第一章 总 则
第一条 为保护师生员工个人信息权益,规范学校相关个人信息处理活动,促进学校数据汇聚共享利用,根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规及《信息安全技术个人信息安全规范(GB/T35273-2020)》《信息安全技术个人信息去标识化指南(GB/T37964-2019)》等国家标准,按照《教育部等七部门关于加强教育系统数据安全工作的通知》(教科信函〔2021〕20号)等文件要求,参考《互联网个人信息安全保护指南》等实施指南,结合学校实际,制定本办法。
第二条 学校各部门处理师生员工个人信息电子数据的活动,适用本办法。
第三条 个人信息是以电子或其他方式记录的与已识别或可识别的自然人有关的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等,不包括匿名化处理后的信息。敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
第四条 个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,方可处理敏感个人信息。
第五条 处理个人信息应当遵循目的明确、选择同意、公开透明、最小必要、确保安全的原则。
(一)具有明确、清晰、具体的个人信息处理目的;
(二)向个人信息主体明示个人信息处理目的、方式、范围等规则,征求其授权同意;
(三)以明确、易懂和合理的方式公开处理个人信息的范围、目的、规则等;
(四)处理的个人信息是提供服务所必须的,或者是履行法律、行政法规规定的义务所必须的,只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量,处理个人信息限于实现处理目的的最短周期、最低频次、对个人权益影响最小的方式;
(五)采取足够的管理措施和技术手段,保护个人信息的保密性、完整性和可用性。
第二章 组织机构及职责
第六条 信息化建设与网络安全工作领导小组(以下简称信网领导小组)负责学校个人信息保护工作的顶层设计、统筹规划、协调推进和指导监督。
第七条 信息中心负责落实信网领导小组的各项决议与工作部署,研究制定个人信息保护工作规章制度和标准规范,建立覆盖收集、存储、使用、加工、传输、提供、公开、删除等全生命周期的个人信息安全保障和检查评估机制,协调处理个人信息保护重大突发事件有关应急工作,对学校统一存储的个人信息进行整体防护等。
第八条 各部门是本部门个人信息处理活动的主体责任单位,负责制定本部门所属业务个人信息使用处理规则,落实网络安全与信息化领导小组部署的个人信息保护各项工作,明确本部门个人信息处理相关人员操作权限,实施个人信息安全防护措施,排查、处置和报告个人信息泄露事件。
第九条 师生员工应及时主动更新本人在学校信息化基础平台和业务系统中所使用的个人信息,妥善保管个人信息,确保个人信息的准确性、完整性和安全性。
第三章 个人信息的处理规则
第十条 统一规范
(一)信息系统应在建设方案中明确个人信息处理内容,由项目评审专家对个人信息处理的必要性、科学性、伦理性进行审核。
(二)可以从学校统一数据共享交换平台通过接口调用获取的个人信息不允许重复收集;学校统一数据共享交换平台中未包含的师生个人信息,必须通过“一网通办”统一收集;非必要不得线下收集个人信息。
(三)学校全域数据中心是学校个人信息集中统一的存储平台,学校个人信息不得在校外、校内非全域数据中心中存储,各部门收集到的个人信息必须通过相关数据交换途径,交换到平台中。
(四)个人信息原则上优先通过在线接口获取,“用而不存”。按照学校数据资源申请使用流程进行申请,并签订安全承诺书。除学校统一数据共享交换平台,其他信息系统禁止提供针对个人信息数据的批量导出功能。
(五)原则上不得向境外提供师生员工个人信息;确因业务需求需向境外提供的,应按国家有关规定开展数据出境安全评估。
第十一条 个人信息收集
(一)未经信网领导小组批准,校内任何部门和个人不得以任何理由收集敏感个人信息和超出部门职能范围的师生员工个人信息;未经本部门负责人批准,任何员工不得以任何理由,收集本部门所属业务的师生员工个人信息。
(二)面向师生员工、学生家长收集个人信息应公开收集使用规则,明示收集使用目的、方式、范围和使用期限,并经个人信息主体同意后方可收集。收集处理十四周岁以下未成年人的个人信息应当征得其监护人同意。
(三)各部门应对收集的个人信息定期审核和更新,确保个人信息的准确性和完整性。师生员工个人信息如发生变更或收集的数据有误,可向该信息的主管部门提出更新申请。主管部门应提供方便、快捷的信息更新渠道,保证及时更新个人信息。
第十二条 个人信息存储、传输和提供
(一)个人信息存储期限应当为实现处理目的所必要的最短时间,超过期限的个人信息应归档或销毁,法律法规另有规定或者个人信息主体授权同意的除外。
(二)敏感个人信息在存储过程中必须进行加密处理,密码技术和产品使用应遵循学校基于国产商密的可信认证体系的安全要求。
(三)储存个人信息的主要设备应具有并启用备份和恢复功能,确保存储安全。
(四)个人信息在线传输应采用加密传输或专线;个人信息离线传输应
加密后进行,不得通过各类即时通讯软件(如微信、QQ、钉钉等)、第三方电子邮件系统和USB闪存盘等移动存储介质传输。
第十三条 个人信息加工和使用
(一)各部门应充分尊重个人信息主体的知情权和决定权,应以显著方式、清晰易懂的语言向个人信息主体展示处理规则,并经个人信息主体同意后方可处理。
(二)各部门处理个人信息的信息系统应明确网络安全负责人、个人信息数据处理使用人员、个人信息数据审计人员,实现管理、使用和审计的权限分离。网络安全负责人负责分配个人信息数据使用权限;个人信息数据处理使用人员根据业务和权限需要使用数据;个人信息数据审计人员负责对各类人员的操作进行审计和分析。
(三)各部门应采取个人信息处理最小授权的访问控制策略,使被授权访问个人信息的人员只能访问职责所需的最少必要的个人信息,且仅具备完成职责所需的最小的数据操作权限,并详细记录数据查询、录入、修改、删除和导出等操作,相关日志保留时间不少于六个月。
(四)对个人信息进行重要操作前(如批量修改、复制、导出等),需由相关个人信息的业务主管部门与信息中心办共同审批,审批通过后方可进行操作。利用个人信息开展统计分析、科学研究、决策分析时,应经网络安全与信息化领导小组同意,并进行必要的脱敏处理,达到“可用不可见”的要求。
(五)除个人信息的业务主管部门和个人信息主体外,原则上只接受网信、公安等部门和学校上级主管单位依法依规的查询请求,查询请求受理部门为信网办,其他业务部门不得接受职责范围以外的查询请求。
(六)师生员工个人信息不得被用于商业用途。委托处理个人信息的,应当与受托方约定委托处理的目的、处理方式、个人信息的种类、保护措施以及双方的权利和义务等,并对受托方的个人信息处理活动进行监督。
第十四条 个人信息共享和公开个人信息原则上不得公开披露,经法律授权或具备合理事由确需公开披露时,应事先开展个人信息安全影响评估,并遵循最小化原则,通过信息组合能识别特定自然人身份并满足公示要求即可,严禁超范围公开其他相关信息,相关个人信息需进行去标识化处理,不得直接公开完整的个人信息。
(一)网站和公共显示屏等公共界面发布内容中不应含有未经去标识化处理的个人信息。
(二)敏感个人信息不宜公开。
第十五条 个人信息删除
(一)各部门如违反法律、行政法规的规定或者收集使用规则进行收集、使用其个人信息时,应依法依规删除个人信息数据。
(二)注销信息系统或报废的存储设备时,要确保承载的个人信息数据已被清理才可进行注销或报废处理。
(三)存储过个人信息的设备在重新使用前,应将之前的内容通过可靠技术手段全部进行删除。
第四章 安全保障及责任追究
第十六条 各部门应将个人信息保护纳入本部门网络安全管理体系,建立“主要负责人负总责、分管负责人具体抓”的领导责任制。
第十七条 各部门应严格遵从数据安全和个人信息保护相关法律法规明确的防护要求,定期组织管理和技术人员特别是个人信息处理活动关键岗位人员的培训,切实提高个人信息保护意识和防护能力。
第十八条 各部门应将个人信息泄露、破坏等安全事件纳入本部门网络安全事件应急预案中,明确处置措施。发生个人信息泄露等安全事件应立即采取应急处置措施,尽一切可能控制、降低损失,并及时向信网领导小组报告。如有瞒报、缓报、处置和整改不力等情况的,将对该部门予以通报并追究相关人员的责任。
第十九条 师生员工和学生家长对其个人信息的处理享有知情权和决定权,有权查阅、复制其个人信息,有权更正、补充其个人信息,有权要求个人信息处理者对其个人信息处理规则进行解释说明,有权对违反个人信息保护的行为进行监督、举报。
第二十条 学校授权信息中心可以对学校范围内个人信息处置相关的审计记录进行检查或者通过其他网络安全检测手段检查个人信息的处理情况。对于出现的违规行为将按照网络安全事件进行处置,相关部门及个人应及时、彻底地整改。
第二十一条 对于造成重大损失或整改不力的违规行为,由信息中心办负责汇总相关情况,提交网络安全与信息化领导小组进行责任认定。确定相关责任人、责任部门,按照学校网络安全相关管理制度配合学校有关部门进行追责。对于违反国家法律法规的行为,学校将配合网信、公安等部门和学校上级主管单位进行处理。
第五章 附则
第二十二条 本办法自公布之日起开始施行,由信息中心负责解释。
|
