幼儿园幼儿个人信息保护责任书

幼儿园幼儿个人信息保护责任书第一章总则1.1目的依据为落实《中华人民共和国个人信息保护法》《中华人民共和国未成年人保护法》《儿童个人信息网络保护规定》《幼儿园工作规程》等法律法规要求，规范幼儿园幼儿个人信息的收集、存储、使用、共享、披露等全流程管理，保障幼儿及家长的合法权益，防范信息泄露风险，特制定本责任书。本责任书为幼儿园内部管理的强制性文件，所有涉及幼儿个人信息处理的相关人员必须严格遵守。1.2适用范围本责任书适用于XX幼儿园全体在职教职工（含园长、副园长、保教主任、保健医生、班主任、生活老师、后勤人员）、劳务派遣人员（如保安、保洁）、外包服务人员（如体检机构、第三方教育平台工作人员）、合作单位人员（如培训机构、摄影机构）及其他因工作需要接触幼儿个人信息的所有人员。1.3术语定义1.3.1幼儿个人信息指以电子或者其他方式记录的与已识别或者可识别的幼儿有关的各种信息，不包括匿名化处理后的信息，具体范围包括：基本身份信息：幼儿姓名、性别、出生日期、居民身份证号码、户籍地址、家庭住址、入园编号；家庭关联信息：父母/监护人姓名、身份证号码、手机号码、工作单位、紧急联系人姓名及联系方式；健康敏感信息：幼儿既往病史、药物/食物过敏史、传染病史、疫苗接种记录、体检报告、心理咨询记录、特殊护理需求；教育成长信息：入园评估记录、学期发展报告、活动参与记录、作品档案、学期评语、集体活动照片/视频；其他信息：接送卡权限信息、缴费记录、午休作息记录、出入园考勤数据。1.3.2幼儿敏感个人信息指一旦泄露或者非法使用，容易导致幼儿人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括幼儿的健康信息、生物识别信息（如人脸识别特征）、行踪轨迹信息等，此类信息的保护等级高于普通个人信息。第二章组织机构与岗位职责2.1个人信息保护领导小组幼儿园成立幼儿个人信息保护工作领导小组，组长由园长担任，副组长由分管保教、后勤的副园长担任，成员包括保教主任、保健医生、信息管理员、后勤主任、财务专员。领导小组职责：1.制定、修订幼儿园幼儿个人信息保护管理制度，明确各岗位责任边界；2.定期组织个人信息保护培训、考核与应急演练；3.监督全流程信息处理行为，排查安全隐患并督促整改；4.受理并处置幼儿家长关于信息保护的投诉、举报；5.协调处理信息泄露事件，配合监管部门开展调查。2.2第一责任人（园长）职责园长为幼儿园幼儿个人信息保护第一责任人，承担以下责任：1.对幼儿园幼儿个人信息保护工作负全面领导责任，确保保护措施与幼儿园运营同步规划、同步落实；2.审批幼儿个人信息收集、共享、披露等重大事项；3.保障信息保护所需的技术、人员、资金投入；4.发生重大信息泄露事件时，第一时间向属地教育主管部门、网信部门报告。2.3各岗位具体责任岗位核心责任分管副园长协助园长制定信息保护细则，督促各部门落实责任，组织开展日常监督检查保教主任牵头组织教职工开展信息保护培训，规范班级活动中照片/视频的使用，监督班主任的信息处理行为保健医生负责幼儿健康敏感信息的收集、存储与管理，严格控制健康信息的知悉范围，仅为保教、急救目的使用信息管理员负责幼儿园电子信息系统的技术防护（如数据加密、权限管理、漏洞修复），定期备份数据并验证备份有效性，排查网络安全隐患班主任/生活老师仅收集、使用本班幼儿的必要信息，不得跨班查询或泄露其他班级幼儿信息，严格落实家长知情同意要求后勤/财务人员负责幼儿缴费记录、接送卡信息的保密管理，不得泄露家长的财务信息及家庭住址劳务派遣/外包人员严格遵守幼儿园信息保护规定，仅在授权范围内处理信息，不得私自记录、拷贝任何幼儿及家长信息3.1收集原则所有幼儿个人信息的收集必须遵循合法正当、知情同意、最小必要三大原则，禁止以任何理由强制收集与幼儿园教育、管理、服务无关的信息。3.2收集规范1.入园登记阶段：必须向家长提供《幼儿个人信息收集告知书》，明确告知收集信息的目的、范围、使用方式、存储期限、家长的权利及投诉渠道，由家长签署书面同意书后方可收集；禁止收集家长的收入情况、婚姻状况、宗教信仰等与幼儿入园无关的信息；对于幼儿的身份证号码、户籍地址等非必要信息，仅在办理入园备案、医保报销等法定场景下收集，不得用于其他用途。2.敏感信息收集：收集幼儿健康敏感信息时，必须单独签署《幼儿健康信息收集同意书》，明确告知收集的必要性（如为制定个性化护理方案、应对突发疾病）；若使用人脸识别、指纹识别等生物识别技术作为接送验证方式，必须单独签署《生物识别服务同意书》，并为家长提供非生物识别替代方案（如刷卡、人工核对），不得强制使用生物识别技术；收集幼儿活动照片/视频用于园所宣传时，必须提前在班级群告知家长，收集不同意发布的幼儿名单，对相关幼儿的影像资料进行打码或删除处理。3.3禁止性行为1.禁止未经家长同意，通过班级群、家访等渠道额外收集幼儿及家长信息；2.禁止以入园、评优、活动参与为条件，强制家长提供无关信息；3.禁止第三方机构（如培训机构、广告商）在幼儿园内以任何形式收集幼儿个人信息。第四章信息存储与保管责任4.1存储原则幼儿个人信息的存储必须遵循加密存储、分级管理、定期清理原则，确保信息仅在授权范围内可被访问。4.2电子信息存储规范1.所有电子形式的幼儿个人信息必须存储在幼儿园专用服务器或经认证的云存储平台，禁止存储在教职工私人手机、电脑、U盘等设备中；2.服务器必须安装防火墙、入侵检测系统、防病毒软件，定期更新系统补丁，设置复杂登录密码（含字母、数字、特殊字符，长度不少于8位），并开启登录日志记录；3.信息管理员每月对服务器登录日志进行审计，发现异常登录、数据导出等行为立即上报领导小组；4.敏感个人信息（如健康记录、身份证号）必须采用AES-256加密算法进行加密存储，仅授权岗位人员可通过加密密钥访问。4.3纸质信息存储规范1.纸质幼儿个人信息档案（如入园登记表、健康手册、体检报告）必须锁入带密码的铁皮保险柜，钥匙由指定岗位人员保管，备用钥匙由园长保管；2.健康档案仅允许保健医生、园长及当班班主任在授权范围内查阅，查阅时必须填写《纸质信息查阅登记本》，记录查阅人、查阅时间、查阅目的；3.禁止将纸质档案带出幼儿园办公区域，如需复印必须经保教主任审批，并在复印件上标注“仅用于XX用途，复印日期XX”。4.4存储期限与销毁流程1.幼儿个人信息的存储期限不得超过实现目的所需的最短时间：基础身份信息、教育成长信息存储至幼儿毕业后3年；健康敏感信息存储至幼儿毕业后5年；缴费记录、接送记录存储至幼儿毕业后1年；2.到期信息的销毁必须遵循以下流程：电子信息：使用专业数据销毁软件进行彻底删除，禁止仅通过回收站删除；纸质信息：使用碎纸机粉碎，粉碎后的纸屑作为可回收物处理，禁止随意丢弃；销毁过程必须由2名以上工作人员监督，并填写《幼儿个人信息销毁记录表》，由监督人员签字确认。第五章信息使用与传输责任5.1使用原则幼儿个人信息的使用必须严格限定在入园告知书约定的范围内，禁止超出约定用途使用信息，禁止将信息用于商业宣传、广告推送等非教育服务目的。5.2内部使用规范1.教职工仅能访问与自身岗位职责相关的信息，如班主任仅能访问本班幼儿的信息，保健医生仅能访问幼儿的健康信息，禁止跨岗位、跨班级查询信息；2.禁止在私人微信、QQ等非工作渠道转发幼儿及家长信息，所有家园沟通必须使用幼儿园官方工作群或专用沟通平台；3.禁止在公开场合（如办公室走廊、餐厅）谈论幼儿的健康状况、家庭隐私等敏感信息。5.3对外使用规范1.幼儿园公众号、官网发布幼儿活动照片/视频时，必须对幼儿的面部、姓名、家庭住址等可识别信息进行模糊处理，或仅发布集体活动的全景照片，不得单独发布某个幼儿的特写照片；2.如需将幼儿的作品、学期评语用于教育研究、教学交流，必须隐去幼儿的姓名、班级等可识别信息，确保信息匿名化；3.禁止将幼儿的健康信息、家庭联系方式提供给任何第三方机构用于商业推广。5.4传输规范1.传输幼儿个人信息时，必须采用加密方式，如使用幼儿园内部VPN、加密邮件系统，禁止使用公共WiFi传输敏感信息；2.若需将信息传输给第三方（如疾控中心、医保机构），必须通过官方指定渠道，并且要求对方签署保密协议，确保信息仅用于约定目的。第六章信息共享与披露责任6.1共享前提与审批1.与第三方共享幼儿个人信息必须满足以下条件：为实现幼儿园教育、管理、服务的必要目的；已取得家长的书面同意，明确告知共享的对象、范围、用途；与第三方签订《幼儿个人信息共享保密协议》，明确对方的信息保护责任及违约责任；2.共享敏感个人信息时，必须经园长审批，并单独取得家长的书面同意。6.2合作单位管理1.与第三方合作单位（如体检机构、摄影机构、教育平台）合作时，必须在合作合同中明确信息保护条款，禁止合作单位收集、存储、使用超出合作范围的幼儿信息；2.合作结束后，必须要求合作单位立即销毁所有幼儿个人信息，并提供销毁证明；3.定期对合作单位的信息保护措施进行检查，发现违规行为立即终止合作，并追究其违约责任。6.3法定披露要求1.因配合公安、检察、法院等司法机关办案需要披露幼儿个人信息时，必须要求对方出具执法证件及协助调查通知书，核对无误后方可披露，并留存相关证明材料；2.披露的信息范围必须严格限定在执法机关要求的范围内，不得额外披露无关信息；3.披露后必须立即向个人信息保护领导小组汇报，并记录披露的时间、对象、内容、执法机关名称等信息。第七章技术防护与应急处置7.1技术防护措施1.幼儿园信息系统必须定期进行安全检测，每季度开展一次漏洞扫描，每年委托第三方机构进行一次网络安全评估；2.信息管理员必须定期备份幼儿个人信息，备份数据存储在加密的离线介质中，并存放在安全的物理环境中；3.禁止教职工使用弱密码、重复密码，要求每3个月更换一次系统登录密码，信息管理员每月对密码强度进行检查；4.幼儿园办公电脑、服务器必须安装终端安全管理系统，禁止私自安装未经授权的软件，禁止外接私人U盘。7.2信息泄露应急预案1.一旦发生信息泄露事件（如工作手机丢失、系统被入侵、信息被私自转发），相关人员必须立即上报个人信息保护领导小组，不得隐瞒、拖延；2.领导小组立即启动应急预案，采取以下措施：停止相关信息系统的运行，断开网络连接，防止泄露范围扩大；评估泄露信息的类型、范围、影响程度，统计受影响的幼儿及家长数量；立即通知受影响的家长，告知泄露情况及防范措施（如提醒家长注意诈骗电话）；配合网信部门、公安部门开展调查，提供相关证据材料；对泄露事件进行复盘，完善信息保护措施，防止类似事件再次发生。7.3投诉与争议处理1.幼儿园设立信息保护投诉电话（XXXX-XXXXXXX）及投诉邮箱（XX@XX.com），由保教主任负责受理家长的投诉与咨询；2.对家长的投诉必须在7个工作日内予以回复，形成《投诉处理记录表》，记录投诉内容、处理过程、处理结果及家长的反馈；3.若家长对处理结果不满意，必须及时上报园长，组织领导小组进行二次核查，确保争议得到妥善解决。第八章监督检查与责任追究8.1日常监督机制1.个人信息保护领导小组每季度对各岗位的信息保护情况进行检查，重点检查信息收集的合规性、存储的安全性、使用的规范性；2.信息管理员每月对系统操作日志进行审计，排查异常登录、数据导出等行为；3.保教主任每月对班级群的信息发布情况进行检查，禁止教职工在群内发布幼儿的敏感信息。8.2责任追究情形与方式1.存在以下行为之一的，幼儿园将根据情节轻重给予相应处罚：未经家长同意收集、使用、共享幼儿个人信息的；超出约定范围使用幼儿个人信息的；私自拷贝、转发幼儿个人信息至私人设备或非工作渠道的；未采取必要安全防护措施导致信息泄露的；隐瞒信息泄露事件或不配合调查的；违反本责任书其他规定的行为。2.处罚方式：情节轻微的，给予口头警告、书面检讨，并扣除当月绩效奖金的10%-20%；情节较重的，给予记过、停岗培训1-2周，并扣除当月绩效奖金的30%-50%；情节严重的（如造成重大信息泄露、给幼儿及家长造成财产损失或精神损害），解除劳动合同或劳务派遣关系，并依法追究其法律责任；对于第三方合作单位的违规行为，立即终止合作，并要求其承担相应的赔偿责任，情节严重的上报监管部门处理。第九章家长权利与义务9.1家长的法定权利1.知情权：有权查阅幼儿园收集、使用、共享幼儿个人信息的情况；2.更正权：若发现幼儿个人信息存在错误或遗漏，有权要求幼儿园进行更正；3.删除权：若幼儿园超出约定范围使用信息，有权要求删除相关信息；4.撤回同意权：有权随时撤回对幼儿园收集、使用幼儿个人信息的同意，撤回后幼儿园不得再处理该信息（法律法规另有规定的除外）；5.投诉权：有权对幼儿园的信息保护行为提出异议或投诉。9.2家长的配合义务1.提供真实、准确的幼儿及家长信息，如联系方式、家庭住址发生变更，及时告知幼儿园；2.配合幼儿园落实信息保护措施，如提供必要的证明材料、反馈信息使用的意见；3.不得在班级群、朋友圈等渠道泄露其他幼儿及家长的个人信息，共同维护园所的信息安全环境。第十章附则1.本责任书自发布之日起生效，每年根据法律法规的更新及园所的实际情况进行修订；2.本责任书的解释权归XX幼儿园个人信息保护领导小组所有；3.若本责任书的规定与法律法规相冲突，以法律法规为准；4.所有涉及幼儿个人信息处理的人员必须签署本责任书，并存入个