第一章 总则
第一条 为规范学校个人信息的处置,避免个人信息处置不当造成师生、学校及其他相关部门、人员利益受损,按照《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》等法律法规要求,特制定本细则。
第二条 本细则适用于学校各项活动中个人信息采集、存储、处理、共享等各环节。
第三条 根据国家法律法规和国家标准,本细则中个人信息以及敏感个人信息的界定遵从《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》。
第四条 学校为满足教学、科研及校务管理需求,可依照本细则处置校内师生个人信息,处置应遵循如下基本原则:
合法原则:不得违反相关法律、法规。最小必要原则:在满足需求前提下,在最小范围内采集、存储、使用个人信息,不得超范围处置个人信息。
安全原则:应采用必要的安全技术措施和管理手段,保障个人信息的完整性、保密性及安全性,避免个人信息泄露、损毁和丢失。
知情同意原则:学校对在教学、科研及校务管理中使用到的个人信息,依法依规进行采集和使用。其他应用中使用的个人信息,应明确告知相关个人,并由个人自愿同意后方可使用。
第二章 责任分工
第五条 个人信息保护工作由学校网络安全领导小组统一领导,由下设的网络安全领导小组办公室负责组织实施、监督检查,各部门负责本部门管理的个人信息的安全工作。
第六条 学校师生为其个人信息所有者,有权查询、更正本人个人信息,有权反馈和报告违规处置个人信息行为。有义务及时更新个人信息,保证个人信息的准确性和完整性。
第三章 个人信息采集、存储、共享与使用
第七条 学校个人信息采集由数据责任部门负责,个人信息责任部门由《衡阳师范学院数据管理办法》确定。数据责任部门相关业务系统为数据源,负责个人信息采集和审核。
第八条 学校数据中台是个人信息集中统一的存储平台。个人信息责任部门采集到的个人信息,除存储在业务系统中,还应交换到学校数据中台中。
第九条 原则上个人信息均需在学校数据中心本地存储,不得在校外、校内非数据中心环境中存储。个人信息在存储和传输过程中必须进行加密处理。
第十条 个人信息查询、修改等操作应保留不少于180天的操作日志,并提供日志审计功能。各业务系统只能对其产生的源数据进行批量导入导出操作。
第十一条 经过匿名化或去标识化处理后的个人信息,其所有权及其相关知识产权归学校所有,可直接应用于学校科研、教学、校务管理等工作中。
第十二条 个人信息的数据共享交换工作按照《衡阳师范学院数据管理办法》执行。
第十三条 个人信息公开应遵守相关法律法规,公开前需进行去标识化处理,严禁公开敏感个人信息。
第十四条 业务系统、存储设备报废前需彻底清除个人信息。
第四章 责任认定及追责
第十五条 个人信息泄漏属于网络安全事件,按照《衡阳师范学院网络安全管理办法》进行处置。
第五章 附则
第十六条 本细则由网络安全领导小组办公室负责解释。
第十七条 本细则自发布之日起施行