山东外贸职业学院个人信息保护管理办法 (试行)

发布者:发布时间:2024-06-11

                       第一章总则

第一条为规范学院信息化建设过程中的个人信息处置工作,  明确对个人信息保护的管理要求,切实维护广大师生的合法权益, 根据《中华人民共和国网络安全法》《中华人民共和国数据安全 法》《中华人民共和国个人信息保护法》等相关法律法规,以及 《信息安全技术个人信息安全规范》《互联网个人信息安全保护

指南》等文件精神,结合学院实际,制定本办法。

第二条本办法适用于学院信息化建设中所涉及的个人信息  采集、存储、使用、共享、公开及删除等各环节。为满足学院教 学、科研及其他管理需求,且符合国家法律法规及上级、学院规 范性文件要求的,可依照本办法处置师生的个人信息,校内师生

有义务提供相关个人信息。

第三条个人信息分为普通个人信息和敏感个人信息两类。

(一)普通个人信息:能够单独或者通过与其他信息结合,

识别特定自然人身份或反映特定自然人活动情况的各种信息。

(二)个人敏感信息: 一旦泄露、非法提供或滥用可能危害 人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视

性待遇等的信息。

第四条个人信息保护应遵循如下原则:

(一)合法性原则:不得违反相关法律、法规;


(二)最小必要原则:在满足信息化建设必要需求的前提下, 在最小范围内采集、存储、使用个人信息,对于个人信息的处理

采用最小操作权限划分,不得超范围处置个人信息;

(三)安全原则:采用必要的安全技术措施和管理手段,保 障个人信息的完整性、保密性及安全性,避免个人信息泄露、损

毁和丢失;

(四)知情同意原则:信息化应用在使用个人敏感信息时,

应明确告知相关个人。经本人同意后,方可使用




                    第二章责任分工

第五条学院网络安全和信息化领导小组负责贯彻落实上级 有关部门关于数据安全与个人信息保护工作的发展战略、宏观规 划、重大政策和工作部署,统一领导、统一谋划、统一部署学院

的数据安全与个人信息保护工作等。

网信办负责组织落实领导小组的各项决议与工作部署,研究 制定数据安全与个人信息保护工作发展规划、工作计划、规章制 度和标准规范,建立覆盖数据采集、存储传输、处理使用、开放 共享等全生命周期的数据安全保障和监督检查机制,协调处理数

据安全重大突发事件有关应急工作等。

各部门(单位)党政负责人是本部门(单位)数据安全工作 的第一责任人,按照“谁收集,谁负责”、“谁使用,谁负责”、 “谁发布、谁负责”的原则将数据安全责任落实到人,健全落实

数据安全防护措施,保障数据安全。


第六条在学院信息化建设中,师生有权查询本人信息且对 错误信息作出更正,有权向业务主管部门报告违规处置个人信息

的行为。业务主管部门应予以及时处理并反馈处理结果。

第七条 师生作为个人信息的所有者,有义务及时更新信息 化建设中使用到的个人信息,保证信息的准确性和完整性,并在 信息化应用过程中妥善保管个人信息。由于师生个人原因造成的 个人信息泄露、损坏、丢失,由本人承担相应责任;如对他人个 人信息造成不良影响,将根据本办法的追责条款,追究相关责任

人的责任。



                         第三章个人信息处理规则

第八条个人信息采集由相关业务主管部门负责。业务主管部 门原则上必须把相关业务系统作为数据源系统,不允许线下采集。 其他业务部门、信息化项目不允许单独进行个人信息采集。业务 主管部门应提供方便、快捷的信息更新渠道,并对采集的个人信

息进行审核和及时更新,确保个人信息的准确性和完整性。

各业务主管部门应与业务系统开发单位签订明确的个人信 息保护条款,明确个人信息的所有权和访问控制权,明确因开发

方造成的数据安全事件的追责权力。

非自行运维的信息系统和数据库的业务部门应与外包维保单 位签订数据安全保障承诺书,对具体维保人员进行审核和备案管 理,并严格执行操作日志管理;明确因运维方造成的数据安全事

件的追责权力。


各业务部门采购的信息化服务项目,合同中应明确服务供应 商对于学院数据和师生个人数据的保护责任,并明确因服务供应

方造成的数据安全事件的追责权力。

第九条学院数据中心平台是个人信息的统一存储平台。业务 主管部门采集到的个人信息,除存储在相关的业务系统数据库中, 还应通过相关数据交换途径,储存到数据中心平台中。个人信息 的存储和传输必须进行加密处理。业务主管部门须采取有效技术 手段和管理措施对存储个人信息的服务器和数据库进行保护,避 免个人信息的泄露、损坏或丢失。原则上,信息化建设中的个人 信息均须在学院数据中心服务器本地存储,不得在校外、校内非

数据中心环境存储。

第十条信息化项目应严格按照数据资源使用申请中所确定 的用途使用个人信息,严禁将个人信息挪作他用。接触个人信息 的相关人员负有保密责任,严禁在未经授权的情况下对外提供个

人信息。

第十一条信息化项目对个人信息的查询、修改等操作,应保 留不少于180天的相关操作日志,并提供数据库审计功能,个人 信息应实现数据管理、数据使用和数据审计的权限分离;数据管 理人员负责分配数据使用权限、按最小化原则授予各级各类人员 的相关权限;数据使用人员根据业务和权限需要使用数据;数据

审计人员负责对各类人员的数据操作进行审计记录和分析。

除个人信息的源数据系统,其他业务系统原则上禁止提供单

独针对个人信息数据的批量导出功能。对个人信息的重要操作前


(如批量修改、拷贝、导出等),需由相关数据主管部门信息化负

责人与信息技术中心负责人共同审批,审批通过后方可进行操作。

第十二条信息化项目须对通过界面(如显示屏幕、纸面)展 示的个人信息进行脱敏处理。依照本办法获取的个人信息,经过 匿名化处理至无法识别特定个人且不能复原的,可直接应用于学 院的科研、教学、校务管理等工作,匿名化处理后的信息数据所

有权及其相关知识产权归学院所有。

第十三条原则上只接受公安部门、教育厅及学院纪检监察等 部门,因工作需要对非信息化工作用途的信息查询请求。查询请 求经审批同意后,受理部门为相关业务主管部门,其他业务部门

不得进行个人信息查询和对外提供个人信息数据。

第十四条将个人信息作为运行必要条件的系统,在安全性可 以满足个人信息保护要求的前提下,可依法依规进行个人信息共

享。非数据源的各业务系统原则上不得共享个人敏感信息。

第十五条只有相关法律法规有明确规定需要公示的个人信 息,才可进行公开。公开个人信息遵循最小化原则,通过信息组 合能识别特定自然人身份并满足公示要求即可。严禁超范围公开 其他相关信息,相关个人信息需进行去标识化处理,不得直接公

开完整的个人信息。

第十六条注销的信息化项目或报废的存储设备,要确保承载 的个人信息被清理,才可进行注销或报废处理。相关采集部门应

依法依规删除违规采集、储存的个人信息数据。


                      第四章责任认定及追责

第十七条信息技术中心依照本办法,对个人信息处置相关的 数据库审计记录进行检查,或者通过其他网络安全检测手段检查 个人信息的采集、存储、使用及处理情况。违规行为按照网络安 全事件定性并进行处置。相关部门及个人应按照本办法及相关整

改通知,及时、彻底整改相关问题。

第十八条对于造成重大损失或整改不力的违规行为,由网信 办负责汇总相关情况,提交学院网络安全与信息化领导小组进行 责任认定,由领导小组按照相关规定追责。对于违反国家法律法

规的行为,学院将配合公安、网信等部门进行处理。



               第五章附则

第十九条本办法自发布之日起施行,由学院网信办负责解释。








附件:校内个人信息去标识化参考指南


附件

            校内个人信息去标识化参考指南


在学院信息化建设中,如需对个人信息进行去标识化处理, 应保证处理后的信息无法或很难进行复原,部分信息去标识化可

参考以下方法进行:

姓名可隐藏名字中的1-2位;

出生日期可隐藏2位日期;

身份证件号码可隐藏结尾后6位;

学号、教工号可隐藏结尾后3位;

个人手机号可隐藏结尾后4位;

个人通信地址及家庭住址可隐藏具体门牌号;

车牌号可隐藏后五位中的任意2-3位。

上述未说明的个人信息应遵循不可复原原则进行去标识化

处理。