（内交职院发〔2022〕89号）

第一章  总则

第一条 为充分保护内蒙古交通职业技术学院（以下简称“学院”）用户的个人隐私、保障用户信息安全，优化用户体验，根据现行法规及政策，特制订本办法。

第二条 本办法将详细说明系统在获取、管理及保护用户个人信息方面的政策及措施。

第三条 本办法适用于学院向用户提供的网络信息服务过程中收集、使用用户个人信息数据。

第四条 本办法涉及的个人信息包括：基本信息（包括个人姓名、生日、性别、住址、个人电话号码、身份证号、电子邮箱）；个人位置信息；网络身份标识信息（包括系统账号、IP地址、邮箱地址及与前述有关的密码、密保）；个人上网记录（包括搜索记录、使用记录、点击记录）；个人常用设备信息（包括硬件型号、设备MAC地址、操作系统类型）；其他用户个人信息。

第二章  职责与权限

第五条 网络安全和信息化工作领导小组

（一）全面负责学院个人信息数据安全管理工作，综合协调相关部门完成个人信息安全管理工作；

（二）落实国家及地方有关个人信息保护安全法规、方针、政策、标准和规范，联系上级主管部门并落实个人信息数据的安全管理相关工作；

（三）组织制定个人信息数据安全管理规章制度和标准规范；

（四）指导、协调和检查学院各部门用户个人信息数据安全管理工作；

（五）负责个人信息数据安全事故的调查和处理。

第六条 学院党委

（一）牵头组织重大敏感时期、重要活动、重要会议期间发生的个人信息数据安全事件的协调处置；

（二）负责重大个人信息泄密类事件的处理。

第七条 网络管理中心

（一）负责系统数据存储、设备维护，以及数据安全监测、评估工作；

（二）协助信息化工作领导小组执行个人信息数据安全事故的调查和处理；

（三）提供个人信息数据安全管理技术支持。

第八条 其它部门职责

（一）学生工作处负责学生相关信息数据收集、存储、授权；人事部门负责教职工相关信息数据收集、存储、授权；党政办公室负责本校行政、档案类信息数据收集、存储、授权；其它部门负责本部门个人信息数据安全管理工作；

（二）落实国家及市政府有关个人信息保护安全法规、方针、政策、标准和规范；

（三）组织制定本部门个人信息数据安全管理规章制度和标准规范；

（四）协助网络管理中心调查和处理个人信息数据安全事故。

第三章 管理要求

第九条 严格遵守国家有关法律法规，接受并配合国家有关部门依法进行的监督检查；为加强网络的管理和建设，方便并规范网站和应用系统用户的使用行为，有序、健康地服务师生。

第十条 定期对学院师生开展个人信息保护教育培训，提升信息安全防范能力以及网络法治意识。

第十一条 定期对相关人员进行网络信息安全培训并进行考核，使网站和应用系统相关管理人员充分认识到网络安全的重要性，严格遵守相应规章制度。

第十二条 尊重并保护用户的个人隐私，除了在与用户签署的隐私保护协议和网站服务条款以及其他公布的准则规定的情况下，未经用户授权不随意公布和泄露用户个人身份信息。

第十三条 个人信息收集、存储、使用、加工、传输、提供、公开、删除要建立全流程管理，各部门负责人作为直接责任人并指定专人进行管理。

第十四条 对用户的个人信息严格保密，并承诺未经用户授权，不得编辑或透露其个人信息及保存在网站和应用系统中的非公开内容，但下列情况除外：

（一）按照主管部门的要求，有必要向相关法律部门提供备案的内容；

（二）因维护社会个体和公众的权利、财产或人身安全的需要；

（三）被侵害的第三人提出合法的权利主张；

（四）为维护用户及社会公共利益、网站或应用系统的合法权益的需要；

（五）事先获得用户的明确授权或其它符合需要公开的相关要求。

第四章  工作过程

第十五条 信息采集过程

（一）在提供信息服务过程中，收集、使用用户个人信息，应当遵循合法、正当、必要、最小化的原则；

（二）各部门对收集的用户个人信息的安全负责，应明确和落实相关人员安全管理责任，对工作人员实行权限管理，对批量导出、复制、销毁信息实行审查，并采取防泄密措施；

（三）未经用户同意，不得收集、使用用户个人信息，如确需用户提供个人信息，应明确告知用户使用的目的、方式、范围和救济渠道，并告知拒绝提供信息的后果。

第十六条  用户使用过程

（一）用户应严格遵守系统用户帐号使用登记和操作权限管理规定，并对自己的用户账号、密码妥善保管，定期或不定期修改登录密码，严格保密，严禁向他人泄露；

（二）每个用户都应对其账号中的所有活动和事件负全责；用户可随时改变用户的密码，用户若发现任何非法使用账号或安全漏洞的情况，有义务立即通告本系统的系统管理员；

（三）如用户不慎泄露登录账号和密码，应当及时与系统管理员联系，请求管理员及时锁定用户的操作权限，防止他人非法操作；在用户提供有效身份证明和有效凭据并审查核实后，重新设定密码恢复正常使用；

（四）如用户需注销账号，注销后系统不再收集用户个人信息；在用户注销账号之前，应验证用户个人身份、安全状态、账户密码等信息；注销账号的行为是不可逆的行为，一旦注销账号，系统应保留用户信息六个月，其后删除有关账户的一切信息，并保证这些信息不会泄露。

第十七条 个人信息数据处理过程

（一）在采集、存储、管理、传输、加工、销毁等环节，应采取加密技术和隔离技术进行加密和隔离，并且定期进行备份；

（二）个人信息在使用时，例如个人信息展示、个人信息关联计算，应征求个人同意。进行安全影响评估，遵循最小化原则，采用内容替换、加密脱敏等多种数据脱敏技术增强个人信息在使用中安全性；

（三）应设立严格的数据使用和访问制度，采用严格的数据访问权限控制和多重身份认证技术保护个人信息，避免数据被违规使用；

（四）通过建立数据分类分级制度、数据安全管理规范、数据安全开发规范来管理规范个人信息的存储和使用；

（五）应依照个人信息的不同等级存储不同期限，存储期限严格按照法律及相关法规规定，最低期限不少于6个月。

第五章  附则

第十八条 本办法由网络安全和信息化工作领导小组制定，并负责解释和修订。

第十九条 本办法自发布之日起执行。

第二十条 本办法未尽事宜，依照法律法规和上级文件要求确立的原则处理。

内蒙古交通职业技术学院

2023年1月31日