各学院、处室：

近期，有媒体报道某高校在准备学生返校复学工作时，由于工作人员缺乏保密意识，造成大量学生的个人敏感信息（个人完整的身份证号码、银行卡号、手机号码、生日日期等）遭到泄露，对学生产生了不良影响。根据中央网络安全和信息化委员会办公室2020年2月4日发布的《关于做好个人信息保护利用大数据支撑联防联控工作的通知》要求，对于违规违法收集、使用、公开个人信息的行为以及造成个人信息大量泄露的事件，网信部门将依据《中华人民共和国网络安全法》和相关规定进行处置。为保护校内广大师生个人信息安全，加强个人信息数据管理，避免违法违规的情况出现，现将有关要求通知如下：

一、切实提高个人信息安全保护意识

2017年6月1日开始施行的网络安全法中规定网络运营者对个人信息的保护义务、保护制度的建设、收集使用的规则等，明文规定禁止非法获取、买卖、提供个人信息。请校内各单位、处室认真学习相关法律法规要求，提高全体教职工尤其是各信息系统管理员、信息发布员的个人信息安全保护意识，在学校各类相关工作中切实重视和落实个人信息安全保护工作。提醒广大师生，对于泄露和转发他人个人信息的人员，公安机关会进行立案调查，轻则给予行政处罚，情节严重的则可能涉嫌“侵犯公民个人信息罪”。

二、严格控制个人信息的收集及使用，加强个人信息管理、发布与安全保护

1.对于个人信息的收集、使用应当遵循合法、正当、必要的原则，不得收集与工作无关的个人信息，所收集信息能够满足相关工作需要即可，避免超出范围收集、使用个人信息。明确收集、使用信息的目的、方式和范围，并经被收集者同意。

2.信息收集对象原则上仅限于我校师生和聘用人员本人。

3.各单位应指定专人进行信息的收集和管理，收集或掌握个人信息的人员要对本单位收集的个人信息安全保护负责，应采取严格的管理和技术防护措施，防止被窃取、被泄露。含有教职工和学生个人敏感信息的纸质文档应妥善保管。

4.各单位在使用第三方平台和服务进行信息收集时，应注意个人信息使用规则以及收集信息方式的安全性。

5.在各类信息公开、公示中，应严格限定个人信息的公布范围、内容及形式。对于应在校内范围公布的信息，可通过技术手段限定公开范围。个人信息中的敏感数据包括但不限于身份证号码、银行卡号、手机号码、家庭住址、家庭成员等，必须在有足够的必要性下才可公布，且公布的数据要进行必要的处理，如隐去部分或用星号代替部分位，不得直接公布完整数据。

6.收集的信息需经加密后进行存储或传递，不得在各类即时聊天工具（如微信、QQ）传递师生个人敏感信息，信息传递应使用较为安全的方式。

三、开展自查自纠工作

各单位、处室应积极开展自查，对本单位在发布消息和下达工作通知时（QQ群、微信群、网站）是否存在泄漏师生个人敏感信息的行为进行彻查，对已经下发的涉及个人敏感信息的文档和网页要立即整改，可撤销的立即撤销，不可撤销的要对相关信息进行处理后再进行传达与发布。

网络安全与信息化工作领导小组

2020年6月11日

附件一：个人信息和个人隐私信息相关定义

附件一：

个人信息和个人隐私信息相关定义

《信息安全技术个人信息安全规范》是全国信息安全标准化技术委员会2017年12月29日正式发布的规范，已于2018年5月1日实施，该规范对个人信息和个人隐私信息进行了定义。

 个人信息：以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。个人信息包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。

     个人敏感信息：一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。个人敏感信息包括身份证件号码、个人生物识别信息、银行账号、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14 岁以下（含）儿童的个人信息等。