浙江工商大学
个人信息保护内部管理制度和操作规程
第一章 总则
第一条 目前为加强浙江工商大学个人信息安全管理,规范个人信息处理活动,根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《浙江省公共数据开放与安全管理暂行办法》《浙江省公共数据条例》《浙江工商大学数据安全管理办法》等标准,制定本办法。
第二条 个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、交易信息等。
第三条 个人信息处理活动包括个人信息的收集、存储、使用、加工、传输、提供、共享、公开、删除等。
第四条 保护个人信息安全及其合法权益是我校应承担的社会责任,各级教职工应严格遵守与信息保护相关的要求,保护个人信息安全,严禁泄露、交易和滥用个人信息。
第五条 本办法适用于我校数字化办公室及各部门(以下简称各部门)开展个人信息处理活动,适用于与个人信息处理活动相关系统的使用人员、运维人员、开发测试人员、管理人员、安全审核人员和第三方人员等。
第二章 个人信息保护管理原则
第六条 对个人信息的管理应遵循如下原则:
(一)主体责任明确原则:按照“谁主管谁负责、谁运营谁负责、谁使用谁负责、谁接入谁负责”的原则,明确责任分工,各部门应对其持有的个人信息承担安全责任,无论这些信息通过何种途径获得。
(二)安全三同步原则:在承载个人信息的相关平台系统的设计、开发建设和运行过程中,应做到个人信息安全保护措施的同步规划、同步建设、同步运行。
(三)用户知情同意原则:收集、使用个人信息时,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经个人信息主体授权同意。
(四)最少够用原则:在个人信息的收集、存储、使用、加工、传输、提供、共享、公开等各环节,在满足管理要求的前提下,所使用的个人信息类型及个人信息规模仅限定为业务开展所必需的范围。
(五)个人信息不出网原则:除获得明确授权外,个人信息不得开放给他人或第三方组织机构,未经脱敏处理的个人信息不可离开我校网络环境。
(六)可追溯原则:对于个人信息操作的日志应完整准确记录,确保所有操作可追溯到具体的操作人和操作依据,杜绝擅自篡改、删除记录等违规行为。
第三章 组织与责任
第七条 数字化办公室作为我校个人信息保护监督管理责任部门,负责指导和监督我校个人信息保护工作落地执行,各部门按照“谁主管谁负责、谁运营谁负责、谁使用谁负责、谁接入谁负责”的原则,执行落实个人信息保护的主体责任。
数字化办公室职责:
(一)负责建立并落实我校内部个人信息相关管理制度和实施细则,针对不同业务场景规范个人信息使用的流程机制。
(二)负责规范相关部门访问个人信息的业务人员岗位角色及其职责。
(三)负责业务层面个人信息保护的日常管理和审核工作。
(四)负责校内个人信息保护监测巡查工作。
(五)负责在校内数据安全事件应急响应制度中完善个人信息应急处置流程,并组织开展本数字化办公室的数据安全应急演练工作。
(六)负责受理个人信息泄密事件的投诉、上报。
(七)负责对校内个人信息泄密事件的查处。
(八)负责对业务合作伙伴管理,相关保密协议签订等,制定对业务合作伙伴的个人信息泄露的惩罚措施及具体实施。
(九)负责组织开展校内个人信息保护教育培训工作。
第四章 个人信息分类分级管理
第八条 各部门按照《浙江工商大学分类管理办法》对个人信息进行分类分级管理,个人信息包括用户身份和鉴权信息(A 类)、用户数据及服务内容信息(B 类)、用户服务相关信息(C 类)、用户统计分析数据(D 类),并按照个人信息的重要程度和敏感程度将个人信息由高到低划分为第 4 级、第 3 级、第 2 级、第 1级。
第五章 个人信息安全操作规程
第九条 各部门收集个人信息应遵循合法、正当、最小必要的原则,仅收集实现服务所必需的信息,不应以欺诈、诱骗、误导的方式收集个人信息,不应隐瞒产品或服务所具有的收集个人信息的功能。
第十条 各部门在收集个人信息前,应向个人信息主体告知个人信息收集、使用规则,明确收集、使用信息的目的、方式和范围,留存信息的期限,查询、更正、删除信息、注销账户的渠道以及拒绝提供信息的后果等事项,并获得个人信息主体的授权同意。
收集年满14周岁未成年人的个人信息前,应征得未成年人或其监护人的明示同意;不满14周岁的,应征得其监护人的明示同意。
第十一条 各部门使用网站、业务系统、APP、小程序、公众号等应用收集个人信息时,应通过隐私政策方式向个人信息主体告知个人信息收集、使用规则,隐私政策内容及发布要求应参照隐私政策及个人信息保护要求。
第十二条 各部门通过共享、转让等其他方式间接获取个人信息时:
(一)应要求个人信息提供方说明个人信息来源,并对其个人信息来源的合法性进行确认;
(二)应了解个人信息提供方已获得的个人信息处理的授权同意范围,包括使用目的,个人信息主体是否授权同意转让、共享、公开披露、删除等;
(三)如开展业务所需进行的个人信息处理活动超出已获得的授权同意范围的,应在处理个人信息前,征得个人信息主体的明示同意,或通过个人信息提供方征得个人信息主体的明示同意。
第十三条 针对违反双方约定收集、使用其个人信息的,或收集、存储其个人信息有错误的,用户可提出删除或更正要求,各部门进行删除或更正。
第二节 个人信息传输
第十四条 数字化办公室应根据业务流程、职责界面等情况,合理划分安全域,并在安全边界上配置相应的访问控制策略及部署安全措施。针对跨安全域、面向互联网域、外部接入域等存在潜在安全风险的环境,应对敏感信息的传输进行加密保护。采用密钥加密时,应对密钥的生成、分发、验证、更新、存储、备份、有效期、销毁进行管理。并应采用公认安全的、标准化公开的加密算法和安全协议。
第十五条 数字化办公室应强化传输接口安全管控,实施系统间接口的设备鉴权,包括但不限于MAC地址、IP地址或端口号绑定等方式限制违规设备接入,实施数据流程控制、关键操作日志管理机制。
第十六条 个人信息传输至其他系统前,应先进行加密,依据“谁使用谁负责”的原则明确双方安全责任,同时,应确保传输过程中的安全保密。
第三节 个人信息存储
第十七条 数字化办公室应制定管理规定对存放个人信息的电子文件或纸介质进行有效管理,规定其保存、传输、销毁等流程,明确存有个人信息的物理介质(磁阵、硬盘和磁带等)的维护、更换、升级和报废等操作要求,防止个人信息泄露。
第十八条 数字化办公室及各部门按个人信息敏感程度做好个人信息分类分级管理,对不同安全级别的个人信息采用差异化安全存储,包括但不限于脱敏存储、加密存储、访问控制等。并做好加密算法、脱敏方法的安全性保密。
第十九条 数字化办公室及各部门采取有效的技术、管理手段加强对涉及个人信息的系统使用移动存储介质的管控。应记录移动介质输出个人信息和文件的详细信息,并至少每半年进行一次审核。
第二十条 个人信息存储期限应为实现目的所必需的最短时间,法律法规另有规定或者个人信息主体另行授权同意的除外;存储期限超出上述期限后,应对个人信息进行删除或匿名化处理。
第四节 个人信息使用
第二十一条 数字化办公室应对查询和使用个人信息的场景进行梳理和评估,制定相应的查询和使用审批流程机制。采取访问控制措施确保教职工只能访问职责所需的最少够用的个人信息,并对个人信息的访问和操作进行监测,对异常操作进行实时告警。
第二十二条 因业务需要进行个人信息查询操作时,必须确保所有查询操作行为经过正当授权,并留存授权记录,禁止在未经授权的情况下进行查询操作。授权依据包括正式公文、投诉工单、用户授权等,金库模式审批记录不得作为授权依据。授权记录至少保留三年。
第二十三条 因业务需要,确需改变个人信息处理目的时,应再次征得个人信息主体明示同意,并针对目的变更后的情况,进行个人信息安全风险评估,以及重新调整安全措施。
第二十四条 因业务需要进行个人信息批量导出或下载到本地终端时,在导出或下载前应对个人信息进行模糊化处理,并通过金库进行审批,且只能导出或下载到我校网络环境内授权的终端上。
第二十五条 各部门相关人员通过正常授权流程获取的个人信息,以及为客户提供服务时记录的用户个人信息,应按照相关授权要求进行处理或及时录入系统,并对获取的个人信息及时销毁,严禁将获取的个人信息在电脑终端上留存或通过即时通信软件或互联网(如微信、QQ、钉钉、微博、网盘等)进行传播。
第二十六条 各部门应根据法规中数据安全脱敏规范的指导,结合我校内部个人信息类型特点、业务运营需求等,建立个人信息脱敏机制,明确需要进行脱敏处理的个人信息类型、应用场景、脱敏方法和规则。
第二十七条 公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取个人信息的,各部门应建立相关受理审批流程机制,配合其个人信息的调取。
第二十八条 各部门按照法规要求,在网站或应用的明显位置提供个人信息安全举报投诉渠道和有效的联系方式,并针对有效投诉线索开展处置和记录,自接到投诉之日起十五日内答复投诉人。
第五节 个人信息共享
第二十九条 各部门按照法规的数据内部共享和对外开放分级管控要求,落实个人信息的内部共享流程和对外开放形式。
第三十条 针对我校内部系统平台之间(包括同一内部部门、不同内部部门平台系统之间)的个人信息共享场景,应遵循服务最小化原则,仅向对端平台系统提供业务上必要的个人信息,并根据业务需求做好脱敏处理。
第三十一条 加强个人信息线下交互的过程管控,建立个人信息线下交互审批机制及操作流程,对线下交互的个人信息采取加密、脱敏或物理保密封装等防护手段,防止个人信息被违规复制、传播、破坏等,满足个人信息不出网原则。
第三十二条 加强个人信息共享接口安全管控,落实加密传输、访问控制、MAC地址或IP地址绑定等手段。对于下线或退网的业务平台系统,需要及时通知对端关闭个人信息共享接口,避免接口被非法利用。
第三十三条 个人信息共享过程应进行详细记录,支持事后合规审计,确保共享操作行为的可追溯及责任问题定位。
第六节 个人信息销毁
第三十四条 数字化办公室应建立针对业务下线、用户退出服务、节点失效、过多备份、个人信息试用结束、超出个人信息保存期限等情况下的个人信息销毁管理制度、办法和机制。
第三十五条 落实安全销毁措施,个人信息需要进行销毁时,必须使用有效的个人信息销毁方法进行处理,对于已删除个人信息,应采用可靠技术手段保证个人信息不可被还原,并做好效果验证。
第三十六条 个人信息销毁过程应进行日志记录,包括执行时间、参与人员、处理方式等。对于由合作方现场实施个人信息销毁的场景,应安排内部工作人员进行现场监督。
第六章 个人信息日志记录与审计
第三十七条 数字化办公室应按照法规要求,对涉及个人信息的各业务系统应全面记录账号与授权管理、系统访问、业务操作、个人信息操作等行为,确保日志信息的完整、准确。
第三十八条 在日志中不应明文记录账号的口令、通信内容等系统敏感信息和个人信息。
第三十九条 各使用部门应保留所有个人信息操作的授权凭据,确保真实有效,凭据至少保留三年。
第四十条 数字化办公室应按照法规要求,对个人信息操作日志开展安全审计工作,对操作日志与工单等原始凭证进行比对,分析查找违规行为。
对于日志审核发现的问题应及时查明原因进行整改,并保存完整的整改报告。对于发现的擅自篡改、删除记录的人员应依据相关规定进行问责。
第七章 日常监测巡查与监督检查
第四十一条 数字化办公室及各部门按照法规要求,建立我校的日常监测巡查机制,包括但不限于每日、周、月、季度的日常检查报表,并按相应频次进行检查。
第四十二条 数字化办公室应建立监督检查机制,对本数字化办公室内个人信息保护工作落实情况至少每季度开展一次监督检查,并对发现的问题风险及时完成整改,对相关违规人员进行问责。
第四十三条 涉及个人信息处理的部门(包括但不限于网格渠道等)应至少每季度开展一次电脑终端敏感信息清查,发现电脑终端留存或违规传播个人信息的,应对相关文件进行销毁,并对违规人员进行问责。
第四十四条 数字化办公室根据法规对风险突出的部门个人信息保护工作落实情况每年至少开展一次监督检查,对涉及个人信息处理的部门,每年至少开展一次电脑终端敏感信息抽查,发现相关违规行为的,对相关部门进行通报,并督促完成整改。
第八章 应急响应
第四十五条 数字化办公室应在数据安全事件应急响应制度中完善个人信息安全事件应急响应机制和应急预案。
第四十六条 数字化办公室应根据法规中的应急演练要求,制定应急响应计划,做好应急预案,并至少每年开展一次演练,确保在紧急情况下重要信息资源的可用性。
第四十七条 在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应立即启动应急响应并快速处置、采取补救措施,按照规定及时告知用户并向有关主管部门和供应商报告、配合相关部门进行调查处理。
第九章 问责与追究
第四十八条 数字化办公室依据本办法对各部门个人信息保护管理工作落实情况进行考评。各部门因个人信息保护工作落实不及时、不到位、疏于管理、失职等违规行为的,将按照有关规定追究其相关责任。
第四十九条 对于涉嫌违反国家法律法规的,将依法移交司法机关处理。
第十章 附则
第五十条 本办法由数字化办公室负责解释和修订。
第五十一条 本制度的最终解释权归我校所有。