服务热线:86689830
意见反馈邮箱:itc-self@wmu.edu.cn
 
您现在的位置: 网站首页 > 规章制度 > 正文
温州医科大学个人信息保护管理办法(温医大〔2023〕6号)
  

第一章 总 则


第一条 为规范学校信息化建设过程中的个人信息处置工作,明确个人信息保护的要求,根据中华人民共和国《数据安全法》《个人信息保护法》等法律法规,以及《GB/T35273-2020信息安全技术个人信息安全规范》、公安部《互联网个人信息安全保护指南》等文件精神,结合学校实际,特制定本办法。

第二条 本办法适用于学校信息化建设中所涉及的个人信息采集、存储、使用、共享、公开及删除等各环节。为满足学校教学、科研及其他管理需求,且符合国家法律法规及上级、学校规范性文件要求的,可依照本办法处置校内师生的个人信息。

第三条 个人信息分为普通个人信息和敏感个人信息两类。

(一)普通个人信息:能够单独或者通过与其他信息结合,识别特定自然人身份或反映特定自然人活动情况的各种信息。

(二)个人敏感信息:一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的信息。

第四条 个人信息保护应遵循如下原则:

(一)合法性原则:不得违反相关法律、法规;

(二)最小必要原则:在满足信息化建设必要需求的前提下,在最小范围内采集、存储、使用个人信息,对于个人信息的处理采用最小操作权限划分,不得超范围处置个人信息;

(三)安全原则:采用必要的安全技术措施和管理手段,保障个人信息的完整性、保密性及安全性,避免个人信息泄露、损毁和丢失;

(四)知情同意原则:信息化应用在使用个人敏感信息时,应明确告知相关个人。经本人同意后,方可使用。


第二章 责任分工

第五条 学校网络技术安全和信息化工作领导小组负责领导学校信息化建设中个人信息保护工作。信息技术中心负责组织实施、监督检查。校内各二级机构负责具体落实本部门、单位所管理的信息化项目中的个人信息保护工作。

第六条 在学校信息化建设中,师生有权查询本人信息且对错误信息作出更正,有权向业务主管部门报告违规处置个人信息的行为。业务主管部门应予以及时处理并反馈处理结果。

第七条 校内师生作为个人信息的所有者,需保证信息的准确性和完整性,并妥善保管个人信息。


第三章 个人信息处理规则

第八条 个人信息采集由相关业务主管部门负责。业务主管部门原则上必须把相关业务系统作为数据源系统,不允许线下采集。其他业务部门、信息化项目不允许单独进行个人信息采集。业务主管应提供方便、快捷的信息更新渠道,并对采集的个人信息进行审核和及时更新,确保个人信息的准确性和完整性。

对于未纳入业务部门管理的个人信息数据,可由学校公共数据平台进行采集。师生可随时在公共数据平台中,对未纳入部门管理和不需要部门审核的个人信息数据进行维护。

第九条 学校公共数据平台是个人信息的统一存储平台。业务主管部门采集到的个人信息,除存储在相关的业务系统数据库中,还应通过学校相关数据交换途径,储存到学校公共数据平台中。个人信息的存储和传输必须进行加密处理。业务主管部门须采取有效技术手段和管理措施对存储个人信息的服务器和数据库进行保护,避免个人信息的泄露、损坏或丢失。原则上,信息化建设中的个人信息均须在学校数据中心服务器本地存储,不得在校外、校内非数据中心环境存储。

第十条 信息化项目应严格按照数据资源使用申请中所确定的用途使用个人信息,严禁将个人信息挪作他用。接触个人信息的相关人员负有保密责任,严禁在未经授权的情况下对外提供个人信息。

第十一条 信息化项目对个人信息的查询、修改等操作,应保留不少于180天的相关操作日志,并提供数据库审计功能。

第十二条 信息化项目须对通过界面(如显示屏幕、纸面)展示的个人信息进行脱敏处理。依照本办法获取的个人信息,经过匿名化处理至无法识别特定个人且不能复原的,可直接应用于学校的科研、教学、校务管理等工作,匿名化处理后的信息数据所有权及其相关知识产权归学校所有。

第十三条 原则上只接受公安部门或教育厅等上级主管部门、学校纪检监察机构,对非信息化工作用途的信息查询请求。查询请求受理部门为相关业务主管部门,其他业务部门不得进行个人信息查询和对外提供个人信息数据。

第十四条 将个人信息作为运行必要条件的系统,在安全性可以满足个人信息保护要求的前提下,可依法依规进行个人信息共享。非数据源的各业务系统原则上不得共享个人敏感信息。个人信息的数据共享交换工作按照《温州医科大学信息化数据资源管理办法》(温医大〔2020〕65号)要求执行。

第十五条 只有相关法律法规有明确规定需要公示的个人信息,才可进行公开。公开个人信息遵循最小化原则,通过信息组合能识别特定自然人身份并满足公示要求即可。严禁超范围公开其他相关信息,相关个人信息需进行去标识化处理,不得直接公开完整的个人信息。

第十六条 注销的信息化项目或报废的存储设备,要确保承载的个人信息被清理,才可进行注销或报废处理。相关采集部门应依法依规删除违规采集、储存的个人信息数据。


第四章 责任认定及追责

第十七条 信息技术中心依照本办法,对个人信息处置相关的数据库审计记录进行检查,或者通过其他网络安全检测手段检查个人信息的采集、存储、使用及处理情况。违规行为按照网络安全事件定性并进行处置。校内相关部门及个人应按照本办法及相关整改通知,及时、彻底整改相关问题。

第十八条 对于造成重大损失或整改不力的违规行为,由信息技术中心负责汇总相关情况,提交学校网络与信息安全领导小组进行责任认定,由领导小组按照《温州医科大学数据安全管理办法》《温州医科大学网络安全管理办法》等相关规定追责。对于违反国家法律法规的行为,学校将配合公安、网信等部门进行处理。


第五章 附 则

第十九条 本办法自发布之日起施行,由信息技术中心负责解释。



温州医科大学办公室

2023年2月15日





  • 我的医大
  • 网上办事大厅
  • OA系统
  • 我的邮箱
  • 我的课程
  • 一卡通
  • 电话服务
友情链接
中共中央网络安全和信息化委员会 教育部科学技术司 中央电化教育馆 浙江省教育技术中心

Copyright 2020 © 版权所有 温州医科大学信息技术中心

备案号:浙ICP备12000000号