金沙威尼斯欢乐娱人城个人信息管理制度
第一章 总 则
第一条 以习近平新时代中国特色社会主义思想为指导,为贯彻落实习近平总书记关于个人信息安全的指示精神,切实维护校内师生个人信息安全,规范个人信息操作规程,依据《中华人民共和国个人信息保护法》、《中华人民共和国民法典》、《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网安全保护管理办法》等相关法律法规文件,制定本制度。
第二条 本制度适用于学校各职能部门、教学教辅单位业务开展和全体教职工工作学习全过程。
第三条 本制度所指的个人信息是指以电子或其他方式记录的与已识别或可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
第二章 个人信息管理
第四条 按照“谁主管谁负责、谁运维谁负责、谁使用谁负责,谁公开谁负责”的原则明确个人信息保护责任人,严格落实个人信息保护责任。
第五条 各部门须加强督促管理本部门工作人员履行公民个人信息保护责任,加强对本部门网站、APP、小程序、公众号、邮箱、群组的管理,做好信息系统网络安全防范措施,依法加强对应用系统和网站发布个人信息的审核。
第六条 互联网群组建立者、管理者应当履行个人信息管理责任,依据法律法规、用户协议和平台公约,规范群组网络行为和信息发布。
第七条 对网传信息要科学甄别,转发网络信息要选择公开的官方权威信源渠道,来源不明的信息不轻信、未经证实的信息不转发,共同维护健康有序的网络环境和社会秩序。
第八条 不得违法违规收集、存储、使用、加工、传输、提供、公开、删除个人信息,不得泄露、公开他人隐私。
第三章 个人信息操作规程
第九条 个人信息收集、存储、使用、传输、公开、删除等环节的基本原则如下:
(一)遵循合法、正当、必要和诚信原则;
(二)采取对个人权益影响最小的方式,限于实现处理目的的最小范围原则;
(三)处理个人信息应当遵循公开、透明原则;
(四)处理个人信息应当保证个人信息质量原则;
(五)采取必要措施确保个人信息安全原则。
第十条 个人信息收集,需按以下原则进行:
(一)处理个人信息,需要在个人充分知情、自愿的前提下进行,对于敏感个人信息、跨境个人信息处理、向其他数据处理者提供个人信息,需要取得个人的单独同意书;
(二)公民个人信息必须严格保密,非工作必要或未经当事人同意,不得公开姓名、年龄、身份证号码、电话号码、家庭住址等个人隐私,依法收集的个人信息不得泄露、篡改、损毁,不得出售或者非法向他人提供。
第十一条 个人信息使用,需采取以下措施:
(一)对个人信息实行分类管理;
(二)采取相应的加密、去标识化等安全技术措施;
(三)合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;
(四)制定并组织实施个人信息安全事件应急预案。
第十二条 个人信息传输,处理者需采取安全措施,如加密、去标识化、权限控制、防泄露监测等防止未经授权的访问以及个人信息泄露、篡改、丢失。若数据需要跨境传输,则需要经过国家网信办数据出境安全评估。
第十三条 个人信息存储,在境内收集的个人信息应当存储在境内;确需向境外提供的,应当进行安全评估。存储时亦需采取加密、去标识化、权限控制等安全措施,防止未经授权的访问以及个人信息泄露、篡改、丢失。个人信息的保存期限应当为实现处理目的所要的最短时间。
第十四条 个人信息删除,有下列情形之一的,个人信息处理者应当主动删除个人信息。个人信息处理者未删除的,个人有权请求删除。
(一)处理目的已实现、无法实现或者处理目的不再必要;
(二)个人信息处理者停止提供产品或者服务,或者保存期限已届满;
(三)个人撤回同意;
(四)个人信息处理者违反法律、行政法规或者违反约定处理个人信息;若是存在第三方管理,在委托合同不生效、无效、被撤销或者终止的,受托人应当将个人信息返还或者予以删除,不得保留。
第四章 个人信息失泄密事件处理流程
第十五条 发生个人信息失泄密事件处理流程:
(一)发现人员应立即上报校内业务主管部门,按照指导保护现场,接报人员立即向分管校领导报告。
(二)发现人员和接报人员应当组织保护失泄密现场,追踪事件情况并及时通报情况。
(三)上级指派的应急人员(2人以上)赶到事发现场后迅速了解失泄密情况,并组织开展排查工作,在紧急情况下可采取非常规措施。
(四)应急人员在负责学校信息安全的领导部署下,负责向公安机关等相关部门提供案件情况。
(五)应急人员负责配合公安机关核实案情,拟定案件报告,并按学校相关领导部署向有关部门报告。
第五章 附则
第十六条 本制度自公布之日起执行,由网络信息中心负责解释。
