学校主页
您所在的位置:首页 - 规章制度 - 校内制度

校内制度

吉首大学个人信息保护管理办法(试行)

|日期:2026-06-16 |访问量:

第一条 为规范学校信息化建设过程中的个人信息处置工作,明确个人信息保护要求,根据《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规规定,结合学校实际,特制定本办法。

第二条 本办法适用于学校信息化建设中所涉及的个人信息采集、存储、使用、共享、公开及删除等各环节。

第三条 个人信息分为普通个人信息和敏感个人信息两类。

(一)普通个人信息:能够单独或者通过与其他信息结合,识别特定自然人身份或反映特定自然人活动情况的各种信息。

(二)个人敏感信息:一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等信息。

第四条 个人信息保护应遵循如下原则:

(一)合法性原则:不得违反相关法律法规。

(二)最小必要原则:在满足信息化建设必要需求的前提下,在最小范围内采集、存储、使用个人信息,对于个人信息的处理采用最小操作权限划分,不得超范围处置个人信息。

(三)安全原则:采用必要的安全技术措施和管理手段,保障个人信息的完整性、保密性及安全性,避免个人信息泄露、损毁和丢失。

(四)公开透明原则:因工作需要确需处理个人信息的,应在业务相关单位网站、APP等通过弹窗或其他明显方式公开个人信息处理规则,明示处理的目的、方式和范围。

(五)知情同意原则:信息化应用在使用个人敏感信息时,应明确告知相关个人。经本人同意后,方可使用。使用个人信息的目的、方式、范围发生变化时,应以适当方式通知个人,适当方式包括更新隐私政策等收集使用规则并提醒用户阅读等。

第五条 吉首大学网络安全和信息化领导小组负责领导学校信息化工作中个人信息保护工作。信息化中心负责组织实施、监督检查,各二级机构负责本单位管理过程中所有的个人信息保护工作。

第六条 在学校信息化建设中,师生有权查询本人信息且对错误信息作出更正,有权向业务主管部门报告违规处置个人信息的行为。业务主管部门应予以及时处理并反馈处理结果。

第七条 校内师生作为个人信息的所有者,需保证信息的准确性和完整性,并妥善保管个人信息。

第八条 个人信息采集由相关业务主管部门负责。业务主管部门原则上必须将相关业务系统作为数据源系统,不允许线下采集。其他业务部门、信息化项目不得单独进行个人信息采集。业务主管部门应提供方便、快捷的信息更新渠道,对采集的个人信息进行审核和及时更新,并由学校数据中台进行采集;师生可随时在融合门户——师生画像中,对个人信息数据进行查看与发起纠错,确保个人信息的准确性和完整性。

第九条 学校数据中台是个人信息的统一存储平台。业务主管部门采集到的个人信息,除存储在相关的业务系统数据库中,还应汇聚到学校数据中台。个人信息的存储和传输必须进行加密处理。业务主管部门须采取有效技术手段和管理措施对存储个人信息的服务器和数据库进行保护,避免个人信息的泄露、损坏或丢失。原则上,信息化建设中的个人信息均须在学校数据中心服务器本地存储,不得在校外、校内非数据中心环境存储。

第十条 信息化项目应严格按照数据资源使用申请中所确定的用途使用个人信息,严禁将个人信息挪作他用。接触个人信息的相关人员负有保密责任,严禁在未经授权的情况下对外提供个人信息。

第十一条 信息化项目对个人信息的查询、修改等操作,应保留不少于180天的相关操作日志,并提供数据库审计功能。

第十二条 信息化项目须对通过界面(如显示屏幕、纸面)展示的个人信息进行脱敏处理。依照本办法获取的个人信息,经过匿名化处理至无法识别特定个人且不能复原的,可直接应用于学校的科研、教学、校务管理等工作,匿名化处理后的信息数据所有权及其相关知识产权归学校所有。

第十三条 将个人信息作为运行必要条件的系统,在安全性可以满足个人信息保护要求的前提下,可依法依规进行个人信息共享。非数据源的各业务系统原则上不得共享个人敏感信息。个人信息的数据共享交换工作按照《吉首大学数据管理办法(试行)》要求执行。

第十四条 只有相关法律法规有明确规定需要公示的个人信息,才可进行公开。公开个人信息遵循最小化原则,通过信息组合能识别特定自然人身份并满足公示要求即可。严禁超范围公开其他相关信息,相关个人信息需进行去标识化处理,不得直接公开完整的个人信息。

第十五条 注销的信息化项目或报废的存储设备,要确保承载的个人信息被清理,方可进行注销或报废处理。

第十六条 信息化中心依照本办法,对个人信息处置相关的数据库审计记录进行检查,或者通过其他网络安全检测手段检查个人信息的采集、存储、使用及处理情况。违规行为按照网络安全事件定性并进行处置。校内相关部门及个人应按照本办法及相关整改通知,及时、彻底整改相关问题。

第十七条 对于造成重大损失或整改不力的违规行为,由信息化中心负责汇总相关情况,提交吉首大学网络安全和信息化领导小组进行责任认定,由领导小组按照学校相关规定追责。对于违反国家法律法规的行为,学校将配合公安、网信等部门进行处理。

第十八条 本办法由信息化中心负责解释,自发布之日起施行。