第一条 为规范学校数据活动,强化数据安全管理,保障个人信息和重要数据安全,维护学校、师生及相关主体的合法权益,推动数据资源合规利用,助力学校教学、科研、管理和服务高质量发展,根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等有关法律、行政法规,结合本校实际,制定本办法。
第二条 本办法所称数据,是指学校各部门在履行职能、开展教学科研活动、提供管理服务过程中产生和使用的各类信息化数据,包括但不限于学校各类信息系统产生和保存的数据、电子化维护的业务档案数据,以及与合作单位协同过程中涉及的学校相关数据。
第三条 本办法所称个人信息,是指以电子或者其他方式记录的与已识别或者可识别的自然人(含教职工、学生、家长、临时人员等)有关的各种信息,不包括匿名化处理后的信息;敏感个人信息,是指一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息。
第四条 本办法适用于校内各单位(含学院、职能部门、直属单位、合作办学机构等)、全体师生(含教职工、学生、临时人员等),以及参与学校数据活动的第三方合作单位和个人。涉及国家秘密信息的数据安全管理,不适用本办法,按照国家相关保密标准和规定执行。
第五条 学校数据安全工作遵循“谁主管谁负责、谁运维谁负责、谁使用谁负责”的核心原则,坚持一数一源、最小必要、分级保护、知情同意、安全合规的基本要求,落实数据安全主体责任,实现数据安全与利用的平衡。
第六条 学校网络安全和信息化工作领导小组是学校数据安全工作的领导机构,负责数据安全工作的战略决策、监督检查以及重大数据安全事件的处理。
第七条 信息技术处是数据安全的管理机构,统筹数据安全管理工作,建立健全全流程数据安全管理制度和监督机制,做好数据安全技术保障工作,协调处理数据安全重大突发事件应急工作等。
第八条 各部门主要负责人是本单位数据安全与人个信息保护工作第一责任人,同时按照“谁收集,谁负责”,“谁使用,谁负责”,“谁发布,谁负责”的原则责任到人,落实本部门数据安全防护措施,保障数据安全。
第九条 按照数据业务属性,学校数据分为以下六类:
(一)学生数据:包括学生基本信息、学籍信息、成绩信息、奖惩信息、资助信息、心理健康信息等;
(二)教职工数据:包括教职工基本信息、人事档案信息、薪酬福利信息、考核奖惩信息、职称评审信息等;
(三)教学管理数据:包括课程信息、教学计划、教案课件、教学评估数据、考试考核数据等;
(四)科研管理数据:包括科研项目信息、科研经费信息、科研成果信息、实验数据等;
(五)校务管理数据:包括学校资产信息、财务信息、招生录取信息、后勤保障信息、合作办学数据等;
(六)其他数据:指不属于以上分类的数据,包括学校公开信息、对外合作交流数据、第三方提供的共享数据等。
第十条 在数据分类基础上,根据数据重要性、敏感性、规模,以及数据泄露、滥用、篡改、毁损可能造成的影响对象和影响程度,将学校数据分为核心数据、重要数据和一般数据三级:
(一)核心数据:指泄露、滥用、篡改或毁损后,可能危害国家安全、公共利益,或导致学校办学秩序严重混乱、师生重大权益受损的数据,包括但不限于学生敏感个人信息、教职工敏感个人信息、学校核心资产信息、大额财务数据、未公开的招生录取核心数据等;
(二)重要数据:指泄露、滥用、篡改或毁损后,可能影响学校正常办学秩序,或造成师生较大权益受损的数据,包括但不限于学生非敏感个人信息、教职工非敏感个人信息、常规教学管理数据、一般科研项目数据、普通资产信息等;
(三)一般数据:指泄露、滥用、篡改或毁损后,对学校办学和师生权益影响较小的数据,包括但不限于学校公开的招生信息、校园公告、公开课资源等。
第十一条 数据采集应采取合法正当方式,遵循“最小必要”和“一数一源”原则,明确采集依据、范围、场景和用途,不得超越业务职能过度采集或重复采集数据。
第十二条 信息系统采集数据优先通过校级数据中台获取,避免重复采集。确需新增采集数据的,应经本单位负责人审核,并报对应业务主管部门及信息技术处备案。
第十三条 面向师生、家长等主体采集个人信息时,应公开收集使用规则,明示收集使用目的、方式、范围和存储期限,取得信息主体的同意;采集敏感个人信息的,应取得信息主体的单独同意,并告知使用敏感个人信息的必要性及对个人的影响。
第十四条 学校信息系统的数据原则上须存储在校内数据中心,不得保存至国外(境外)服务器。核心数据和重要数据严禁存储在个人电脑、私人移动存储设备或云服务器上;确因业务原因需存储在公有云平台或校外IDC的,应通过信息技术处组织的数据安全评估和学校审批,签订安全保密协议,明确存储安全责任。
第十五条 数据存储应遵循“最短周期”原则,存储期限不超过业务有效期;超出存储期限的数据,应按规定进行归档或销毁。涉及个人信息的数据存储期限,应符合个人信息保护相关法律法规要求。
第十六条 各单位应做好数据及时更新,维护数据资源目录准确性和一致性,新增或调整数据资源目录时及时报备信息技术处。
第十七条 采取符合国家要求的安全措施保护数据存储和传输安全:敏感数据和核心数据应采用国家认可的密码算法加密存储;在线内部数据和敏感数据传输应采用加密传输信道或专线,保证数据传输的机密性和完整性;密码等认证信息禁止明文存储与传输。
第十八条 各单位使用的信息系统应制定数据备份、恢复策略,定期开展备份恢复测试,保证数据存储安全与灾难恢复能力。
第十九条 数据处理活动应遵循最小必要和职责分离原则,明确数据访问权限与范围,采取身份认证、访问控制等技术措施,防止未经授权的数据操作。数据管理、使用和安全审计权限应分离,操作人员和授权人员分离。
第二十条 人员发生岗位变动或离职时,所在单位应及时调整其数据访问权限或收回账号,并报信息技术处备案;第三方合作单位人员合作结束后,学校对接部门应及时收回其数据访问权限,督促删除相关数据。
第二十一条 使用第三方平台开展数据处理活动,或第三方公司涉及学校数据处理的,应由数据主管单位与第三方签订数据安全保密协议,明确数据处理责任和义务,对第三方数据处理行为进行监督。
第二十二条 开展数据统计分析、科学研究、决策分析时,需经业务职能部门同意,确保不泄露敏感个人信息和核心数据;敏感个人数据使用前应采用屏蔽、变形、替换等脱敏技术进行处理,不得直接使用原始敏感数据。
第二十三条 除个人信息源数据系统外,其他业务系统原则上禁止提供单独针对个人信息数据的批量导出功能;确需批量导出的,应经单位负责人和信息技术处审批,记录导出用途和去向。
第二十四条 详细记录数据查询、修改、增加、删除、导出等操作日志,日志保留时间不少于六个月。日志信息只能由授权人员只读访问,任何人不得修改或删除。
第二十五条 学校建立数据开放共享制度,通过校级数据中台支撑数据共享。各单位使用或共享其他单位数据资源时,须向数据主管单位和信息技术处提出申请,经批准后通过数据中台接口方式获取;确需通过拷贝方式共享的,应报数据主管单位负责人同意。
第二十六条 数据共享单位负责与被共享单位明确共享范围、用途和安全责任;被共享单位负责落实数据防护措施,保障数据不被窃取、滥用和篡改,不得将共享数据传播给其他单位或个人使用。
数据共享分为普遍共享、有条件共享和不予共享三类:普遍共享数据为基础性、基准性数据,经数据主管单位确认后,使用者可通过数据中台接口在备案后获取;有条件共享数据为内容敏感数据,按特定条件提供给需求方;不予共享数据为法律法规或学校规定不允许共享的数据。
第二十七条 数据发布或共享前必须进行脱敏处理,涉及人员身份、联系方式、学籍、人事、金融、资产、招生等敏感信息的,应采用多种脱敏手段确保合规性。
第二十八条 只有法律法规明确规定需要公示的个人信息,才可进行公开;公开个人信息遵循最小化原则,进行去标识化处理,不得直接公开完整个人信息;敏感个人信息原则上不得公开。
第二十九条 学校原则上不向境外提供个人信息和重要数据;因业务发展确需提供的,需符合国家有关规定,经数据安全评估和学校审批。
第三十条 本办法未尽事宜,参照国家相关法律法规、教育主管部门文件及学校其他相关规章制度执行。
第三十一条 本办法由学校网络安全和信息化领导小组办公室(信息技术处)负责解释。
第三十二条 本办法自发布之日起施行。以往学校相关规定与本办法不一致的,以本办法为准。