网络安全和信息化办公室

第一章 总则

第一条为规范学校个人信息处理活动，保护师生、学校及其他相关单位、人员合法权益，根据《中华人民共和国个人信息保护法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》等相关法律法规，参照《信息安全技术——个人信息安全规范》（GB/T35273-2020）等相关规范，结合学校实际，制定本办法。

第二条本办法适用于学校所有涉及个人信息处理的单位和个人（以下简称“个人信息处理者”）。

第三条本办法所称个人信息，是指以电子或者其他方式记录的，与已识别或者可识别的与自然人有关的各种信息，不包括匿名化处理后的信息。本办法所称敏感个人信息，是指一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括但不限于生物识别、金融账户、宗教信仰、特定身份、医疗健康、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

第四条个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。

第五条处理个人信息应当遵循下列原则：

（一）合法原则。处理个人信息应当遵循合法、正当、必要和诚信原则，不得通过误导、欺诈、胁迫等方式处理个人信息。

（二）最小必要原则。在满足工作需要或上级机关必需要求的前提下，处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式；所收集的个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。

（三）安全原则。应采用必要的安全技术措施和管理手段，保障所处理的个人信息完整性、保密性及安全性，避免个人信息泄露、损毁和丢失。

（四）知情同意原则。个人信息处理过程应当遵循公开、透明原则，公开个人信息处理规则，明示处理的目的、方式和范围并取得个人同意，法律法规有特殊规定的除外。

（五）规范原则。处理个人信息应当保证个人信息的质量，避免因个人信息不准确、不完整对个人权益造成不利影响。

第二章 管理机构、权责与义务

第六条网络安全（数据安全）和信息化领导小组（以下简称“网信领导小组”）是学校的个人信息保护工作的领导机构，领导小组办公室（网络安全和信息化办公室，以下简称“网信办”）为个人信息保护工作牵头单位和个人信息数据管理单位，主要职能包括：

（一）执行学校数据管理发展目标及规划，制定学校数据分类分级管理制度及个人信息数据管理规范等；

（二）与个人信息收集、生产单位配合建立全校个人信息数据标准和安全管理，确保全校所有业务系统数据中个人信息的准确性、一致性和安全性；

（三）负责统一数据治理平台中涉及个人信息数据的建立及管理；

（四）对全校所有个人信息数据进行统一规划，依据“一数一源”原则确定各类数据对应的权威数据生产单位和责任单位；

（五）根据全校业务系统的个人信息数据需求，规划人员数据库结构和内容，确定人员数据集成方式，规范异构数据，存储个人数据信息；

（六）负责做好全校个人信息数据的权限管理工作，审核、授权、跨系统共享需求，为需求系统提供统一的访问接口和个人信息数据使用服务；

（七）负责个人信息数据的安全管理工作，做好个人信息数据安全管理和安全审计；

（八）负责包含个人信息数据在内的数据安全事件应急响应工作；

（九）负责组织、部署、开展个人信息数据保护工作的安全教育培训工作；

（十）根据相关法律法规、政策要求及工作部署，做好个人信息保护方面的其他工作。

第七条个人信息所有者对其个人信息的处理享有知情权、决定权，包括：

（一）有权限制或者拒绝他人对其个人信息进行处理；

（二）查阅、复制其个人信息，发现其个人信息不准确或者不完整的，有权要求进行更正、补充；

（三）有权要求管理机构对其个人信息处理规则进行解释说明。

法律、行政法规对个人信息处置另有规定的，从其规定。

第八条学校师生有义务及时更新因学校日常工作需要所使用的个人信息，保证信息的准确性和完整性，并妥善保管个人信息。

由于师生个人原因造成的个人信息泄露、损坏、丢失，由本人承担相应责任；如对他人个人信息造成不良影响，同时承担相应责任。

第九条个人信息处理者有义务提供方便、快捷的信息更新渠道，对使用到的个人信息及时更新，保证信息的准确性和完整性，并在个人信息处理过程中妥善保管个人信息。

第十条个人信息处理者应根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等，采取相应措施确保个人信息处理活动符合法律法规的规定，并防止未经授权的访问以及个人信息泄露、篡改、丢失。

第十一条个人信息处理者应严格落实敏感个人信息保护，在收集个人生物特征、生物信息等敏感个人信息前应经网信领导小组集体决策同意后方可实施，并落实相关管理规定。

第三章 个人信息处理规则

第十二条个人信息收集原则上必须将相关业务系统作为数据源系统，已纳入业务部门管理的个人信息，其他单位或信息化项目应从学校数据分析和共享平台统一获取，原则上不再重复收集。业务系统管理部门应对所收集的个人信息进行审核和及时更新，确保个人信息的准确性和完整性。

第十三条未纳入业务部门管理的个人信息数据，由学校数据分析和共享平台进行收集。师生可通过数据分析和共享平台中对未纳入部门管理和不需要部门审核的个人信息数据进行维护。

第十四条学校数据分析和共享平台是个人信息集中统一的存储平台，未经审批不得在校外、校内非数据中心环境中存储。任何单位和个人不得将个人信息存储至公共网盘、邮箱等外部存储空间中；不得通过即时通讯工具或电子邮件等途径传输个人信息；个人办公互联网计算机上不得长期存储个人信息数据。

第十五条个人信息在存储和传输过程中必须进行加密处理，采取有效技术手段和管理措施保护存储个人信息的服务器和数据库，避免个人信息的泄露、损坏或丢失。

第十六条各信息化项目应严格按照数据资源使用申请时所确定的用途使用个人信息，严禁将个人信息挪作他用。因工作需要，接触个人信息的相关人员，对相关个人信息负有保密责任，未经授权不得对外提供个人信息。

第十七条各业务系统对个人信息的查询、修改等操作日志应保存不少于180天，并提供审计功能。除个人信息的源数据系统和依规上报上级单位数据的系统功能，其他业务系统原则上禁止提供单独针对个人信息数据的批量导出功能。在对个人信息的重要操作前（如批量修改、拷贝、导出等），需由相关数据主管部门负责人和数据资源管理机构负责人审批后方可进行操作。

第十八条需通过界面（如显示屏幕、打印）展示的个人信息应进行去标识化处理。依照本办法获取的个人信息，经过匿名化处理后无法识别特定个人且不能复原的，可直接应用于学校的科研、教学、管理等工作中，匿名化处理后的信息数据所有权及其相关知识产权归学校所有。

第十九条严禁使用非学校授权的第三方代理应用程序登录学校统一身份认证系统或其他业务系统，防止个人信息泄露。

第二十条学校原则上只接受公安部门等上级主管部门依法按程序提出的个人信息查询请求，信息查询受理部门为个人信息数据生产部门，其他单位不得接受查询请求，也不得进行个人信息查询和提供个人信息数据。

第二十一条因业务需要跨境提供个人信息的，需告知使用目的并取得个人的单独同意且符合《中华人民共和国个人信息保护法》相关规定。

第二十二条新建业务系统需对接学校统一身份认证，不得单独建立用户认证功能，不得单独收集用户个人信息。已建成的信息系统应进行改造以满足本办法规定。

第二十三条因工作需要公开、公示个人信息的，应遵循最小化原则，满足公示要求前提下，以能识别特定自然人身份的信息组合为准，严禁超范围公开其他相关信息，相关个人信息需进行去标识化处理，不得直接公开完整的个人信息。

第二十四条注销信息化项目或报废存储设备前，要确保承载的个人信息已被按要求妥善处理或清理。对于违反法律法规及本办法收集、存储的个人信息，应依法依规删除相关个人信息数据。

第四章 责任认定及追责

第二十五条学校依照本办法对各信息化项目中个人信息处置相关的审计记录进行检查，或者通过其他网络安全检测手段检查个人信息的收集、存储、使用及处理情况。对于出现的违规行为将按照网络安全事件进行处置，校内相关部门及个人应按照本办法及相关整改通知及时整改相关问题。

第二十六条对于造成重大损失或整改不力的违规行为，由网信办负责汇总相关情况，提交网信领导小组进行责任认定，确定相关责任人、责任部门，由学校按照相关管理制度进行追责。对于违反国家法律法规的行为，学校配合公安、网信等相关部门依法处理。

第五章 附则

第二十七条本办法由网信领导小组负责解释。

第二十八条本办法自印发之日起施行。