過失,皆會對學生權益造成極大的影響,如不當之輔導 紀錄內容中若對學生形象錯誤剖繪,或置入過度主觀且負面之文字陳 述,一旦遭到公開可能導致學生人格受損;而係屬成績評量部分若有 不當之評核如竄改成績等,則可能對學生未來升學產生重大影響。
由於「教師法」明文規定「非依法律規定不得洩漏學生個人或其 家庭資料」,明白指出教師有相當之義務保護學生個資及其家長個資,
隨詐騙案件日增,家長對於學生個資保護之要求日益強烈,教師在蒐 集、處理、利用學生個資之行為上若未留意,可能有行政上之責任,
若嚴重者可能肇生民、刑事責任;而對學生的不當評核紀錄,屬於學 生個資保護上之挑戰,亦容易成為親師間衝突的原因之一,不可不慎。
肆、我國學生個資保護規範之檢討 一、以個人資料保護原則來看
本文乃以個人資料保護之八大原則來檢視我國學生個資保護規
範。學籍管理部分,本文乃以「臺北巿國民中學學生學籍管理辦法」
為例作為說明。透過對於學籍管理辦法之檢視,該辦法較符合限制蒐 集原則、正確性原則、目的明確化原則、限制利用原則、安全保護原
為例作為說明。透過對於學籍管理辦法之檢視,該辦法較符合限制蒐 集原則、正確性原則、目的明確化原則、限制利用原則、安全保護原