HOME 回資訊服務處首頁 Login
ITs通訊
搜尋電子報


含詳全文
訂閱電子報
請輸入E-Mail
 
 
2013.03.14 2013年第5期 設為首頁 | 加入最愛 | RSS 訂閱
最新電子報 | 上一期 | 下一期 | 各期電子報


   
中央研究院計算中心通訊
中央研究院計算中心發行
2013年第5期   民國102年3月14日
簡訊
【維護公告】本院網路及計算中心資訊服務暫停公告

 本院計算中心電腦機房網路核心交換器運作呈現不穩定,經評估與韌體版本老舊有關。計算中心訂於102年3月16日(星期六)8:00至 13:00間進行升級作業。作業期間計算中心主機服務(如:電子郵件、各種行政管理系統、網頁寄存、長久保存、主機備份及高效能計算…等)將全面暫停服務。

 另因網域名稱服務(DNS)將於3月15日18:00至19:00內進行維修,全院網路將斷線2次,每次在10分鐘以內,不便之處敬請見諒。

 洽詢電話:02-2789-8855  

Top

【院內座談】4月25日召開「本院第16次資訊業務協調會議」暨「資訊室主管及管理者經驗交流第19次座談會」
 「本院第16次資訊業務協調會議」暨「資訊室主管及管理者經驗交流第19次座談會」訂於4月25日(四)下午2時假學術活動中心2樓第1會議室舉行,敬請各單位資訊業務連絡人踴躍出席,提供您寶貴的意見。

 本次座談會邀請本中心資安組組長叢培侃先生主講「資安事件處理與總辦個資適法性作業分享」,敬邀各單位資訊室同仁及對此議題有興趣的同仁報名參加!

 報名方式:線上填寫「報名表」即可。

Top

【障礙說明】總辦事處區域網路故障說明

 本中心於前(100)年11月22日更新行政大樓Giga-bit網路交換器,採用Virtual Chassis技術,整合4台實體設備為1台虛擬設備,作業系統版本為10.4R5.5。用意在讓4台設備交互備援,以免單一設備損壞立即造成部分網路斷線。此虛擬架構也運用於本院其他單位的網路建設上,且實體設備有高達9台者。無奈人算不如天算,各單位用得好好的方案,在行政大樓卻衍生一連串的挫折,即使有設備原廠的緊密支援,迄今仍原因不詳。我們在困擾中慢慢累積經驗,希望今年能突破困局,也感謝同仁一年多來給予的包容。

 去(101)年2月10日上午,設備第一次不明就裡重新開機,中心立即透過維護廠商向原廠技術支援中心開立案件,並依其建議將作業系統版本升級至11.3R2.4。同年5月21日上午設備二度異常重啟,原廠判斷問題出自一台實體設備的記憶體洩漏(memory leak),產生HW_ID訊息錯誤,無法和另三台設備聯通,以致設備反覆重啟,最後還令某台設備開機失敗。隨即更新系統版本為11.4R2.14。

 去年8月27日行政大樓部分網路中斷,推測是設備硬體故障,將4台交換器全部更換。然而11月22日類似狀況再度發生,似乎是IPv6網路運作消耗大量資源,以致系統負載過重而不穩。除了更新系統版本至11.4R5.7之外,還加裝工具,蒐集故障資訊。今(102)年2月25日,三度出現行政大樓部分網路中斷。在窘迫之餘,我們回歸思考為什麼採虛擬架構的其他單位都沒事?比對彼此設備設定檔的差異,發現只有行政大樓啟用IPv6功能。我們在3月1日解除IPv6設定,持續監測運作狀態。希望時間能証實我們的猜測,也期待廠商能發掘根本的原因。

Top

【資安通報】近期資安通報
  • Trojan.Nawpers 木馬 (icst,2013/03/11)
  • Mozilla Firefox/Thunderbird/SeaMonkey CVE-2013-0787遠端程式碼執行漏洞 (icst,2013/03/11)
  • Oracle Java 存在系統存取的弱點,請使用者儘速更新!(GSN,2013/03/07)
  • 通報應變網站暫停服務(102.3.9)公告 ICST-ANA-2013-0004 (ncert, 2013/03/05)
  • Apple iOS 存在繞過安全性限制的弱點,請使用者儘速更新!(GSN,2013/02/27)
  • Adobe Flash Player / AIR 存在揭露敏感資訊的弱點,請使用者儘速更新!(GSN,2013/02/26)
  • JAVA_EXPLOIT.CVE 木馬程式可透過存取惡意網站時進行感染,請勿開啟任何可疑的檔案並提高警覺!(GSN,2013/02/25)
  • Top

    【教育訓練】計算中心4、5月「教育訓練」課程預告

    上課日期

    課程名稱

    適合對象

    講師

    04/11,12
    13:30~17:00
    共7小時
    Word 2010 長文件設定 同仁必須具備Word 2010基礎,否則在學習上會有吃力感   外聘
    04/16
    13:30~17:30
     
    EXCEL 2010從資料建置開始
    1. 總辦剛汰換電腦的同仁
    2. 對Excel 2010操作介面完全不熟悉的同仁
    外聘
    05/02
    14:00-17;00
    不用還原卡的Win7虛擬化技術 熟VirtualPC、Windows 7安裝操作 譚安成先生
    05/07
    14:00-17:00
    iBooks Author電子書編輯
    (請自備Apple產品)
    業務上需利用MAC編輯電子書的研究人員及同仁 吳至中先生
    Top

    【影音服務】「影音服務」新增影片
    Top

    『院外活動』Building Flowing Books:「文本型EPUB電子書」建造技術專題

    春季論壇三階段課程資訊:

    階段 上課日期 課程主題 課程規畫
    第一階段 3/22(五)14:00-17:00 「文本型」EPUB相關規範與Adobe InDesign CS6:「文本型電子書」編排製作流程 請點這裡
    第二階段 4/26(五)14:00-17:00 文本型EPUB之影音與視覺設計加值工作流程 未開放報名
    第三階段 5/24(五)14:00-17:00 Flowing Books with Vertical Text Alignment中式文本型EPUB(直排、右翻)電子書設計編排專題 未開放報名

    • 報到時間:13:30開始
    • 上課地點:聯成電腦忠孝分校
      地址:台北市忠孝東路四段178號4樓(近捷運站忠孝敦化3號出口)
    • 目標招收學員:對數位出版有興趣之出版社從業人員
    • 課程講師:普生數位科技 陳達得 技術總監
    • 報名說明:
      僅開放報名「春季論壇第一階段3/22課程」
      後續課程報名資訊,請留意台灣數位出版聯盟官網。
    • 主辦單位:台灣數位出版聯盟、普生數位科技有限公司、聯成電腦
    • 聯絡窗口:
      台灣數位出版聯盟 劉小姐02-2500-0888#6827
      聯成電腦 溫先生02-2772-3696#305
    • 報名請點這裡
    Top

    資訊安全
    個人資料保護面面觀
     個人資料保護法(個資法)係「為規範個人資料之蒐集、處理及利用,以避免人格權受侵害,並促進個人資料之合理利用」而特別制定的(個資法第1條)[註1]。去(101)年10月1日行政院公布施行個資法之後(但該法第6條及第54條暫不施行),所有公務機關(政府機關、軍警單位、公立學校、行政法人等)與非公務機關(個人、公司行號、私立學校、民間組織等)進行個人資料(個資)的蒐集、處理及利用,都必須遵守個資法、個資法施行細則及相關行政命令的規定。本院大多數行政工作和部分學術研究難免涉及個資,同仁因此有必要了解個資保護的相關法規,以避免執行行政工作或進行研究時違反個資法令。此外,做為個資的當事人,了解個資保護相關法規也有助於保護自身權益。

     雖然個資法令及於公務與非公務機關,但因本院屬公務機關,本文以公務機關所涉及的個資法令為主,簡要介紹本院各項業務可能涉及的個資保護法令。

    一、個資初步
     公務機關基於執行法定職務須利用個資,因而有必要蒐集個資,並加以處理,這整個個資蒐集→處理→利用的過程都必須遵循個資法令的規定。要了解個資法令,首先要知道什麼是個資(與個資檔案),以及何謂個資的蒐集、處理和利用。
    個資法第2條定義了個資、個資檔案,以及個資的蒐集、處理和利用:

    1. 個資(第1款):指自然人的姓名、出生年月日、身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他可直接或間接識別該個人之資料。個資法第6條雖未施行,但條文中嚴格限制部分個資項目,除非符合法律明文規定、執行法定職務所必要且加以安全維護、已合法公開等要件,否則不得蒐集、處理及利用,這些個資項目可歸類為特種個資。特種個資包括病歷[註2]、醫療、基因、性生活、健康檢查及犯罪前科。其餘個資項目則可歸類為一般個資,只要符合特定目的即可蒐集、處理及利用(個資法第15條)。
    2. 個資檔案(第2款):指依系統建立而得以自動化機器或其他非自動化方式檢索、整理之個人資料的集合。依據此定義,不論是以Microsoft Word製作的個資文書檔、以Microsoft Excel製作的個資表單檔、以Acrobat產生的個資pdf檔等電子檔案,或是內含個資的行政工作軟體系統、資料庫等都屬於個資檔案。另依個資法施行細則第5條的規定,個資檔案還包括前述個資電子檔案或資料庫的備份檔案。單純看個資法第2條及其施行細則第5條,個資檔案似乎是指個資的電子型式(soft copy),至於將電子型式的個資列印成書面型式(hard copy)之後是否屬於個資檔案,則有待釐清[註3]。
    3. 個資蒐集(第3款):指以任何方式取得個資,包括向當事人直接取得個資,或是以其他方式間接取得個資。間接蒐集個資的實例包括透過Google、Facebook等網路工具搜尋個資、查詢相關資料庫、利用惡意程式竊取個資等。
    4. 個資處理(第4款):指為建立或利用個資檔案所進行的處理,包括個資的記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。換言之,個資處理涵蓋以電腦處理個資的所有人工建檔、編輯作業,以及電腦程式所執行的資料處理功能。
    5. 個資利用(第5款):指將蒐集之個資為處理以外的使用。這個排除式的定義真讓人無言,不過參考個資法第15條「公務機關對個人資料之蒐集或處理,除第6條第1項所規定資料外,應有特定目的…」,可以理解為機關之所以要蒐集和處理個資,就是為了將個資利用於特定目的。「特定目的」既曰特定,當然必須以個資法主管機關所公告者為準,法務部因此於101年10月1日修訂公布了「個人資料保護法之特定目的及個人資料之類別」。換言之,個資利用應僅限於該行政命令所條列的「修訂特定目的項目」(共計182個特定目的)。

     舉例來說,新進同仁報到、取得單一簽入(SSO)帳號及通行碼後,登入本院人事系統填寫個人資料即為(直接)「個資蒐集」,該人事系統可視為「個資檔案」,而人事系統的所有功能即屬「個資處理」,隨後本院為同仁辦理公(勞)保、健保﹝特定目的001:人身保險﹞,甚至按月發給薪資﹝特定目的002:人事管理﹞則是「個資利用」。

    二、依法應公開的個資事項
     本院同仁除須依法蒐集、處理與利用個資之外,依據個資法第17條的規定,本院應將下列個資事項公開於本院網站:

    1. 本院保有的個資檔案名稱:個資檔案如為個別電子檔(文書檔、電子表單等),可直接使用檔案名稱,例如員工名錄;若為行政工作(或學術研究)軟體系統或資料庫裡的1或多個個資檔案,可直接使用該軟體系統或資料庫的名稱(例如人事資料庫),無須特別標示個別個資檔案的系統檔名。
    2. 個資檔案的保有依據:如係因執行法定職務而保有個資檔案,須條列該法定職務的法源。就本院而言,法定職務可參照本院組織法第2條、第22條、第24至第26條,以及本院處務規程第9至第14條,加上本院各種要點、作業規定與原則。例如,本院各研究所(處)中心辦理的各項學術研討會,以及總辦事處秘書組辦理的知識饗宴都可視為本院法定職務,其依據為本院組織法第2條第2款「指導、聯絡及獎勵學術研究」。
    3. 個資類別:應參照法務部於101年10月1日修訂公布的「個人資料保護法之特定目的及個人資料之類別」中條列的「識別類」(共計74種類別),就這些類別項目選擇適用者,將其代號填入本院的「個資檔案公開項目彙整表」。
    4. 個資檔案保有之特定目的:應參照法務部於101年10月1日修訂公布的「個人資料保護法之特定目的及個人資料之類別」中條列的「修訂特定目的項目」(共計182項特定目的),就這些特定目的項目選擇適用者,將其代號填入本院的「個資檔案公開項目彙整表」。
    5. 本院名稱及聯絡方式:聯絡方式可提供地址,以及電話或電子郵箱。

     上述(1)至(3)項應公開個資事項的表示方式可參考「法務部保有個人資料檔案公開項目彙整表」,該表的部分內容如表1所示:

    表1「個資檔案公開項目彙整表」範例
    項目
    編號
    個人資料檔案名稱 保有依據 個人資料類別 保有單位
    1 記者採訪證申請表 法務部組織法第2條 識別類
    (C001識別個人者、C003政府資料中之辨識者)
    綜合規劃司
    2 立法院立法委員助理名冊 法務部組織法第2條 識別類
    (C001識別個人者)
    綜合規劃司
    3 立法委員通訊錄 法務部組織法第2條 識別類
    (C001識別個人者)
    綜合規劃司
    4 行政院人權保障推動小組委員名單 法務部組織法第2條
    法務部處務規程第7條
    識別類(C001識別個人者、C003政府資料中之識別者)、
    特徵類(C011個人描述)、
    社會狀況(C038職業)、教育、技術或其他專業(C054職業專長)
    法制司
     上述(4)、(5)項應公開個資事項的表示方式可參考「法務部保有個人資料檔案公開項目彙整表」的附表,如表2所示:
    表2「個資檔案保有之特定目的及聯絡方式」範例
    法務部保有個人資料檔案之特定目的 人身保險業務(001)、人事行政管理(002)、公共衛生(005)、公共關係(006)、公職人員財產申報業務(010)、立法或立法諮詢(011)、犯罪預防、刑事偵查、執行、矯正、保護處分或更生保護事務(014)、刑案資料管理(019)、兵役行政(026)、社會服務或社會工作(028)、法律服務(032)、信託業務管理(041)、教育或訓練行政(053)、採購與供應管理(058)、統計調查與分析(060)、會計與相關服務(063)、資訊與資料庫管理(065)、發照與登記(070)、僱用服務管理(077)、輔助性與後勤支援(078)、學術研究(081)、其他中央政府(093)、其他公共部門(094)、其他司法行政業務(095)、其他諮詢與顧問服務(101)。
    法務部之聯絡方式 第一辦公室
    地址:臺北市中正區重慶南路1段130號
    電話:02-23146871
    綜合規劃司、法制司、法律事務司、檢察司、秘書處、人事處、會計處
    第二辦公室
    地址:臺北市中正區貴陽街1段235號
    電話:02-23167000
    國際及兩岸法律司、保護司、資訊處、統計處

     本院組織法第22條(總辦事處法源)、第24條(人事室法源)、第25條(政風室法源)及第26條(主計室法源)規定了各種行政工作的辦理單位,參照這些條文,本院基於行政工作相關特定目的而保有的個資檔案,宜由總辦事處各組室中心各就其業務盤點、彙整,報經院方核定後公開,並一體適用於本院各研究所(處)中心。換言之,各研究所(處)中心可直接適用上述本院所保有行政工作相關個資檔案的彙整表,無須就行政工作另行公開個資檔案及相關事項。

     本院依學術發展需要而設立各種研究所(本院組織法第13條)及各種研究中心(本院組織法第17條),當各研究所(處)中心因特定學術研究計畫而須保有個資時,宜由個別研究所(處)中心依法公開其保有的個資檔案及相關事項。

    三、蒐集、處理及利用個資須注意事項
     個資法第8及第9條中針對公務機關部分的規定,都是以該法第15條為基礎,亦即特種個資的蒐集、處理或利用都不得適用個資法第8、第9和第15條,本文因而將個資區分為一般個資與特種個資。本院絕大多數行政工作不涉及特種個資[註4],加上學術研究所涉及的特種個資蒐集、處理及利用尚無法令可規範,本文因此以介紹一般個資相關法規為主。
    個資法第15條規定公務機關(例如本院)對一般個資(該條文排除第2條第1項所規定的特種個資)之蒐集或處理,應有特定目的並符合下列3種情形之一:

    1. 執行法定職務必要範圍內;
    2. 經當事人同意
    3. 對當事人權益無侵害。

     個資法第8條第1項規定機關向當事人蒐集一般個資時(直接蒐集)應明確告知的事項,但該條文第2項規定了5種得免告知的除外情形:

    1. 依法律規定得免告知;
    2. 公務機關執行法定職務所必要;
    3. 告知將妨害公務機關執行法定職務;
    4. 告知將妨害第三人之重大利益;
    5. 當事人明知應告知之內容。

     個資法第9條規定機關蒐集非由當事人提供之一般個資(間接蒐集),於處理或利用前應明確告知的事項,以及得免告知的除外情形。第9條規定得免告知的情形除上述第8條的5種之外,還多了4種情形:

    1. 已公開個資;
    2. 不能告知;
    3. 統計或學術研究所須且去識別化;
    4. 新聞報導之公益目的。

     綜合這些法條,本院人事室、政風室與主計室因執行行政工作而須蒐集一般個資,係屬個資法第8條第2項第1款的「依法律規定得免告知」,各研究所(處)中心兼辦人事、會計者亦然。總辦事處其他組室中心依據本院處務規程第9至第14條執行行政工作而須蒐集一般個資,係屬個資法第8條第2項第2款的「公務機關執行法定職務所必要」,因而得免於告知,各研究所(處)中心兼辦採購、出納、資訊系統管理等業務者亦然。

     除上述依法律規定得免告知、執行法定職務所必要之外的個資蒐集、處理及利用,最好能告知並取得當事人同意,以免滋生不必要的困擾與法律糾紛。不過個資蒐集即使是依法律規定得免告知或執行法定職務所必要,仍須注意個資法第15條所規定的「應有特定目的」與「執行法定職務必要範圍內」。所謂「應有特定目的」,意指蒐集個資必須是基於「個人資料保護法之特定目的及個人資料之類別」所條列的182項特定目的之一。此外,應遵循「最小蒐集原則」,以確保符合「執行法定職務必要範圍內」的規定。換言之,個資法第2條第1款所規定的個資項目,非執行行政工作或進行研究計畫所必要者就不要蒐集。

     本院所持有的個資可就當事人身分區分為3類:員工、關係人及民眾。員工包括本院組織法中列舉的正副院長、院士、評議員、研究人員、行政技術人員等,以及技工、工友、約聘僱人員、合聘研究人員、國際研究生院學生等。關係人泛指受本院法定職務影響或影響本院執行法定職務的非本院人員,包括採購案的投標廠商、得標廠商、評選委員等、支領本院出席費、演講費等的應邀人員,以及總統府、主計總處、國庫署、審計部、人事行政總處、考試院、法務部等相關政府機關的相關人員、立法委員等。民眾則主要包括報名參與本院學術研討會、知識饗宴、入住本院學術活動中心者,以及向本院檢舉、陳情的院外人士等。

     員工個資的蒐集、處理及利用皆有法律依據或屬執行法定職務所必要,因此依法無須告知,但不能過度蒐集(例如非必要地蒐集員工親屬的個資)。關係人個資的蒐集、處理及利用也都有法律依據或屬執行法定職務所需,若僅蒐集必要個資(例如姓名、職稱、負責職務、聯絡方式等),同樣依法無須告。至於民眾個資的蒐集、處理及利用,只要是執行法定職務(接受學術研討會、知識饗宴等活動的報名),僅蒐集必要個資(姓名、聯絡方式,需填報公務人員學習時數者再加身分證號碼)且僅限單次利用(亦即活動過後即刪除該個資),也是依法無須告知。

    五、個資法的罰則
     同仁們務必謹記在心:個資法是有罰則的,尤其是公務機關人員一旦觸犯個資法第41、或第42條,是有可能被判處有期徒刑、拘役或科或併科罰金的。

     個資法第41條第1項規定:違法蒐集、處理或利用個資而致當事人受損害者,處2年以下有期徒刑、拘役或科或併科新臺幣20萬元以下罰金。該條文第2項規定:意圖營利犯第1項之罪者,處5年以下有期徒刑,得併科新臺幣100萬元以下罰金。就公務機關人員而言,上述違法情況包括:

    1. 非法蒐集、處理或利用特種個資(違反第6條第1項);
    2. 蒐集或處理一般個資卻無特定目的、非法定職務必要範圍、未經同意且侵害當事人權益(違反第15條);
    3. 利用一般個資卻非法定職務必要範圍、不符合蒐集之特定目的且無第16所規定的除外情形(違反第16條)。

     個資法第42條規定:意圖為自己或第三人不法之利益或損害他人之利益,而對於個資檔案為非法變更、刪除或以其他非法方法,致妨害個資檔案之正確而足生損害於他人者,處5年以下有期徒刑、拘役或科或併科新臺幣100萬元以下罰金。

     本院同仁不論正編或約聘僱都是刑法所定義的公務員,所以要特別注意個資法第44條規定:公務員假借職務上之權力、機會或方法,犯本章之罪者,加重其刑至二分之一。

     除了個人觸法須負刑責之外,機關也會因員工違法而須承擔民事損害賠償責任,個資法第28條規定:公務機關違反本法規定,致個資遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任…。每人每件賠償金額500元以上2萬元以下,一旦造成多數人權益受侵害,可能要賠償多達2億元。

     雖然個資法訂有民刑事罰則,但本院同仁無須擔憂,只要同仁們本於依法行政的立場執行各項法定職務,因違反個資法而涉訟的可能性其實無乎其微的。

    • 註1:本文係以「夾敘夾議」的方式引用個資法令,文中引用法令時並非原文照錄,而是維持其原有意旨但改以方便讀者了解的方式撰寫。
    • 註2:雖然「病歷」尚未列入個資法第6條,但因其與「醫療」關係密切難以分割,可預期未來將修法納入。
    • 註3:釐清方式包括由主管機關解釋或個資訴訟案的法院判例。
    • 註4:本院醫護室蒐集同仁病例、醫療等特殊個資的行為,因屬總辦事處總務組法定職務(本院處務規程第11條第5款),只要醫務室將這些特殊個資上鎖保存並僅限醫療人員用於診療,即可符合個資法第6條第1項第2款的規定。
    Top

    創刊日期:74年10月15日
    發行人 :王大為
    總編輯 :曾士熊
    編輯小組:葛行慧
    網站技術:網頁技術及出版組
    出版日期:民國102年3月14日


    服務專線:(02)2789-9866
    E-mail:publish@gate.sinica.edu.tw
    訂閱與取消訂閱 | 各期計算中心通訊 | 中研院計算中心 | 中央研究院

    本電子報所有文字、圖片版權為中央研究院所有,未經許可請勿轉載。
    如對本報有任何意見,請與我們聯繫。
       
     
     本電子報所有文字、圖片版權為中央研究院所有 。 電子報出版系統由中央研究院資訊服務處開發。