第一章 总则

第一条 为加强个人信息保护，维护个人信息权益，根据《中华人民共和国个人信息保护法》、《中华人民共和国网络安全法》等相关法律法规，结合学校实际情况，制定本办法。

第二条 本办法适用于学校信息化建设中使用和处理个人信息的活动。

第三条 本办法旨在规范个人信息采集、存储、使用、加工、传输、共享、公开及删除等环节，确保个人信息安全，防止个人信息泄露、篡改、损毁，保障个人信息权益。

第四条 本办法中个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括但不限于如下信息：

姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码、帐号密码、行踪轨迹、电子邮箱、健康信息等。

个人敏感信息是一旦泄露或非法使用容易导致自然人的人格尊严、人身或财产安全受到危害的信息。包括生物识别、宗教信仰、医疗健康、金融账户、行踪轨迹、特定身份信息及未成年人信息等。

第五条 个人信息管理原则

1、合法原则：采集、使用、存储和处理个人信息必须符合法律法规的规定，不得违反法律的禁止性规定。

2、最小必要原则：个人信息的采集和处理应当限于实现处理目的的最小范围，不得过度收集个人信息。

3、安全原则：应当采取必要的技术和管理措施，保障个人信息的完整性、保密性及安全性，防止个人信息泄露、篡改、丢失。

4、知情同意原则：个人信息的采集和使用应明确告知相关个人，并由个人自愿同意后，方可使用。

第二章 责任分工

第六条 学校信息化建设中个人信息保护工作由学校网络安全和信息化领导小组负责领导，由信息化办公室负责组织实施、监督检查，各信息化数据的主管部门负责具体落实本部门管理的个人信息安全保护工作。

第七条 校内师生作为个人信息的所有者，有义务及时更新信息化建设中使用到的个人信息，保证信息的准确性和完整性，并在信息化应用过程中妥善保管个人信息，由于师生个人原因造成的个人信息泄露、损坏、丢失，由本人承担相应责任。

第三章 个人信息的采集、存储、使用、共享、公开与删除

第八条 学校信息化建设中的个人信息采集，统一由相关数据的主管部门负责，个人信息主管部门由《北京语言大学基础数据管理办法》相关规定确定。数据主管部门应以相关业务系统为基础进行信息采集，其他业务部门不允许单独进行个人信息采集。个人信息主管部门应对采集的个人信息进行审核和及时更新，确保个人信息的准确性和完整性。

对于未纳入业务部门管理的个人信息数据，需求部门应向信息化办公室提出采集需求，由学校公共数据平台进行采集，需求部门进行审核。

第九条 在学校信息化建设中，学校公共数据平台是个人信息集中统一管理的存储平台。个人信息主管部门采集到的个人信息，除存储在相关业务系统数据库中，还应通过学校相关数据交换途径，交换到学校公共数据平台中。

个人敏感信息在存储和传输过程中必须进行加密处理，采取有效技术手段和管理措施保护存储个人信息的服务器和数据库。原则上个人信息需要在学校数据中心服务器本地存储，不得在校外、校内非数据中心环境中存储。

第十条 在学校信息化建设中，各信息化项目在使用个人信息时应严格遵循前款所述的个人信息管理原则。

个人信息主管部门以外的部门在使用个人信息时，需通过数据资源使用申请流程提交使用申请，由个人信息主管部门审批，信息化办公室实施。使用部门应签署《数据安全责任书》，并严格按照申请中确定的用途使用个人信息，严禁将个人信息挪作他用。因信息化建设工作需要，可接触到个人信息的相关人员，对个人信息负有保密责任，严禁未经授权对外提供个人信息。

第十一条 各信息化项目中，对于个人信息的查询、修改、导出等操作应保留不少于180天的操作日志，并提供审计功能。除个人信息主管部门外，其他业务系统原则上禁止提供单独针对个人信息数据的批量导出功能。

第十二条 各信息化项目应对必须通过界面展示的个人敏感信息进行去标识化处理。

第十三条 对于非学校信息化工作中的个人信息查询，原则上只接受公安部门等上级主管部门依法依规的查询请求，查询请求受理部门为相关个人信息数据主管部门，其他业务部门不得进行个人信息查询和提供个人信息数据。

第十四条 在信息化建设中只有相关法律法规有明确规定需要公示的个人信息，才可进行公开。公开个人信息遵循最小化原则，满足公示要求即可，严禁超范围公开其他相关信息，相关个人信息需进行去标识化处理，不得直接公开完整的个人信息。

第十五条 信息化项目中存储的个人信息，在数据使用用途结束后，及时对数据进行删除操作，并确保数据的彻底删除。

第十六条注销的信息化项目或报废的存储设备，要确保承载的个人信息已被清理才可进行注销或报废处理。

对于违反法律法规及本办法采集、存储的个人信息，应依法依规删除相关个人信息数据。

第四章 责任认定及追责

第十七条 信息化办公室依照本办法定期对各信息化项目中个人信息的审计记录进行检查，或者通过其他网络安全检测手段检查个人信息的采集、存储、使用及处理情况。对于出现的违规行为将按照网络安全事件进行处置，校内相关部门及个人应按照本办法及相关整改通知，及时、彻底地整改相关问题。

第十八条 对于造成重大损失或整改不力的违规行为，由信息化办公室负责汇总相关情况，提交学校网络安全和信息化领导小组进行责任认定，按照学校网络安全管理办法等相关管理制度进行追责。对于违反国家法律法规的行为，学校将配合公安、网信等主管部门进行处理。

第五章 附则

第十九条 本办法由信息化办公室负责解释，自发文之日起施行。