第一章 总则

第一条 为规范学校信息化建设过程中的个人信息处置工作，明确个人信息保护的管理要求，避免个人信息处置不当造成师生、学院及其他相关部门、人员利益受损，按照《中华人民共和国网络安全法》《中华人民共和国刑法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规要求，根据国标《GB/T35273-2017信息安全技术个人信息安全规范》及公安部《互联网个人信息安全保护指南》意见，结合学校实际，特制定本办法。

第二条 本办法中个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份、反映特定自然人活动情况的各种信息。

本办法适用于学校信息化建设中所涉及的个人信息采集、存储、使用、共享、公开及删除等各环节。为满足学校教学、科研、管理与服务需求，且符合国家及相关部门在学籍、教务、人事、财务、档案、设备、资产管理等方面的法律法规及规章制度要求时，可依照本办法处置校内师生的个人信息，全校师生有义务提供相关个人信息。

第三条 个人信息包括但不限于如下信息：

姓名、出生日期、身份证件号码、个人生物识别信息、银行账号、住址、联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、成绩信息等。

第四条 个人信息保护应遵循如下原则：

（一）合法性原则：不得违反相关法律法规；

（二）最小必要原则：在满足信息化建设必要需求的前提下，在最小范围内采集、存储、使用个人信息，对于个人信息的处理采用最小操作权限划分，不得超范围处置个人信息；

（三）安全原则：采用必要的安全技术措施和管理手段，保障个人信息的完整性、保密性及安全性，避免个人信息泄露、损毁和丢失；

（四）知情同意原则：信息化应用在使用个人敏感信息时，应明确告知相关个人。经本人同意后，方可使用。

第二章 职责与权限

第五条 学校网络安全和信息化工作领导小组是信息化建设中个人信息保护工作的领导机构，主要职责是贯彻落实上级有关部门关于个人信息保护工作的发展战略、宏观规划、重大政策和工作部署，统一领导、统一谋划、统一部署学校个人信息保护工作，研究决定有关重大事项。

第六条 图书与信息资源中心主要负责组织落实网络安全和信息化工作领导小组的各项决议与工作部署，研究制定个人信息保护工作规章制度和标准规范，建立覆盖数据采集、存储传输、处理使用、开放共享等全生命周期的数据安全保障和监督检查机制，处理数据安全重大突发事件有关应急工作等。

第七条 校属各单位负责具体落实本单位所管理的信息化项目中的个人信息保护工作。未经网络安全和信息化工作领导小组批准，校内任何单位和个人不得以任何理由，私自收集、使用和发布学校范围内的师生个人信息。

第八条 在学校信息化建设中，师生有权查询本人信息且对错误信息作出更正，有权向业务主管部门报告违规处置个人信息的行为。业务主管部门应予以及时处理并反馈处理结果。

第九条 校内师生作为个人信息的所有者，有义务及时更新信息化建设中使用到的个人信息，保证信息的准确性和完整性，并在信息化应用过程中妥善保管个人信息。由于师生个人原因造成的个人信息泄露、损坏、丢失，由本人承担相应责任；如对他人个人信息造成不良影响，将根据本办法的追责条款，追究相关责任人的责任。

第三章 个人信息的采集、存储、使用、共享、公开与删除

第十条 学校信息化建设中的个人信息采集，统一由相关数据的主管部门负责。个人信息主管部门原则上必须把相关业务系统作为数据源系统，不允许线下采集。其他业务部门、信息化项目不允许单独进行个人信息采集。个人信息主管部门应对采集的个人信息进行审核和及时更新，确保个人信息的准确性和完整性。师生个人信息如遇变更或采集的数据有误，可向该个人信息主管部门提出更新申请，个人信息主管部门应提供方便、快捷的信息更新渠道，保证及时更新个人信息。

第十一条 学校数据中台是个人信息的统一存储平台。个人信息主管部门采集到的个人信息，除存储在相关的业务系统数据库中，还应通过学校相关数据交换途径，储存到学校数据中台。

个人信息的存储和传输过程中必须进行加密处理。个人信息主管部门须采取有效技术手段和管理措施对存储个人信息的服务器和数据库进行保护，避免个人信息的泄露、损坏或丢失。原则上，信息化建设中的个人信息均须在学校数据中心服务器本地存储，不得在校外、校内非数据中心环境存储。

第十二条 各信息化项目在使用个人信息时应严格遵循前款所述的合法性原则、最小必要原则、安全原则和知情同意原则。

各信息化项目应严格按照数据资源使用申请中所确定的用途使用个人信息，严禁将个人信息挪作他用。因信息化建设工作需要，可接触个人信息的相关人员，对相关个人信息负有保密责任，严禁未经授权对外提供个人信息。

各信息化项目对个人信息的查询、修改等操作，应保留不少于180天的相关操作日志，并提供数据库审计功能，可审计对个人信息的各类操作。除个人信息的源数据系统，其他业务系统原则上禁止提供单独针对个人信息数据的批量导出功能。对个人信息的重要操作前（如批量修改、拷贝、导出等），需由相关个人信息主管部门负责人与图书与信息资源中心负责人共同审批，审批通过后方可进行操作。

各信息化项目应对通过界面（如显示屏幕、纸面）展示的个人信息进行脱敏处理。依照本办法获取的个人信息，经过匿名化处理至无法识别特定个人且不能复原的，可直接应用于学校的教学、科研、管理与服务等工作，匿名化处理后的信息数据所有权及其相关知识产权归学校所有。

对于非学校信息化工作中的个人信息查询，原则上只接受依据法律规定有权查询的国家机关依法依规的查询需求，查询请求受理部门为相关个人信息主管部门，其他业务部门不得接受查询请求，也不得进行个人信息查询和提供个人信息数据。

第十三条 将个人信息作为运行必要条件的系统，在安全性

可满足个人信息保护要求的前提下，可依法依规进行个人信息共享。非数据源的各业务系统原则上不得共享个人敏感信息。个人信息的数据共享交换工作按照《湖南石油化工职业技术学院数据管理办法》要求执行。

第十四条在信息化建设中只有相关法律法规有明确规定需要公示的个人信息，方可进行公开。公开个人信息遵循最小化原则，通过信息组合能识别特定自然人身份并满足公示要求即可。严禁超范围公开其他相关信息，相关个人信息需进行去标识化处理，不得直接公开完整的个人信息。

对于以下个人敏感信息不宜公开，包括：银行账号、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息。

第十五条 注销的信息化项目或报废的存储设备，要确保承载的个人信息被清理才可进行注销或报废处理。

对于违反法律法规及本办法采集、存储的个人信息，应依法依规删除相关个人信息数据。

第四章 责任认定及追责

第十六条图书与信息资源中心依照本办法对各信息化项目中个人信息处置相关的数据库审计记录进行检查，或者通过其他

网络安全监测手段检查个人信息的采集、存储、使用及处理情况。对于出现的违规行为将按照网络安全事件定性并进行处置。校内相关机构及个人应按照本办法及相关整改通知，及时、彻底整改相关问题。

第十七条对于造成重大损失或整改不力的违规行为，由图书与信息资源中心负责汇总相关情况，提交网络安全和信息化工作领导小组进行责任认定，确定相关责任人、责任部门，按照《湖南石油化工职业技术学院网络与信息安全管理办法》等相关规定进行追责。对于违反国家法律法规的行为，学校将配合公安、网信等部门进行处理。

第五章 附则

第十八条 本办法根据国家现行法律法规、行业政策制定，未尽事宜按上级最新规定执行；若与后续出台的国家层面政策冲突，以国家政策为准。

第十九条本办法自发布之日起施行，由图书与信息资源中心负责解释和修订。

湖南石油化工职业技术学院

一审 陈雅菲

二审 彭奥

三审 熊伟