师生个人敏感信息保护制度

师生个人敏感信息保护制度一、总则（一）目的与依据为切实保障广大师生的个人隐私与信息安全，规范学校及相关部门、教职工对师生个人敏感信息的收集、存储、使用、传输和销毁等行为，防范信息泄露、滥用等风险，维护正常的教育教学秩序和师生合法权益，营造安全、可信的校园信息环境，依据国家相关法律法规及政策要求，结合本校实际，特制定本制度。（二）适用范围本制度适用于学校内所有涉及师生个人敏感信息的采集、处理、管理和维护等活动，涵盖学校各职能部门、教学单位、教辅机构及其工作人员，以及受学校委托或与学校合作开展相关业务、可能接触到师生个人敏感信息的第三方机构及人员。所称师生，包括在校学生、教职员工（含离退休人员）。（三）基本原则1.合法合规原则：所有信息处理活动必须遵守国家法律法规及行业规范，符合学校相关管理规定。2.最小必要原则：信息收集应限于实现教育教学、管理服务等特定目的所必需的最小范围，不得过度收集。3.知情同意原则：在收集师生个人敏感信息前，应明确告知收集目的、范围、使用方式及存储期限等，并获得师生或其监护人（针对未成年人）的明示同意，法律另有规定的除外。4.安全可控原则：采取必要的技术措施和管理手段，确保信息在全生命周期内的安全，防止信息丢失、泄露、篡改和滥用。5.权责统一原则：明确各部门及相关人员在信息保护中的权利与责任，确保责任到人，失职必究。二、信息收集与登记（一）收集范围界定师生个人敏感信息主要包括但不限于：身份证件信息、个人生物识别信息、联系方式（如私人电话、家庭住址、私人电子邮箱）、学籍信息、学业成绩、家庭情况、健康状况、银行账户信息、密码信息等能够单独或与其他信息结合识别特定个人的信息，以及其他一旦泄露可能对师生权益造成损害的信息。（二）收集规范1.必要性审查：各部门在提出信息收集需求前，必须进行必要性审查，确保所收集信息为履行职责所必需。非必要信息，一律不得收集。2.渠道正规：信息收集应通过合法、正规的渠道进行，优先从师生本人或其监护人处直接获取。确需从第三方获取的，必须确认第三方已获得合法授权，并对第三方信息来源的合法性进行核实。3.告知说明：收集信息时，应以易于理解的方式向师生或其监护人充分告知以下事项：*信息收集的主体；*信息收集的目的、用途；*信息的具体种类、范围；*信息的存储期限；*信息提供的自愿性以及拒绝提供可能产生的影响（如适用）；*师生依法享有的查阅、复制、更正、删除其个人信息等权利及行使方式。4.登记备案：学校应建立师生个人敏感信息收集台账，对收集的信息类别、数量、来源、用途、存储位置、责任人等进行详细登记，并报学校指定的信息保护管理部门备案。三、信息存储与技术防护（一）安全存储1.分级分类管理：根据信息的敏感程度和重要性，对师生个人敏感信息进行分级分类管理，针对不同级别采取相应的存储安全措施。2.物理安全：纸质载体的敏感信息应存放于安全的场所，如带锁的文件柜或专用档案室，并严格控制访问权限。3.电子存储安全：*电子数据应存储在学校认可的、具备安全防护能力的服务器或存储设备中，禁止存储在未经授权的个人电脑、移动硬盘、云端存储（非学校指定）等设备或平台。*对存储敏感信息的系统和设备，应采取严格的访问控制措施，包括但不限于强密码策略、多因素认证、最小权限分配等。*重要数据应进行加密存储，并定期进行数据备份，备份介质应妥善保管并与原始数据分开存放。（二）技术防护措施1.访问控制：建立完善的用户身份认证和授权机制，确保只有经授权的人员才能访问其职责范围内所需的敏感信息。2.数据加密：对传输和存储过程中的敏感信息采用加密技术，防止信息在传输和存储环节被未授权获取或篡改。3.安全审计：对敏感信息的访问、操作行为进行日志记录和安全审计，确保可追溯。4.漏洞管理：定期对信息系统进行安全漏洞扫描和渗透测试，及时修补安全漏洞，防范黑客攻击。5.恶意代码防范：安装并及时更新杀毒软件、防火墙等安全防护软件，防范恶意代码感染。四、信息使用与流转（一）规范使用1.授权使用：使用师生个人敏感信息必须基于已告知的收集目的和授权范围，不得超出范围使用。确需超出原授权范围使用的，应重新获得师生或其监护人的明示同意。3.外部提供限制：未经师生或其监护人的明确授权，严禁向任何外部单位或个人提供师生个人敏感信息，法律法规另有规定或因应对突发公共卫生事件、紧急救助等特殊情况需要的除外。对外提供信息时，必须履行严格的审批程序，并要求接收方采取相应的安全保密措施。（二）流转管控1.内部流转：敏感信息在学校内部不同部门之间流转时，应通过安全可靠的内部渠道进行，并做好流转记录，明确信息接收方的责任。2.传输安全：通过网络传输敏感信息时，必须采取加密等安全措施，禁止使用非加密的电子邮件、即时通讯工具等传输敏感信息。3.第三方合作：如因业务需要委托第三方处理师生敏感信息，必须对第三方的安全资质、数据处理能力和保密措施进行严格审查，签订书面服务协议，明确双方的权利义务、数据安全要求和违约责任。学校应对第三方的信息处理活动进行监督。五、信息脱敏与销毁（一）信息脱敏在非必要展示完整敏感信息的场景下，如用于教学研究、统计分析、公开宣传等，必须对敏感信息进行脱敏处理。脱敏处理应确保无法识别到特定个人，且脱敏后的数据不得被逆转还原。（二）信息销毁1.定期清理：对于已达到存储期限或不再需要使用的师生个人敏感信息，应及时进行清理和销毁。2.销毁方式：*纸质载体的敏感信息，应采用粉碎、焚烧等无法恢复的方式进行销毁。*电子载体的敏感信息，应采用专业的数据销毁工具或方法进行彻底删除，确保数据无法被恢复。对于存储过敏感信息的存储介质，如硬盘、U盘等，在废弃或移交前，必须进行彻底的数据清除或物理销毁。3.销毁记录：信息销毁应做好记录，包括销毁信息的类别、数量、销毁时间、方式、执行人等，相关记录应妥善保存。六、人员管理与责任（一）管理机构与职责学校应明确一个牵头部门（如办公室、网络中心或专门的信息安全管理部门）负责统筹协调师生个人敏感信息保护工作，包括制度制定与修订、监督检查、宣传培训、投诉处理等。各部门负责人为本部门信息保护工作的第一责任人。（二）人员培训与教育学校应定期组织对全体教职工进行师生个人敏感信息保护相关法律法规、政策制度和安全知识的培训，增强其信息安全意识和保密观念，提升其规范操作能力。新入职教职工必须接受信息保护培训后方可上岗。（三）保密协议对于接触、处理师生个人敏感信息的关键岗位人员，学校应与其签订专门的保密协议，明确其保密义务和相应的法律责任。七、监督检查与应急处置（一）日常监督与定期检查学校信息保护管理部门应定期或不定期对各部门师生个人敏感信息保护制度的执行情况进行监督检查，对发现的问题及时提出整改要求，并跟踪整改落实情况。（二）信息安全事件应急预案学校应制定师生个人敏感信息泄露、丢失、篡改等安全事件的应急预案，明确应急处置流程、责任分工、响应措施等。一旦发生安全事件，应立即启动应急预案，采取补救措施，防止事态扩大，并按规定及时上报。（三）投诉与举报处理学校应建立畅通的投诉与举报渠道，师生发现个人敏感信息被不当收集、使用、泄露等情况时，可向学校信息保护管理部门投诉或举报。相关部门应及时受理并进行调查处理，并将处理结果告知投诉人或举报人。八、责任追究对于违反本制度规定，造成师生个人敏感信息泄露、丢失