教育部兩份重要規範文件，針對校園內個人資料的蒐集與生物辨識技術應用，建立明確的保護架構。這兩份文件分別為「學校使用資通系統或服務蒐集及使用個人資料注意事項」與「校園使用生物特徵辨識技術個人資料保護指引」，均自 2025 年 2 月 7 日起生效實施。

一、生物特徵辨識技術指引重點

1. 資料處理原則  
      要求學校應將原始生物特徵資料（如指紋、臉部特徵等）轉換為不可逆的特徵值，並採取「資料最小化」原則，連結個人資料時優先使用代號或假名化處理[1][3]。留存原始資料時須加密分開儲存，且需嚴格控管存取權限[1][6]。

2. 同意權與替代方案  
      強調必須取得當事人書面同意，未成年者需法定代理人共同簽署。若當事人拒絕提供生物特徵，學校應提供不影響權益的替代識別方式[2][4][6]。

3. 資料銷毀規範  
      明訂生物特徵資料需在授權期限屆滿或教職員生離校時銷毀，確保資料保留期間符合必要性原則[2][4]。

二、資通系統個資注意事項

1. 合規性要求  
      各級學校導入資通系統時，須符合《個人資料保護法》及《資通安全管理法》雙重規範，特別在系統委外開發時，應納入資安條款與履約管理機制[7][9]。

2. 風險評估機制  
      要求學校建立個資影響評估制度，針對高風險系統實施隱私設計（ Privacy by Design ），並定期進行資安健檢與事件演練[9][13]。

3. 通報與稽核  
      明定重大個資外泄事件需於 72 小時內通報主管機關，且各校須將個資保護執行情形納入年度資安維護計畫提報內容[7][10]。

配套措施與執行要點

• 技術層面：建議採用符合國際標準的加密演算法（如 AES-256 ）處理特徵值，並透過硬體安全模組（ HSM ）強化儲存安全[1][3]。
• 管理層面：要求各校需訂定內部管理規範，設置專責人員，並建立個資問題申訴管道[3][6]。
• 教育訓練：教育部將辦理全台示範研習，提供各校導入生物辨識系統的標準作業流程（ SOP ）與契約範本[13]。