湖南应用技术学院 个人信息保护管理办法

第一章 总则

第一条 为保护个人信息权益，规范个人信息处理活动，促进个人信息合理利用，根据《中华人民共和国个人信息保护法》《中华人民共和国网络安全法》等法律法规及《信息安全技术个人信息安全规范》（GB／T35273-2017）、《互联网个人信息安全保护指南》等规范，制定本办法。

第二条 学校处理师生个人信息的活动，适用本办法。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。

第三条 个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。个人信息包括通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。敏感个人信息是指一旦泄露或非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。敏感个人信息包括身份证件号码、个人生物识别信息、银行账号、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14岁以下（含）未成年人的个人信息等。

第四条 学校教育教学及相关活动中，为满足学校教学、科研及校务管理需求，且符合国家及相关主管部门在学籍、教务、人事、财务、档案、设备、资产管理等方面的法律法规及规章制度要求时，可依照本办法处理校内师生的个人信息。学校依照前款规定处理校内师生个人信息时，相关单位和个人有配合的义务。

第五条 学校个人信息处理应遵循如下原则：

目的明确原则-具有合法、正当、必要、明确的个人信息处理目的。

选择同意原则-向个人信息主体明示个人信息处理目的、方式、范围、规则等，征求其授权同意。

最少够用原则-除与个人信息主体另有约定外，只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量。目的达成后，应及时根据约定删除个人信息。

公开透明原则-以明确、易懂和合理的方式公开处理个人信息的范围、目的、规则等，并接受外部监督。

确保安全原则-具备与所面临的安全风险相匹配的安全能力，并采取足够的管理措施和技术手段，保护个人信息的保密性、完整性、可用性。

主体参与原则-向个人信息主体提供能够访问、更正、删除其个人信息，以及撤回同意、注销账户等方法。

第二章 责任分工

第六条 学校信息化领导小组负责领导学校个人信息保护工作，由学校网络信息中心（以下简称网信中心）负责学校个人信息保护的组织实施、监督检查工作，各信息化数据的主管部门负责具体落实本部门管理的个人信息的安全保护工作。

第七条 学校师生为其个人信息所有者，有权查询本人的个人信息，有权更正错误的个人信息，有权对违规处理个人信息的行为进行反馈和报告。学校师生有义务及时更新向学校提供的个人信息，保证信息的准确性和完整性，并妥善保管个人信息。

第八条 学校各相关主管部门应依法、依规受理对于处理个人信息违规行为的举报，及时进行处理并反馈处理结果。

第三章 个人信息的采集、存储、使用、共享、公开与删除

第九条 学校个人信息采集统一由相关数据的主管部门负责。个人信息主管部门根据《湖南应用技术学院信息化数据资源管理办法》相关规定确定。数据主管部门应将相关业务系统作为数据源系统，不允许线下采集，其他业务部门、信息化项目不允许单独进行个人信息采集。个人信息主管部门应对采集的个人信息进行审核和及时更新，确保个人信息的准确性和完整性。对于未纳入业务部门管理的个人信息数据，由学校公共数据平台进行采集，师生可随时在公共数据平台中对未纳入部门管理和不需要部门审核的个人信息数据进行维护。

第十条 师生个人信息如发生变更或采集的数据有误，可向该信息主管部门提出更新申请。主管部门应提供方便、快捷的信息更新渠道，保证及时更新个人信息。

第十一条 学校公共数据平台是个人信息集中统一的存储平台。个人信息主管部门采集到的个人信息，除存储在相关的业务系统数据库中，还应通过学校相关数据交换途径，交换到学校公共数据平台中。个人信息在存储和传输过程中必须进行加密处理，采取有效技术手段和管理措施保护存储个人信息的服务器和数据库，避免个人信息的泄露、损坏或丢失。个人信息应在学校数据中心服务器本地存储，不得在校外、校内非数据中心环境中存储。

第十二条 在学校信息化建设中，各信息化项目在处理个人信息时应严格遵照本办法规定的原则。各信息化项目应严格按照数据资源使用申请中所确定的用途使用个人信息，严禁将个人信息挪作他用。因信息化建设工作需要，可接触到个人信息的相关人员，对相关个人信息负有保密责任，严禁未经授权对外提供个人信息。各信息化项目中，对于个人信息的查询、修改等操作应保留不少于180天的最新操作日志，并提供处理记录查询功能，以查询对个人信息的各类处理。除个人信息的源数据系统，其他业务系统禁止提供单独针对个人信息数据的批量导出功能。对个人信息进行重要操作前（如批量修改、拷贝、导出等），需由相关数据主管部门信息化负责人与网信中心负责人共同审批，审批通过后方可进行操作。

第十三条 各信息化项目应对必须要通过界面（如显示屏幕、纸面）展示的个人信息进行匿名化处理。个人信息匿名化处理的具体方法，依照本办法附件即《校内个人信息匿名化处理参考指南》执行。

第十四条 依照本办法获取的个人信息，经过匿名化处理后可直接应用于学校的科研、教学、校务管理等工作。匿名化处理后的信息数据所有权及其相关知识产权归学校所有。

第十五条 学校依法受理相关单位查询个人信息的事项。相关单位依法提出的查询要求由个人信息数据主管部门办理。

第十六条 校内其他非个人信息管理系统需使用个人信息时，需充分评估合法性、必要性和安全性。只有缺乏相关个人信息就无法正常使用的系统，在安全性可以满足个人信息保护要求的前提下，可依法依规进行个人信息共享。非数据源的各业务系统原则上不得共享个人敏感信息。

第十七条 学校可以依照法律法规的规定公示个人信息。公示个人信息遵循最少够用原则，通过信息组合能识别特定自然人身份并满足公示要求即可。严禁超范围公示其他相关信息。严禁直接公示完整的个人信息。严禁公示敏感个人信息。

第十八条 注销的信息化项目或报废的存储设备，要确保承载的个人信息已被清理才可进行注销或报废处理。

第十九条 对于违反法律法规及本办法规定采集、存储的个人信息，应依法依规删除相关个人信息数据。

第四章 责任认定及追责

第二十条 网信中心依照本办法对各信息化项目中个人信息处理记录进行检查，或者通过其他网络安全检测手段检查个人信息的采集、存储、使用及处理情况。网信中心对于个人信息处理中出现的违规行为，按照网络安全事件进行处置。校内相关部门及个人应按照本办法要求及时、彻底的整改相关问题，对非涉及关键数据人员应及时清理所持有的个人信息数据。

第二十一条 对于在个人信息处理中造成重大损失或整改不力的人员，由网信中心负责汇总相关情况，提交学校信息化领导小组进行责任认定，确定相关责任人、责任部门，按照学校网络安全管理办法等相关管理制度进行追责。

第二十二条 对于违反国家法律法规的个人信息处理行为，学校将配合公安、网信等主管部门进行处理。

第五章 附则

第二十三条 本办法由网络信息中心负责解释。

第二十四条 本办法自发布之日起施行。

《校内个人信息匿名化处理参考指南》

在学校信息化建设中，需对个人信息进行匿名化处理的，应保证使得个人信息主体无法被识别且处理后的信息不能被复原。匿名化处理按照以下方法进行：

1．姓名隐藏名字中的1-2位；

2．出生日期隐藏2位日期；

3．身份证件号码隐藏结尾后6位；

4．学号、教工号隐藏结尾后3位；

5．个人手机号隐藏结尾后4位；

6．个人通信地址及家庭住址隐藏具体门牌号；

7．车牌号隐藏后五位中的任意2-3位。