第一章 总则

第一条 为规范学校个人信息的处置，避免个人信息处置不当造成师生、学校及其他相关部门、人员利益受损，按照《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》等法律法规要求，特制定本细则。

第二条 本细则适用于学校各项活动中个人信息采集、存储、处理、共享等各环节。

第三条 根据国家法律法规和国家标准，本细则中个人信息以及敏感个人信息的界定遵从《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》。

第四条 学校为满足教学、科研及校务管理需求，可依照本细则处置校内师生个人信息，处置应遵循如下基本原则：

合法原则：不得违反相关法律、法规。最小必要原则：在满足需求前提下，在最小范围内采集、存储、使用个人信息，不得超范围处置个人信息。

安全原则：应采用必要的安全技术措施和管理手段，保障个人信息的完整性、保密性及安全性，避免个人信息泄露、损毁和丢失。

知情同意原则：学校对在教学、科研及校务管理中使用到的个人信息，依法依规进行采集和使用。其他应用中使用的个人信息，应明确告知相关个人，并由个人自愿同意后方可使用。

第二章 责任分工

第五条 个人信息保护工作由学校网络安全领导小组统一领导，由下设的网络安全领导小组办公室负责组织实施、监督检查，各部门负责本部门管理的个人信息的安全工作。

第六条 学校师生为其个人信息所有者，有权查询、更正本人个人信息，有权反馈和报告违规处置个人信息行为。有义务及时更新个人信息，保证个人信息的准确性和完整性。

第三章 个人信息采集、存储、共享与使用

第七条 学校个人信息采集由数据责任部门负责，个人信息责任部门由《衡阳师范学院数据管理办法》确定。数据责任部门相关业务系统为数据源，负责个人信息采集和审核。

第八条 学校数据中台是个人信息集中统一的存储平台。个人信息责任部门采集到的个人信息，除存储在业务系统中，还应交换到学校数据中台中。

第九条 原则上个人信息均需在学校数据中心本地存储，不得在校外、校内非数据中心环境中存储。个人信息在存储和传输过程中必须进行加密处理。

第十条 个人信息查询、修改等操作应保留不少于180天的操作日志，并提供日志审计功能。各业务系统只能对其产生的源数据进行批量导入导出操作。

第十一条 经过匿名化或去标识化处理后的个人信息，其所有权及其相关知识产权归学校所有，可直接应用于学校科研、教学、校务管理等工作中。

第十二条 个人信息的数据共享交换工作按照《衡阳师范学院数据管理办法》执行。

第十三条 个人信息公开应遵守相关法律法规，公开前需进行去标识化处理，严禁公开敏感个人信息。

第十四条 业务系统、存储设备报废前需彻底清除个人信息。

第四章 责任认定及追责

第十五条 个人信息泄漏属于网络安全事件，按照《衡阳师范学院网络安全管理办法》进行处置。

第五章 附则

第十六条 本细则由网络安全领导小组办公室负责解释。

第十七条 本细则自发布之日起施行