第一章 總 則

第一條為規範學院通過信息化手段開展的數據活動，保障個人信息和重要數據安全，維護廣大師生和學院的合法權益，根據《中華人民共和國數據安全法》、《中華人民共和國個人信息保護法》、《信息安全技術網絡安全等級保護基本要求》、《民航領域數據分類分級辦法》、《學院黨委網絡安全工作責任製實施細則》等文件要求，製定本規定💪。

第二條本規定所指的數據包括學院相應業務職能熊猫（以下簡稱熊猫）在履行職能時，通過信息化手段獲取的業務數據和統計數據，覆蓋數據采集、存儲傳輸、處理使用、共享開放等數據全生命周期活動。涉及國家秘密信息的數據安全管理🦹🏿‍♂️，按照國家相關法律和規定執行。

第三條本規定遵循一數一源👰🏿、最小夠用、分級保護、安全合規的原則🥎👩🏽‍💼，從管理和技術兩個維度，按照“誰管業務👩🏽‍🎨、誰管業務數據🧜🏼‍♂️、誰管數據安全”的原則，重點保障個人信息安全和重要數據安全，全面提高校園數據安全保障能力。

第二章 工作職責

第四條學院網絡信息安全工作小組是數據安全與個人信息保護工作的領導機構，主要職責是負責學院數據安全戰略、目標和任務的製定，貫徹落實上級有關熊猫關於數據安全與個人信息保護工作的發展戰略🚀、宏觀規劃、重大政策和工作部署，統一領導、統一謀劃🙌🏻、統一部署學院的數據安全與個人信息保護工作，統籌協調和決策學院數據安全與個人信息保護工作中的重大問題等👮🏿‍♂️。

第五條學院網絡信息安全工作小組主要負責組織落實工作小組的各項決議與工作部署，研究製定數據安全與個人信息保護工作發展規劃、工作計劃👦🏻、規章製度和標準規範👰‍♀️，建立覆蓋數據采集、存儲傳輸✡︎、處理使用、開放共享等全生命周期的數據安全保障和監督檢查機製👌🏿，協調處理數據安全重大突發事件有關應急工作等，會同學院其它熊猫做好數據規劃與管理工作，規範數據收集管理，統籌學院數據的安全保障工作🥷。

第六條各熊猫對本熊猫信息系統的數據安全負直接責任，編製信息系統資源目錄，提出數據分級建議，明確不同等級數據防護措施，保障數據安全🆚🙆🏼。按照“關鍵操作、多人完成、分權製衡”的原則🌳🍩，數據操作要有授權，操作人員和授權人員分離🧜🏻‍♀️。

第三章 數據分類分級

第七條數據安全保障遵循分類分級保護的原則⚀，基於數據重要性🧑🏽‍🍼、敏感性確定數據等級，根據數據等級明確保護措施。具體可參照《教育系統核心數據和重要數據識別認定工作指南(試行)》。

第四章 數據收集的安全保障

第八條各熊猫須按照“一數一源”的原則👩‍🦲🔑，應從數據源頭采集數據，以保障數據的權威、準確和可靠，避免歧義。應采取適當的技術和管理措施持續保障數據的準確性🤦🏻‍♂️、唯一性、規範性和時效性。優先通過共享方式從學院的數據中心獲取數據。原則上不得重復收集數據。

第九條各熊猫利用信息系統收集數據應遵循最小化原則，並明確收集依據、範圍😤、數量和用途💪🏼。

第十條新建信息系統應在建設方案中明確數據收集內容和擬定數據等級，提供數據資源目錄與表結構🦸🏿‍♀️。學院網絡信息安全工作小組辦公室對數據收集的必要性和數據等級的合理性進行審核🥧。

第十一條已建系統因升級改造或業務調整新增數據收集項目的，應及時更新數據資源目錄與表結構，並反饋至學院網絡信息安全工作小組辦公室🤙🚵🏿‍♀️。

第十二條計劃收集個人信息的應當參照國家有關標準，采用數據分類、脫敏、備份🧴、加密等措施加強對個人信息和重要數據保護。數據如需出境的參照國家《數據出境安全評估辦法》執行🟤。

第五章 數據存儲傳輸的安全保障

第十三條各熊猫須明確數據存儲和傳輸的安全策略，確保數據安全和系統穩定運行。

第十四條學院各類信息系統的核心和敏感數據原則上應集中存儲在學院的數據中心🙎🏼‍♀️👩‍🍳，杜絕將業務熊猫的核心和敏感數據存放在個人電腦或熊猫不相關的服務器上。確實需要將數據存放到公有雲或校外商用IDC的🧑🏼‍🏭，需經過學院網絡信息安全工作小組的安全評估和審批𓀄。所有數據不得保存至境外服務器。

第十五條應當對利用生物特征（人臉、步態、指紋🧭、虹膜、聲紋等）進行個人身份認證的必要性、安全性進行風險評估🧙🏻。未經評估,一律不得擅自利用。不得將個人生物特征作為身份認證的唯一方式🌇。個人信息屬於敏感數據，包括但不限於個人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等👨‍✈️。個人信息的收集🚴🏻‍♀️、處理和利用應當遵循合法、正當、必要的原則，應用與共享必須與收集目的一致🧑🏻‍🎄，不得違反國家法律、法規和學院相關規定。

第六章 數據中心建設與安全保障

第十六條數據中心主要包括支撐各類應用系統運行的中心數據庫、代碼標準、數據標準與質量管理、數據交換服務等。

第十七條學院網絡信息安全工作小組辦公室負責學院數據中心建設與安全管理、各信息系統業務數據庫與數據中心的數據交換，以及業務數據的質量核檢🍆。

第十八條各熊猫應基於學院數據中心實施本熊猫信息化建設。在提交數據資源申請前🧗🏻‍♂️，須簽訂《熊猫体育官网信息化安全保密承諾書》🧛🏽，申請的數據原則上只能用於業務系統對接使用，不得隨意導出數據文件🔪，確需查詢導出的，須經熊猫領導同意並做好防毒防盜及保密工作🤹🏻，未經授權不得向第三方機構或個人提供所申請的數據。

第十九條數據共享遵循“誰主管誰負責、誰審核誰負責👆🏻、誰使用誰負責”的原則。

第二十條業務熊猫因開發對接需要🈹，把數據接口密鑰信息交給第三方時🧗🏿，必須與第三方簽訂數據安全保密協議🏊🏻。

第二十一條各熊猫的信息員應認真履行職責，發現數據下發異常的情況🪇，應及時與學院網絡信息安全工作小組辦公室聯系處理🚴‍♀️。

第二十二條數據使用熊猫負責下發數據的管理，落實使用完畢的數據清理和銷毀工作👸🏻🍠，對數據的安全、保密負責。

第二十三條校內師生為其個人信息所有者，在學院信息化建設中，師生有權查詢、更正、補充本人的個人信息，有權對信息化建設中違規處置個人信息的行為向數據源頭熊猫進行反饋或向學院網絡信息安全工作小組辦公室報告👨🏿‍🏫。

第二十四條校內師生作為個人信息的所有者😓㊙️，應當及時更新信息化建設中使用到的個人信息，保證信息的準確性和完整性👨🏿‍🚒，並在信息化應用過程中妥善保管。由於師生個人原因造成個人信息泄露🐽👮🏿、損壞或丟失的🙆🏽‍♀️，由本人承擔相應責任；如對他人個人信息造成不良影響的，應追究相關責任人的責任👰🏻‍♀️。

第二十五條業務主管熊猫原則上必須通過業務系統采集數據，不允許線下采集。業務主管熊猫應對采集的個人信息進行審核和及時更新，確保個人信息的準確性和完整性。師生個人信息如發生變更或采集的數據有誤，可向業務主管熊猫提出更新申請，業務主管熊猫應及時更新個人信息🧙🏿‍♀️。

第二十六條業務主管熊猫采集到的個人信息，除存儲在相關的業務系統數據庫中，還應通過學院相關數據交換途徑🗃，交換到學院數據中心🤙。

第二十七條依照本規定獲取的個人信息🔕🕵🏽‍♂️，經過匿名化💆‍♀️、脫敏處理後無法識別特定個人且不能復原的💽，經過數據源熊猫審批後🐧，可應用於學院的科學研究，研究成果歸學院所有🧑🏼‍🍳。

第二十八條對於非學院信息化工作中的個人信息查詢，原則上只接受公安熊猫和上級主管熊猫依法依規的查詢請求🧑🏽‍🎓。查詢請求受理熊猫為數據源頭熊猫，其他業務熊猫不得接受查詢請求🐗，也不得進行個人信息查詢和提供個人信息數據。

第二十九條只有相關法律法規和學院製度有明確規定需要公開的個人信息，方可進行公開⚆。公開個人信息遵循最小化原則，嚴禁超範圍公開其他相關信息。個人敏感信息進行脫敏處理後方可公開。

第三十條註銷的信息化項目或報廢的存儲設備，確保承載的信息數據被清理後🫨，方可進行註銷或報廢處理🙇🏿‍♀️。

第三十一條各熊猫因違反信息安全保密管理等規定，導致敏感信息泄露的，學院網絡信息安全工作小組辦公室有權關閉相關數據接口權限➾💝。涉嫌違法犯罪的❇️，移交司法機關處理。

第七章 數據安全監督管理

第三十二條各熊猫應積極配合網絡信息安全工作小組、審計熊猫進行檢查、審計，落實數據安全責任製度🧴，規範數據管理，加強安全防範🧑🏻‍🦯。網絡信息安全工作小組辦公室設在圖文信息中心，負責落實及組織協調相關網絡信息安全工作🫁。

第三十三條網絡信息安全工作小組對發生重大數據安全事件報告處置不及時、不到位的熊猫進行問責。構成違法和犯罪的，移交司法機關處理。

第八章 附 則

第三十四條本規定自發文之日起施行，由學院網絡信息安全工作小組辦公室負責解釋。

網絡信息安全工作小組辦公室

2023年12月1日