西双版纳职业技术学院个人信息安全保护制度(试行)
第一章 总则
第一条 目的:为切实加强西双版纳职业技术学院个人信息安全管理,保护师生以及学院相关主体的合法权益,依据《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》等相关法律法规,结合学院实际情况,特制定本制度,确保个人信息在收集、存储、使用、传输、共享、披露和销毁等全生命周期的安全性、保密性与完整性。
第二条 适用范围:本制度适用于学院内所有涉及个人信息处理的部门、教职工、学生以及参与学院业务活动涉及个人信息处理的第三方合作单位等。包括但不限于在招生录取、教育教学、学生管理、后勤服务、校园信息化建设与运营等过程中对个人信息的相关操作。
第三条 基本原则
合法合规原则:严格依照国家法律法规及相关政策要求开展个人信息处理活动,确保所有行为均有法可依、有章可循。
最小必要原则:仅收集、使用与实现业务目的直接相关且为必要的个人信息,杜绝过度收集与滥用。
目的明确原则:在处理个人信息前,明确清晰地界定处理目的,并在目的范围内进行操作,不得随意变更或扩大目的范围。
安全保障原则:采取必要的技术与管理措施,保障个人信息的安全,防止信息泄露、篡改、丢失等安全事件发生。
公开透明原则:向个人信息主体清晰、明确、完整地告知个人信息处理的相关事宜,包括处理目的、方式、范围、存储期限等,保障其知情权。
第二章 个人信息的定义与分类
第四条 定义:本制度所指的个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,如姓名、性别、出生日期、身份证号码、电话号码、电子邮箱地址、家庭住址、学籍信息、成绩信息等。
第五条 分类
一般个人信息:指对个人权益影响相对较小的信息,如一般性的个人爱好、兴趣等信息。
敏感个人信息:指一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。在学院场景下,如学生的体检报告、家庭经济困难学生的资助信息等属于敏感个人信息。
第六条 管理机构与职责
信息安全管理领导小组:由学院院长担任组长,分管信息化工作的副院长担任副组长,成员包括各教学单位、职能部门负责人。统筹规划学院个人信息安全保护工作,制定战略和重大决策;审议批准个人信息安全保护相关制度、规划和计划;协调解决工作中的重大问题;监督检查工作落实情况。
网络信息中心:作为学院个人信息安全管理的职能部门,负责具体组织、实施和日常管理工作。贯彻执行国家有关法律法规和信息安全管理领导小组的决策部署;制定和完善个人信息安全管理制度、技术规范和应急预案,并监督执行;负责学院信息系统中个人信息安全防护技术措施的选型、采购、安装、调试和维护,保障技术手段的有效运行;开展个人信息安全监测和预警工作,及时发现并处理安全事件,定期向信息安全管理领导小组汇报安全状况;组织开展个人信息安全宣传教育和培训活动,提高师生的安全意识和防范能力。
部门负责人:为本部门个人信息安全管理第一责任人,负责组织落实本部门涉及个人信息处理工作的安全管理,确保信息安全制度和措施在本部门有效执行。
信息安全员:协助部门负责人开展个人信息安全日常管理工作,具体包括信息系统中涉及个人信息的安全操作、用户权限管理、数据备份与恢复、安全事件报告等;定期对本部门个人信息处理情况进行自查自纠,发现问题及时整改。
全体教职工:遵守学院个人信息安全管理制度,保护好个人账号和密码安全,妥善保管和使用在工作中接触到的个人信息,不得私自复制、传播、泄露个人信息;发现个人信息安全问题及时报告给本部门信息安全员或网络信息中心。
第七条 个人信息收集与存储
(一)收集
遵循最小必要原则:明确收集目的,仅收集实现业务功能所必需的个人信息,不得收集与业务无关的信息。以清晰易懂的语言向个人信息主体告知收集的目的、方式、范围、存储期限以及个人信息主体享有的权利等内容,并取得其明确同意,同意方式应易于操作且能够明确追溯。对于敏感个人信息的收集,除上述告知与同意外,还应向个人信息主体详细说明收集和使用的必要性以及可能存在的风险,获取其单独的书面同意或其他可确认的明示同意方式。
通过合法、正当途径收集:直接从个人信息主体处收集信息时,应确保收集过程规范、透明;从第三方获取个人信息时,应确保第三方具有合法的授权和来源,并要求第三方提供相关证明文件,同时再次向个人信息主体告知相关事宜并取得同意,避免出现信息来源不明或非法获取的情况。
(二)存储
分类存储:将个人信息按照一般个人信息和敏感个人信息进行分类存储,采取不同的安全防护措施。敏感个人信息应采用加密存储方式,使用符合国家相关标准的加密算法,确保数据在存储状态下的保密性。例如对学生的银行卡号、密码等金融敏感信息,进行高强度加密存储。
存储期限:根据个人信息的类型、使用目的和法律法规要求,合理确定存储期限。在达到存储期限后,及时对个人信息进行删除或匿名化处理,无法删除或匿名化处理的,应停止使用并妥善保管,防止信息泄露。如学生毕业后,其在校期间的部分非必要学籍信息在达到规定存储期限后应及时删除。
存储介质安全:选择安全可靠的存储介质,如具备冗余备份、数据恢复功能的存储设备。对存储设备进行定期巡检和维护,确保设备正常运行;设置严格的访问权限,只有经过授权的人员才能访问存储设备,防止未经授权的物理接触和数据读取。存储个人信息的服务器应放置在安全的机房环境中,机房应具备防火、防盗、防水、防雷击、防电磁干扰等物理安全防护措施,并配备不间断电源(UPS),保障服务器的持续稳定运行。
第八条 个人信息使用与共享
目的限制:严格按照收集时确定的目的使用个人信息,不得超出目的范围使用。如需将个人信息用于其他目的,应重新向个人信息主体告知并取得同意。例如,学院收集学生的学习成绩用于教学评估和学业管理,若要将成绩用于其他研究项目,需再次征得学生同意。在使用个人信息过程中,应采取技术和管理措施,确保个人信息的准确性和完整性,避免因错误使用或不当处理导致个人信息受损。定期对个人信息使用情况进行审计,记录使用的时间、人员、目的、方式以及使用结果等信息,以便追溯和查询。
授权访问:建立严格的个人信息访问授权机制,根据教职工的工作职责和业务需求,分配最小化的访问权限,确保教职工仅能访问其工作所需的个人信息。采用身份认证、权限管理等技术手段,如多因素身份认证(MFA),确保访问人员身份的真实性和合法性。员工在访问个人信息时,应遵守学院的相关规定,不得私自复制、下载、传播个人信息,严禁将个人信息用于与工作无关的活动。
严格控制共享范围:原则上不对外共享个人信息,确因业务需要必须共享时,应进行风险评估,明确共享的必要性、共享的个人信息类型、接收方的安全保障能力等。仅共享为实现特定业务目的所必需的最小限度的个人信息,不得共享敏感个人信息,除非获得个人信息主体的明确同意且采取了足够的安全保障措施。
签订协议:在共享个人信息前,与接收方签订具有法律效力的个人信息共享协议,明确双方的权利和义务,特别是接收方对个人信息的保护责任、使用目的、使用方式、存储期限、安全保障措施以及违约责任等内容。要求接收方不得将个人信息再共享给其他第三方,如需再共享,应事先征得学院和个人信息主体的同意。
告知个人信息主体:在共享个人信息前,以书面、短信、邮件或在学院官网显著位置公告等方式,向个人信息主体告知共享的目的、接收方的名称和联系方式、共享的个人信息类型、可能存在的风险以及个人信息主体享有的权利等内容,并取得其明确同意 。
第九条 个人信息传输与销毁
加密传输:在个人信息传输过程中,无论是在学院内部网络还是与外部进行数据交互,均应采用加密传输方式,防止信息在传输途中被窃取、篡改或监听。例如,使用 SSL/TLS 等加密协议对数据进行加密,确保数据的保密性和完整性。对传输的个人信息进行完整性校验,通过哈希算法等技术手段,在数据发送端生成数据的哈希值,并在接收端进行比对验证,确保数据在传输过程中未被修改。
传输安全保障:选择安全可靠的传输渠道,如专用网络线路、虚拟专用网络(VPN)等。对传输过程进行监控和审计,记录传输的时间、发送方、接收方、传输的数据量以及传输状态等信息,以便及时发现和处理传输过程中的安全问题。如发现传输异常,应立即采取措施进行中断传输、数据恢复和安全检查等。
及时销毁:在个人信息达到存储期限或不再需要使用时,应及时进行销毁处理,确保个人信息无法被恢复和使用。销毁方式应符合国家相关法律法规和技术标准,如采用数据擦除、物理粉碎存储介质等方式。对销毁的个人信息进行详细记录,包括销毁的时间、内容、方式以及操作人员等信息,以备日后查询和审计。
监督销毁:在销毁过程中,应安排专人进行监督,确保销毁操作的合规性和有效性。监督人员应在销毁记录上签字确认,证明销毁工作已按照规定程序完成。对于敏感个人信息的销毁,应采取更为严格的措施和监督机制,确保信息彻底销毁,不留任何安全隐患。
第十条 安全技术与管理措施
(一)技术措施
身份认证与授权管理:采用多种身份认证方式,如用户名 / 密码、动态口令、指纹识别、面部识别等,提高身份认证的安全性和可靠性。建立完善的授权管理体系,根据用户的角色和职责,为其分配最小化的操作权限,实现对个人信息访问和操作的精细控制。定期对用户账号和权限进行清理和审查,及时删除过期或不再使用的账号,调整用户权限,防止权限滥用。
数据加密:在个人信息的存储和传输过程中,广泛应用加密技术,对敏感个人信息采用高强度加密算法进行加密处理。例如,对学生的身份证号、银行卡号等信息进行加密存储,在数据传输时使用 SSL/TLS 加密协议进行加密传输,确保数据在存储和传输状态下的保密性。定期更新加密密钥,提高加密的安全性,防止因密钥泄露导致数据被破解。同时,建立密钥管理系统,对密钥的生成、存储、分发、更换和销毁等环节进行严格管理。
访问控制:通过防火墙、入侵检测系统(IDS)、入侵防范系统(IPS)等网络安全设备,对学院网络进行边界防护,阻止未经授权的外部访问。在内部网络中,根据不同的业务区域和安全级别,划分虚拟局域网(VLAN),设置访问控制策略,限制内部用户之间的非法访问。对信息系统的访问进行严格控制,采用访问控制列表(ACL)、角色访问控制(RBAC)等技术,确保只有授权用户能够访问相应的个人信息资源。
(二)管理措施
人员管理:加强对涉及个人信息处理人员的背景审查,在招聘环节对应聘者的身份信息、工作经历、犯罪记录等进行核实,确保人员背景清白可靠。定期组织个人信息安全培训和教育活动,提高员工的安全意识和业务技能。培训内容包括法律法规、安全政策、操作规程、安全防范技术等方面,使员工了解个人信息保护的重要性和相关要求,掌握正确的个人信息处理方法和应急处置措施。与涉及个人信息处理的员工签订保密协议,明确员工在工作中对个人信息的保密义务和违约责任,要求员工严格遵守学院的个人信息安全管理制度,不得泄露、篡改、损坏个人信息。对员工的离职、离岗进行严格管理,及时收回员工的访问权限和相关设备,对其在工作期间接触到的个人信息进行交接和清理,确保个人信息的安全。
制度建设:不断完善个人信息安全管理制度体系,制定涵盖个人信息收集、存储、使用、共享、传输、销毁等全生命周期的管理制度和操作规程,明确各环节的安全要求和责任分工。定期对制度进行评估和修订,根据法律法规的变化、技术的发展以及学院业务的调整,及时更新和完善制度内容,确保制度的有效性和适应性。建立制度执行监督机制,加强对各部门、各单位执行个人信息安全管理制度情况的监督检查,对违反制度的行为进行严肃处理,确保制度得到有效执行。
应急管理:制定个人信息安全事件应急预案,明确应急组织机构、职责分工、处置流程和技术措施等内容。应急预案应定期进行演练和修订,确保在发生安全事件时能够迅速、有效地进行响应和处置。建立应急响应机制,当发生个人信息安全事件时,相关部门和人员应立即启动应急预案,采取措施控制事件的影响范围,降低损失。及时向信息安全管理领导小组、上级主管部门以及受影响的个人信息主体报告事件情况,并配合相关部门进行调查和处理。对个人信息安全事件进行深入调查和分析,查明事件原因,总结经验教训,提出改进措施,防止类似事件再次发生。同时,对应急处置过程进行记录和评估,对应急预案进行优化和完善。
第十一条 个人信息主体权利保障
知情权:学院应通过多种方式向个人信息主体告知个人信息处理的相关情况,包括收集、使用、共享、存储、传输、销毁等环节的目的、方式、范围、存储期限以及个人信息主体享有的权利等内容。告知内容应清晰、易懂、完整,避免使用过于专业或晦涩的术语。告知方式可以采用在学院官网发布公告、在相关业务办理页面设置提示信息、发送短信或邮件等形式,确保个人信息主体能够方便、及时地获取相关信息。
决定权:个人信息主体有权自主决定是否同意学院收集、使用其个人信息,以及是否同意将其个人信息共享给第三方。学院在收集、使用、共享个人信息时,应获得个人信息主体的明确同意,同意方式应符合法律法规要求,能够明确追溯。个人信息主体有权随时撤回其同意,撤回同意后,学院应停止基于该同意进行的个人信息处理活动,但已进行的处理活动不受影响。例如,学生在入学时同意学院将其部分个人信息用于奖学金评定,之后若学生撤回同意,学院应停止将该学生信息用于奖学金评定相关操作。
查阅权:个人信息主体有权查阅其在学院被收集和存储的个人信息,了解信息的内容、使用情况等。学院应提供便捷的查阅渠道,如通过学院信息系统的个人用户界面、专门的查询窗口或在线服务平台等,供个人信息主体查询其个人信息。在接到个人信息主体的查阅请求后,学院应在规定的时间内(如 15 个工作日)予以响应,并提供准确、完整的个人信息查询结果。
更正权:如果个人信息主体发现其在学院的个人信息存在错误、不完整或不准确的情况,有权要求学院进行更正。学院在接到更正请求后,应及时核实相关信息,并在规定时间内(如 15 个工作日)进行更正处理。对于因更正个人信息可能涉及到的其他相关业务,学院应一并进行调整和更新,确保个人信息的一致性和准确性。例如,学生发现其学籍信息中的姓名有误,向学院提出更正请求,学院应及时核实并更正学籍系统中的姓名信息,同时通知相关教学部门和管理部门进行相应的信息更新。
删除权:在符合法律法规规定的情形下,个人信息主体有权要求学院删除其个人信息。例如,个人信息已达到存储期限、处理目的已实现且无需继续保存、个人信息主体撤回同意且学院无合法依据继续处理等情况。学院在接到删除请求后,应及时对相关个人信息进行删除处理,并确保无法恢复。同时,对于因删除个人信息可能对其他业务产生的影响,学院应进行妥善处理和协调。
投诉举报权:个人信息主体如果认为学院在个人信息处理过程中存在侵犯其合法权益的行为,有权向学院相关部门进行投诉举报。学院应设立专门的投诉举报渠道,如投诉邮箱、电话热线、在线投诉平台等,并向个人信息主体公开。在接到投诉举报后,学院应及时进行调查核实,并在15个工作日时间内给予投诉举报人答复。如情况复杂,可适当延长处理期限,但延长期限不得超过 15 个工作日,并应告知投诉举报人延长的理由。对于确属学院责任的,应采取相应的整改措施,如停止侵权行为、更正错误信息、删除违规存储的个人信息等,并对相关责任人员进行严肃处理。学院应保护投诉举报人的合法权益,对投诉举报人的信息严格保密,不得泄露、篡改、毁损,不得打击报复投诉举报人。
解释说明权:个人信息主体有权要求学院对其个人信息处理规则、处理过程中涉及的相关问题进行解释说明。学院应配备专业的人员或团队,负责解答个人信息主体关于个人信息处理的疑问,解释相关制度、政策和操作流程。解释说明应清晰、准确、通俗易懂,确保个人信息主体能够理解。对于个人信息主体提出的合理要求,学院应积极配合,提供必要的信息和帮助。
第十二条 第三方合作管理
合作前评估:学院在与第三方合作开展涉及个人信息处理的业务时,应事先对第三方进行严格的评估和审查。评估内容包括第三方的资质和信誉、个人信息保护能力、安全保障措施、过往安全记录等。要求第三方提供相关的证明文件,如营业执照、资质证书、信息安全管理体系认证证书等,并对其进行实地考察或背景调查,确保第三方具有合法的经营资格和足够的个人信息保护能力。
协议签订:在确定与第三方合作后,应与第三方签订详细的个人信息安全合作协议,明确双方在个人信息处理过程中的权利和义务。协议应至少包括以下内容:个人信息的处理目的、方式、范围;个人信息的存储期限和安全保障措施;双方的保密义务和违约责任;个人信息主体权利的保障措施;协议的终止条件和终止后的处理措施等。对于涉及敏感个人信息处理的合作,协议中应规定更为严格的安全保障条款和保密义务。
合作过程监督:在合作过程中,学院应定期对第三方的个人信息处理情况进行监督和检查,确保第三方按照合作协议的约定和学院的要求处理个人信息。监督检查的内容包括第三方的安全技术措施是否有效、安全管理措施是否落实、个人信息是否被违规使用或共享等。可通过现场检查、数据审计、定期报告等方式进行监督。如发现第三方存在违反合作协议或个人信息安全相关规定的行为,应及时要求其整改;情节严重的,应立即终止合作,并采取相应的措施保护个人信息的安全。
合作终止处理:当与第三方的合作终止时,学院应要求第三方及时删除其存储的个人信息,确保个人信息无法被恢复和使用。对于因业务需要必须保留的个人信息,第三方应按照学院的要求进行妥善保管,并在学院的监督下进行处理。学院应对第三方的个人信息删除情况进行验收和确认,确保合作终止后个人信息的安全。
第三章 附则
第十三条 本制度由学院网络信息中心负责解释。
第十四条 本制度将根据国家法律法规的变化、技术的发展以及学院业务的调整进行定期修订和完善。修订后的制度应及时向全体师生和相关人员公布。
第十五条 本制度自发布之日起施行。原有相关规定与本制度不一致的,以本制度为准。
西双版纳职业技术学院
2025年7月
