广东财经大学数据安全与个人信息保护 管理办法（试行）

广东财经大学数据安全与个人信息保护

管理办法（试行）

第一章  总  则

第一条为进一步加强学校网络与信息安全，规范数据管理，保护学校重要数据和个人信息，根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规，结合学校实际，制定本办法。

第二条 本办法适用于校内各单位通过信息化手段开展数据收集、传输存储、使用处理、开放共享以及数据安全的保护和监督管理等活动。涉及国家秘密信息的数据安全管理，按照国家相关标准和规定执行。

第三条数据安全与个人信息保护遵循安全合规、分级保护、最少够用、优先共享原则；数据安全责任体系建设坚持“谁主管谁负责、谁运维谁负责、谁使用谁负责”原则。

第二章  管理机构与职责

第四条学校网络安全和信息化领导小组是数据安全与个人信息保护工作的领导机构，主要职责是统一领导、统一谋划、统一部署学校的数据安全与个人信息保护工作，统筹协调学校数据安全与个人信息保护工作中的重大问题、重大政策和工作部署。

第五条网络信息与教育技术中心是数据安全和个人信息保护的技术管理部门，负责研究制定数据安全与个人信息保护工作发展规划、工作计划、规章制度和标准规范，建立覆盖数据采集、存储传输、处理使用、开放共享等全生命周期的数据安全保障和监督检查机制，做好数据安全技术保障工作，协调处理数据安全重大突发事件应急工作等。

第六条各单位党政主要负责人是本单位数据安全与个人信息保护工作第一责任人，同时按照“谁收集，谁负责”“谁使用，谁负责”“谁发布、谁负责”的原则责任到人，落实本单位数据安全防护措施，保障数据安全。

第三章  数据分级分类

第七条学校的数据安全保障遵循分级分类保护的原则，根据数据泄露、滥用、篡改、毁损可能对国家安全、社会秩序、学校及个人利益造成的影响程度，将数据分为一般数据、重要数据、核心数据，不同级别的数据采取不同的保护措施。

第八条个人信息是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，包括但不限于如下信息：姓名、身份证件号码、个人生物识别信息、银行账号等，不包括匿名化处理后的信息。敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

第四章数据采集的安全保障

第九条数据采集应遵循最小必要原则，明确采集依据、范围、场景和用途，原则上不得超越各单位的工作职能采集数据。

第十条新建信息系统应在建设方案中明确数据采集内容和数据等级，按照“一数一源、最小必要”的原则，严格按照业务需要和职能边界确定数据收集使用范围，优先从学校公共数据平台匹配需求。

第十一条面向师生、家长收集信息应公开收集使用规则，明示收集使用目的、方式、范围和存储期限。

第十二条采集个人信息的单位应对采集的个人信息进行审核和及时更新，确保个人信息的准确性和完整性。

第十三条收集处理敏感个人信息应对必要性、科学性、伦理性进行论证。实施时应取得个人信息主体的单独同意，并告知使用敏感个人信息的必要性以及对个人的影响。在校园公共场所采集图像、个人身份识别信息的，应为维护公共安全所必需，只能用于维护公共安全的目的，不得公开或向第三方提供。鼓励以“用而不存”的方式处理敏感个人信息。

第五章 数据存储传输的安全保障

第十四条各单位使用的信息系统应根据数据安全级别采用数据加密、访问控制、数据防泄漏等安全措施。

第十五条在线的内部数据和敏感数据传输应采用加密传输，以保证数据传输的机密性和完整性。

第十六条各单位使用的信息系统应制定数据备份、恢复策略和操作规范。

第十七条学校在境内运营收集和产生的非公开数据原则上禁止保存在境外的数据中心，确需保存的需进行安全评估。

第六章 数据处理的安全保障

第十八条信息系统使用单位按照最小必要原则明确数据录入、查看、修改和删除等权限，实现数据管理、使用和安全审计的权限分离。信息系统需采取身份认证、访问控制等技术措施，防止未经授权的数据活动。

第十九条在学校信息化建设中，个人信息使用时遵循合法原则、最小必要原则、安全原则和知情同意原则，严格按照数据资源使用用途使用个人信息，严禁将个人信息挪作他用。因信息化建设工作需要，可接触到个人信息的相关人员，对相关个人信息负有保密责任，严禁未经授权对外提供个人信息。除个人信息源数据系统，其他业务系统原则上禁止提供单独针对个人信息数据的批量导出功能。

第二十条学校鼓励在保障数据安全的前提下，充分发掘数据潜在价值。对数据开展统计分析、科学研究、决策分析时，需经业务职能部门同意，且确保不泄露敏感个人信息。敏感个人数据使用前应采用适当的脱敏技术进行脱敏处理。

第二十一条信息系统使用单位应记录对业务数据的查询、修改、增加、删除、导出等操作日志，保留时间不少于6个月。

第七章 数据共享公开的安全保障

第二十二条信息发布或共享使用前必须先经过脱敏处理，所有涉及人员身份、联系方式、学生学籍、人事、金融、资产、招生、科研、档案等中含有敏感信息数据的应采用屏蔽、变形、替换等多种手段来满足不同的隐私数据匿名化的数据合规性。

第二十三条数据共享单位负责与被共享单位确定数据共享范围、用途和安全责任。被共享单位负责落实数据防护安全，保障数据不被窃取、滥用和篡改。

第二十四条共享个人信息原则上通过接口方式实现，确需通过拷贝进行共享的，应报被共享单位负责人同意。

第二十五条在信息化建设中只有相关法律法规有明确规定需要公示的个人信息，才可进行公开。公开个人信息遵循最小化原则，相关个人信息需进行去标识化处理，不得直接公开完整的个人信息。敏感个人信息不宜公开。

第二十六条信息系统下线或个人信息存储设备报废，须确保承载的个人信息已被清理才可进行注销或报废处理。

第二十七条学校信息化建设中原则上不向境外提供个人信息，因业务发展确需提供的，需符合国家有关规定。

第八章 附则

第二十八条对违反本管理办法的单位或个人，学校将依规依纪进行处理；涉嫌违法的，移交司法机关处理。

第二十九条本办法由网络信息与教育技术中心负责解释。

第三十条本办法自发布之日起施行。