第一条 为规范学校信息化建设中个人信息的处置,明确信息化建设中对个人信息保护的管理要求,切实维护广大师生的合法权益,根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《信息安全技术 网络安全等级保护基本要求(GB/T22239-2019)》《信息安全技术 个人信息安全规范(GB/T35273-2020)》《楚雄师范学院网络安全责任制实施方案》等法规、标准及制度要求,结合学院工作实际,特制定本办法。
第二条 适用范围。本办法适用于在学校信息化建设中处理个人信息的所有活动。
第三条 本办法中个人信息是指以电子或者其他方式记录的,能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,不包括匿名化处理后的信息。符合以下两种情形之一的信息,均应判定为个人信息。
(一)能够由信息本身的特殊性识别出特定自然人。包括但不限于:姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、银行账号等。
(二)由已知该特定自然人在其活动中产生的信息。包括但不限于:通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、成绩信息等。
第四条 个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。个人信息处理应遵循如下原则:
(二)最小必要原则:在满足信息化建设必要需求前提下,在最小范围内采集、存储、使用个人信息,对于个人信息的处理采用最小操作权限划分,不得超范围处置个人信息;
(三)安全原则:信息化建设中应采用必要的安全技术措施和管理手段,保障个人信息的完整性、保密性及安全性,避免个人信息泄露、损毁和丢失;
(四)知情同意原则:除政策法规允许的情况,其他信息化应用中处理个人信息,应明确告知相关个人,并由个人自愿同意后,方可使用。
第五条 在学校信息化建设中,为满足教学、科研及校务管理需求,符合以下情形的,可依照本办法处理校内师生信息,校内师生有义务提供相关个人信息。
(一)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;
(三)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;
(四)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;
(五)依照《个人信息保护法》规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;
第六条 学校网络安全与信息化建设领导小组负责信息化建设中个人信息保护工作的领导,由网络安全和信息化工作领导小组办公室(以下简称“校网信办”)负责组织实施、监督检查。
第七条 按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则,按照业务系统确定各类信息化个人信息的管理部门(以下简称“信息管理部门”)。业务系统中个人信息种类存在重叠的,涉及的相关单位均为该类个人信息的管理部门。各信息管理部门负责具体落实本部门管理的个人信息的安全保护工作。
第八条 校内师生为其个人信息所有者,在学校信息化建设中,师生有权查询本人的个人信息,有权更正错误的个人信息,有权对信息化建设中违规处理个人信息的行为向校网信办进行反馈和报告。由于师生个人原因造成的个人信息泄露、损坏、丢失,由本人承担相应责任。
(一)信息化建设中的个人信息采集,统一由信息管理部门负责。信息管理部门原则上必须把相关业务系统作为信息源系统,不得超范围进行个人信息采集。任何个人均不得擅自采集个人信息。
(三)信息管理部门应对采集的个人信息进行审核和及时更新,确保个人信息的准确性和完整性。信息管理部门应提供方便、快捷的信息更新渠道,保证及时更新个人信息。
(三)对于未纳入业务部门管理的个人信息数据,由学校公共数据平台进行采集。
(一)学校公共数据中心是个人信息集中统一的存储平台。原则上信息化建设中的个人信息均需要在数据中心服务器本地存储,未经校网信办批准,不得在校外、校内非数据中心环境中存储。
(二)采集到的个人信息,除存储在相关的业务系统数据库中,还应通过相关数据交换途径,交换到学校公共数据平台中。
(三)个人信息在存储和传输过程中必须进行加密处理,采取有效技术手段和管理措施进行保护。
(一)各信息化项目使用个人信息应进行书面申请,在最小化原则下,明确申请信息的类别和使用范围。经数据管理部门审核,校网信办批准后方可使用,严禁将个人信息挪作他用。
(二)因信息化建设工作需要,可接触到个人信息的相关人员,对相关个人信息负有保密责任,严禁未经授权对外提供个人信息。校外人员须签订保密责任书。
(三)各信息化项目中,对于个人信息的查询、修改等操作应保留不少于 180 天的最新操作日志,并提供审计功能。除个人信息的源系统,其他业务系统原则上禁止提供管理范围之外的个人信息批量导出功能。
(四)各信息化项目应对必须要通过界面(如显示屏幕、纸面)展示的个人信息进行去标识化处理。
(五)在信息化建设中,依照本办法获取的个人信息,经过匿名化处理后无法识别特定个人且不能复原的,可直接应用于科研、教学、校务管理等工作中,匿名化处理后的信息数据所有权及其相关知识产权归学校所有。
(六)校内个人信息,禁止提供给校内外任何个人使用。原则上不得提供给校外单位使用,特殊情况需要提供的,需要经信息管理部门与校网信办审核,分管校领导批准,双方签署保密协议后方可提供。
第十二条 个人信息的公开。只有相关法律法规有明确规定需要公示的个人信息,才可进行公开。公开个人信息遵循最小化原则,通过信息组合能识别特定自然人身份并满足公示要求即可,严禁超范围公开其他相关信息,相关个人信息需进行去标识化处理,不得直接公开完整的个人信息。
第十三条 个人信息的删除。注销的信息化项目或报废的存储设备,要确保承载的个人信息已被清理才可进行注销或报废处理。对于违反法律法规及本办法采集、存储的个人信息,应依法依规删除相关个人信息数据。
第十四条 敏感个人信息的处理。敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。处理敏感个人信息应当在法律、行政法规允许的范围内,取得个人的单独同意方可进行。批量处理敏感个人信息需遵循以下程序:
(四)对处理情况进行记录。敏感信息严禁直接公开,禁止提供给校内外任何个人及校外单位使用,法律、行政法规允许的除外。
第十五条 校网信办将依照本办法对各信息化项目中个人信息处置相关的审计记录进行检查,或者通过其他网络安全监测手段检查个人信息的采集、存储、使用及处理情况。对于出现的违规行为将按照网络安全事件进行处置,校内相关部门及个人应按照本办法及相关整改通知,及时、彻底地整改相关问题。
第十六条 对于造成重大损失或整改不力的违规行为,由校网信办负责汇总相关情况,提交网络安全与信息化建设领导小组进行责任认定,确定相关责任人、责任部门,按照网络安全管理办法等相关管理制度进行追责。对于违反国家法律法规的行为,将配合公安、网信等主管部门进行处理。
第十七条 本办法由网络安全与信息化建设领导小组办公室负责解释。
第十八条 本办法自 2023 年 1 月 1 日起施行。
