第一章總則

第一條為規范學(xué)院信息化建設過(guò)程中的個(gè)人信息處置工作，  明確對個(gè)人信息保護的管理要求，切實(shí)維護廣大師生的合法權益， 根據《中華人民共和國網(wǎng)絡(luò )安全法》《中華人民共和國數據安全 法》《中華人民共和國個(gè)人信息保護法》等相關(guān)法律法規，以及 《信息安全技術(shù)個(gè)人信息安全規范》《互聯(lián)網(wǎng)個(gè)人信息安全保護

指南》等文件精神，結合學(xué)院實(shí)際，制定本辦法。

第二條本辦法適用于學(xué)院信息化建設中所涉及的個(gè)人信息  采集、存儲、使用、共享、公開(kāi)及刪除等各環(huán)節。為滿(mǎn)足學(xué)院教 學(xué)、科研及其他管理需求，且符合國家法律法規及上級、學(xué)院規 范性文件要求的，可依照本辦法處置師生的個(gè)人信息，校內師生

有義務(wù)提供相關(guān)個(gè)人信息。

第三條個(gè)人信息分為普通個(gè)人信息和敏感個(gè)人信息兩類(lèi)。

(一)普通個(gè)人信息：能夠單獨或者通過(guò)與其他信息結合，

識別特定自然人身份或反映特定自然人活動(dòng)情況的各種信息。

(二)個(gè)人敏感信息： 一旦泄露、非法提供或濫用可能危害 人身和財產(chǎn)安全，極易導致個(gè)人名譽(yù)、身心健康受到損害或歧視

性待遇等的信息。

第四條個(gè)人信息保護應遵循如下原則：

(一)合法性原則：不得違反相關(guān)法律、法規；

(二)最小必要原則：在滿(mǎn)足信息化建設必要需求的前提下， 在最小范圍內采集、存儲、使用個(gè)人信息，對于個(gè)人信息的處理

采用最小操作權限劃分，不得超范圍處置個(gè)人信息；

(三)安全原則：采用必要的安全技術(shù)措施和管理手段，保 障個(gè)人信息的完整性、保密性及安全性，避免個(gè)人信息泄露、損

毀和丟失；

(四)知情同意原則：信息化應用在使用個(gè)人敏感信息時(shí)，

應明確告知相關(guān)個(gè)人。經(jīng)本人同意后，方可使用。

                    第二章責任分工

第五條學(xué)院網(wǎng)絡(luò )安全和信息化領(lǐng)導小組負責貫徹落實(shí)上級 有關(guān)部門(mén)關(guān)于數據安全與個(gè)人信息保護工作的發(fā)展戰略、宏觀(guān)規 劃、重大政策和工作部署，統一領(lǐng)導、統一謀劃、統一部署學(xué)院

的數據安全與個(gè)人信息保護工作等。

網(wǎng)信辦負責組織落實(shí)領(lǐng)導小組的各項決議與工作部署，研究 制定數據安全與個(gè)人信息保護工作發(fā)展規劃、工作計劃、規章制 度和標準規范，建立覆蓋數據采集、存儲傳輸、處理使用、開(kāi)放 共享等全生命周期的數據安全保障和監督檢查機制，協(xié)調處理數

據安全重大突發(fā)事件有關(guān)應急工作等。

各部門(mén)(單位)黨政負責人是本部門(mén)(單位)數據安全工作 的第一責任人，按照“誰(shuí)收集，誰(shuí)負責”、“誰(shuí)使用，誰(shuí)負責”、 “誰(shuí)發(fā)布、誰(shuí)負責”的原則將數據安全責任落實(shí)到人，健全落實(shí)

數據安全防護措施，保障數據安全。

第六條在學(xué)院信息化建設中，師生有權查詢(xún)本人信息且對 錯誤信息作出更正，有權向業(yè)務(wù)主管部門(mén)報告違規處置個(gè)人信息

的行為。業(yè)務(wù)主管部門(mén)應予以及時(shí)處理并反饋處理結果。

第七條 師生作為個(gè)人信息的所有者，有義務(wù)及時(shí)更新信息 化建設中使用到的個(gè)人信息，保證信息的準確性和完整性，并在 信息化應用過(guò)程中妥善保管個(gè)人信息。由于師生個(gè)人原因造成的 個(gè)人信息泄露、損壞、丟失，由本人承擔相應責任；如對他人個(gè) 人信息造成不良影響，將根據本辦法的追責條款，追究相關(guān)責任

人的責任。

                         第三章個(gè)人信息處理規則

第八條個(gè)人信息采集由相關(guān)業(yè)務(wù)主管部門(mén)負責。業(yè)務(wù)主管部 門(mén)原則上必須把相關(guān)業(yè)務(wù)系統作為數據源系統，不允許線(xiàn)下采集。 其他業(yè)務(wù)部門(mén)、信息化項目不允許單獨進(jìn)行個(gè)人信息采集。業(yè)務(wù) 主管部門(mén)應提供方便、快捷的信息更新渠道，并對采集的個(gè)人信

息進(jìn)行審核和及時(shí)更新，確保個(gè)人信息的準確性和完整性。

各業(yè)務(wù)主管部門(mén)應與業(yè)務(wù)系統開(kāi)發(fā)單位簽訂明確的個(gè)人信 息保護條款，明確個(gè)人信息的所有權和訪(fǎng)問(wèn)控制權，明確因開(kāi)發(fā)

方造成的數據安全事件的追責權力。

非自行運維的信息系統和數據庫的業(yè)務(wù)部門(mén)應與外包維保單 位簽訂數據安全保障承諾書(shū)，對具體維保人員進(jìn)行審核和備案管 理，并嚴格執行操作日志管理；明確因運維方造成的數據安全事

件的追責權力。

各業(yè)務(wù)部門(mén)采購的信息化服務(wù)項目，合同中應明確服務(wù)供應 商對于學(xué)院數據和師生個(gè)人數據的保護責任，并明確因服務(wù)供應

方造成的數據安全事件的追責權力。

第九條學(xué)院數據中心平臺是個(gè)人信息的統一存儲平臺。業(yè)務(wù) 主管部門(mén)采集到的個(gè)人信息，除存儲在相關(guān)的業(yè)務(wù)系統數據庫中， 還應通過(guò)相關(guān)數據交換途徑，儲存到數據中心平臺中。個(gè)人信息 的存儲和傳輸必須進(jìn)行加密處理。業(yè)務(wù)主管部門(mén)須采取有效技術(shù) 手段和管理措施對存儲個(gè)人信息的服務(wù)器和數據庫進(jìn)行保護，避 免個(gè)人信息的泄露、損壞或丟失。原則上，信息化建設中的個(gè)人 信息均須在學(xué)院數據中心服務(wù)器本地存儲，不得在校外、校內非

數據中心環(huán)境存儲。

第十條信息化項目應嚴格按照數據資源使用申請中所確定 的用途使用個(gè)人信息，嚴禁將個(gè)人信息挪作他用。接觸個(gè)人信息 的相關(guān)人員負有保密責任，嚴禁在未經(jīng)授權的情況下對外提供個(gè)

人信息。

第十一條信息化項目對個(gè)人信息的查詢(xún)、修改等操作，應保 留不少于180天的相關(guān)操作日志，并提供數據庫審計功能，個(gè)人 信息應實(shí)現數據管理、數據使用和數據審計的權限分離；數據管 理人員負責分配數據使用權限、按最小化原則授予各級各類(lèi)人員 的相關(guān)權限；數據使用人員根據業(yè)務(wù)和權限需要使用數據；數據

審計人員負責對各類(lèi)人員的數據操作進(jìn)行審計記錄和分析。

除個(gè)人信息的源數據系統，其他業(yè)務(wù)系統原則上禁止提供單

獨針對個(gè)人信息數據的批量導出功能。對個(gè)人信息的重要操作前

(如批量修改、拷貝、導出等),需由相關(guān)數據主管部門(mén)信息化負

責人與信息技術(shù)中心負責人共同審批，審批通過(guò)后方可進(jìn)行操作。

第十二條信息化項目須對通過(guò)界面(如顯示屏幕、紙面)展 示的個(gè)人信息進(jìn)行脫敏處理。依照本辦法獲取的個(gè)人信息，經(jīng)過(guò) 匿名化處理至無(wú)法識別特定個(gè)人且不能復原的，可直接應用于學(xué) 院的科研、教學(xué)、校務(wù)管理等工作，匿名化處理后的信息數據所

有權及其相關(guān)知識產(chǎn)權歸學(xué)院所有。

第十三條原則上只接受公安部門(mén)、教育廳及學(xué)院紀檢監察等 部門(mén)，因工作需要對非信息化工作用途的信息查詢(xún)請求。查詢(xún)請 求經(jīng)審批同意后，受理部門(mén)為相關(guān)業(yè)務(wù)主管部門(mén)，其他業(yè)務(wù)部門(mén)

不得進(jìn)行個(gè)人信息查詢(xún)和對外提供個(gè)人信息數據。

第十四條將個(gè)人信息作為運行必要條件的系統，在安全性可 以滿(mǎn)足個(gè)人信息保護要求的前提下，可依法依規進(jìn)行個(gè)人信息共

享。非數據源的各業(yè)務(wù)系統原則上不得共享個(gè)人敏感信息。

第十五條只有相關(guān)法律法規有明確規定需要公示的個(gè)人信 息，才可進(jìn)行公開(kāi)。公開(kāi)個(gè)人信息遵循最小化原則，通過(guò)信息組 合能識別特定自然人身份并滿(mǎn)足公示要求即可。嚴禁超范圍公開(kāi) 其他相關(guān)信息，相關(guān)個(gè)人信息需進(jìn)行去標識化處理，不得直接公

開(kāi)完整的個(gè)人信息。

第十六條注銷(xiāo)的信息化項目或報廢的存儲設備，要確保承載 的個(gè)人信息被清理，才可進(jìn)行注銷(xiāo)或報廢處理。相關(guān)采集部門(mén)應

依法依規刪除違規采集、儲存的個(gè)人信息數據。

                      第四章責任認定及追責

第十七條信息技術(shù)中心依照本辦法，對個(gè)人信息處置相關(guān)的 數據庫審計記錄進(jìn)行檢查，或者通過(guò)其他網(wǎng)絡(luò )安全檢測手段檢查 個(gè)人信息的采集、存儲、使用及處理情況。違規行為按照網(wǎng)絡(luò )安 全事件定性并進(jìn)行處置。相關(guān)部門(mén)及個(gè)人應按照本辦法及相關(guān)整

改通知，及時(shí)、徹底整改相關(guān)問(wèn)題。

第十八條對于造成重大損失或整改不力的違規行為，由網(wǎng)信 辦負責匯總相關(guān)情況，提交學(xué)院網(wǎng)絡(luò )安全與信息化領(lǐng)導小組進(jìn)行 責任認定，由領(lǐng)導小組按照相關(guān)規定追責。對于違反國家法律法

規的行為，學(xué)院將配合公安、網(wǎng)信等部門(mén)進(jìn)行處理。

               第五章附則

第十九條本辦法自發(fā)布之日起施行，由學(xué)院網(wǎng)信辦負責解釋。

附件：校內個(gè)人信息去標識化參考指南