第一章总则
第一条 为规范学校日常工作过程中个人信息处理活动,保护师生、学校及其他相关单位、人员合法权益,根据《中华人民共和国个人信息保护法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》等相关法律法规,参照《信息安全技术个人信息去标识化指南》(GB/T37964-2019)、《信息安全技术个人信息安全规范》(GB/T35273-2020)等相关文件,结合学校实际,制定本办法。
第二条 本办法适用于学校所有涉及个人信息处理的单位和个人(以下简称为“个人信息处理者”)。
第三条 个人信息是指以电子或者其他方式记录的,与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
第四条 敏感个人信息是指一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括但不限于生物识别、金融账户、宗教信仰、特定身份、医疗健康、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
第五条 个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。
第六条 处理个人信息应当遵循下列原则:
(一)合法原则。处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。
(二)最小必要原则。在满足工作需要或上级机关必需要求的前提下,处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式;所收集的个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。
(三)安全原则。应采用必要的安全技术措施和管理手段,保障所处理的个人信息完整性、保密性及安全性,避免个人信息泄露、损毁和丢失。
(四)知情同意原则。处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围并取得个人同意,法律法规有特殊规定的除外。
(五)规范原则。处理个人信息应当保证个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响。
第二章管理机构、权责与义务
第七条 学校的个人信息保护工作由燕山大学网络安全和信息化建设工作领导小组(以下简称网信工作领导小组)负责,小组的日常工作机构为信息化建设与管理办公室。
个人信息保护工作实施牵头单位是信息技术中心,负责信息化建设中个人信息保护工作的组织实施、监督检查,数据资源的主管部门负责具体落实本单位所管理个人信息的保护工作。
第八条 个人信息所有者对其个人信息的处理享有知情权、决定权,包括:
(一)有权限制或者拒绝他人对其个人信息进行处理;
(二)查阅、复制其个人信息,发现其个人信息不准确或者不完整的,有权请求进行更正、补充;
(三)有权要求管理机构对其个人信息处理规则进行解释说明。
法律、行政法规对个人信息处置另有规定的,从其规定。
第九条 学校师生有义务及时更新因学校日常工作需要所使用的个人信息,保证信息的准确性和完整性,并妥善保管个人信息。
由于师生个人原因造成的个人信息泄露、损坏、丢失,由本人承担相应责任;如对他人个人信息造成不良影响,应承担相应责任。
第十条 个人信息处理者有义务提供方便、快捷的信息更新渠道,对使用到的个人信息及时更新,保证信息的准确性和完整性,并在个人信息处理过程中妥善保管个人信息。
第十一条 个人信息处理者应根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取相应措施以确保个人信息处理活动符合法律法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失。
第十二条 学校向学校师生宣传实施个人信息保护的重要性和管理措施,以得到学校师生对个人信息保护工作的重视和配合。
第三章个人信息处理规则
第十三条 学校信息化建设中的个人信息收集,统一由相关数据的主管部门负责,主管部门由《燕山大学数据资源管理办法(试行)》相关规定确定。
第十四条 个人信息收集原则上必须将相关业务系统作为数据源系统,已纳入业务部门管理的个人信息,其他单位或信息化项目应从学校数据中心统一获取,原则上不再重复收集。个人信息的主管部门应对所收集的个人信息进行审核和及时更新,确保个人信息的准确性和完整性。
第十五条 未纳入业务部门管理的个人信息数据,由学校公共数据平台进行收集。师生可通过公共数据平台中对未纳入部门管理和不需要部门审核的个人信息数据进行维护。
第十六条 严禁通过网络共享文档或其他共享方式收集个人信息。
第十七条 学校公共数据平台是个人信息集中统一的本地存储平台,未经审批不得在校外、校内非数据中心环境中存储。采用云服务的业务系统,需确认相应的云服务系统具有三级(含)以上等保定级,并与云服务提供方签署数据保密协议。
第十八条 原则上不得将批量个人信息存储至公共网盘、邮箱等非数据中心的存储空间中;不得通过即时通讯工具或电子邮件等途径批量传输个人信息;个人办公互联网计算机上不得长期存储批量个人信息。
第十九条 个人信息在存储和传输过程中必须进行加密处理,采取有效技术手段和管理措施保护存储个人信息的服务器和数据库,避免个人信息的泄露、损坏或丢失。
第二十条 各信息化项目应严格按照数据资源使用申请时所确定的用途使用个人信息,严禁将个人信息挪作他用。因工作需要,接触个人信息的相关人员,对相关个人信息负有保密责任,未经授权不得对外提供个人信息。
第二十一条 各业务系统对个人信息的查询、修改等操作应保留不少于180天的最近操作日志,并提供审计功能。除个人信息的源数据系统和依规上报上级单位数据的系统功能,其他业务系统原则上禁止提供单独针对个人信息数据的批量导出功能。在对个人信息的重要操作前(如批量修改、拷贝、导出等),需由相关数据主管部门负责人和数据资源管理机构负责人审批后方可进行操作。
第二十二条 需通过界面(如显示屏幕、打印)展示的个人信息应进行去标识化处理。依照本办法获取的个人信息,经过匿名化处理后无法识别特定个人且不能复原的,可直接应用于学校的科研、教学、管理等工作中,匿名化处理后的信息数据所有权及其相关知识产权归学校所有。
第二十三条 严禁使用非学校授权的第三方应用程序代理登录学校统一身份认证系统或其他业务系统,防止个人信息泄露。
第二十四条 学校原则上只接受公安部门等上级主管部门依法按程序提出的个人信息查询,查询请求受理部门为相关个人信息数据主管部门,其他单位不得接受查询请求,也不得进行个人信息查询和提供个人信息数据。
第二十五条 因业务需要跨境提供个人信息的,需告知使用目的并取得个人的单独同意且符合《中华人民共和国个人信息保护法》相关规定。
第二十六条 校内其他非个人信息管理系统使用个人信息时,需充分评估合法性、必要性和安全性,依法依规进行个人信息共享。非数据源的各业务系统原则上不得共享敏感个人信息。个人信息的数据共享交换工作按照《燕山大学数据资源管理办法(试行)》相关规定执行。
第二十七条 新建业务系统需对接学校统一身份认证,不得单独建立用户认证功能,不得单独收集用户个人信息。已建成的信息系统应进行改造以满足本办法中规定的要求。
第二十八条 新建或升级改造的业务系统,在提供个人信息打印或导出数据时,需利用技术手段,保留导出数据源的追溯信息。
第二十九条 因工作需要公开、公示个人信息的,应遵循最小化原则,满足公示要求前提下,以能识别特定自然人身份的信息组合为准,严禁超范围公开其他相关信息,相关个人信息需进行去标识化处理,不得直接公开完整的个人信息。
对于以下敏感个人信息不宜公开,包括但不限于:银行账号、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息以及十四岁以下(含)未成年人的个人信息。
第三十条 注销信息化项目或报废存储设备前,要确保承载的个人信息已被按要求妥善处理或清理。对于违反法律法规及本办法收集、存储的个人信息,应依法依规删除相关个人信息数据。
第四章责任认定及追责
第三十一条 学校依照本办法对各信息化项目中个人信息处置相关的审计记录进行检查,或者通过其他网络安全检测手段检查个人信息的收集、存储、使用及处理情况。对于出现的违规行为将按照网络安全事件进行处置,校内相关部门及个人应按照本办法及相关整改通知及时整改相关问题。
第三十二条 对于造成重大损失或整改不力的违规行为,由信息化建设与管理办公室负责汇总相关情况,提交网信工作领导小组进行责任认定,确定相关责任人、责任部门,由学校按照相关管理制度进行追责。对于违反国家法律法规的行为,学校配合公安、网信等相关部门依法处理。
第五章附则
第三十三条 本办法由网信工作领导小组负责解释。
第三十四条 本办法自印发之日起施行。