陕西省教育厅:学校收集个人信息不得用于商业用途

2

各设区市教育局,杨凌示范区教育局、西咸新区教育卫体局,韩城市教育局,神木市、府谷县教育和体育局,各高等校园,厅属中等职业校园,厅属有关单位: 

近来,经中心领导赞同,公安部与中心网信办牵头,树立冲击损害公民利来国际w6611个人信息和数据安全违法犯罪长效机制。为增强各单位数据安全意识,进步全省教育系统的数据安全和个人信息维护才能,结合我省教育系统实践,现将进一步加强数据安全和个人信息维护的要求告诉如下。 

一、强化数据安全意识,执行数据安全和个人信息维护职责 

各单位应严厉依照《中华人民共和国网络安全法》《信息安全技术网络安全等级维护基本要求》等法律法规以及标准要求,充分认识数据安全和个人信息维护作业的重要性和紧迫性,强化数据安全和个人信息维护意识,严厉执行党委网络安全职责制,依照 谁主管谁担任、谁运维谁担任、谁运用谁担任 的准则清晰数据安全和个人信息维护职责人。 

二、展开数据安全自查,全面摸清底数 

各单位要对数据安全和个人信息维护进行一次全面完全排查。一方面,要排查信息系统网络安全危险和处理机制缝隙,剖析评价网络安全状况和防护水平,有针对性地采纳处理和技术防护办法,促进安全防备水平缓安全可控才能进步,防备和削减严重网络安全事情的产生。另一方面,要排查线下数据搜集、保存、传递、处理、运用、毁掉等环节中或许存在的数据安全危险点,特别是触及师生个人信息和隐私走漏的危险点,实在保证师生个人信息安全。 

各单位要严厉依照自查内容逐条排查,并及时整改发现的问题和危险危险,自查的主要内容包括: 

数据安全处理安排机构。查看是否树立了与本单位数据安全和个人信息维护使命相适应的安全处理安排机构,安全处理人员构成是否合理,安全训练是否到位,职责岗位区分是否清晰。 

数据全生命周期处理状况。单位是否依照《中华人民共和国网络安全法》《儿童个人信息网络维护规则》的要求,搜集必要数据和个人信息。不管线上线下方法,但凡搜集儿童个人信息的,是否奉告监护人,并征得监护人赞同。数据搜集是否严厉遵从最小规模准则。是否严厉操控数据在搜集、存储、传递、处理、运用、毁掉等各环节中的知悉规模。 

网络安全相关存案处理状况。查看网站是否在全国互联网安全处理服务渠道处理了网站存案,网站是否悬挂存案图标和存案号。查看重要信息系统是否按等级维护相关规则进行了自查和定级,是否在公安网安部分处理了等级维护存案,是否按等级维护要求展开了相关测评和整改作业。 

网络安全处理准则拟定和施行状况。查看网络安全相关人员处理、机房处理、设备处理、介质处理、运维处理、服务外包等处理准则的建造状况,以及相关处理准则的监督保证和运转状况。 

网络安全技术办法执行状况。查看是否采纳了全体网络安全防备技术办法。要点查看身份认证、拜访操控、日志留存、数据加密、安全审计和防篡改、防病毒、防进犯、防泄密等技术办法的有用性,信息系统是否存在安全缝隙,以及电脑、移动存储设备、电子文档的安全防护办法。 

线下数据安全和个人信息维护状况。查看线下数据搜集、保存、传递、处理、运用、毁掉等环节中是否存在危险点,是否执行了实在有用的维护准则,根绝不合法运用、供给、出售师生个人信息的行为。 

三、强化数据信息全生命周期处理,实在做好线上线下安全防护 各单位应实在加强数据在搜集、存储、传输、处理、运用、同享、毁掉等全生命周期的安全防护,谨防信息走漏。实施主要领导担任制,清晰专门部分、专门人员担任数据安全和个人信息维护,保证运用系统处理和线下数据安全职责执行到人,特别是触及招生、教务、财政、人事、学生等信息的处理。信息系统需强化口令操控、病毒扫描、缝隙补丁等根底安全办法,保证各类硬件设备安全可控。对信息系统的操作行为进行身份标识、口令约束、拜访操控和操作处理审计。安排专人处理信息系统所触及的数据信息,标准各类处理人员对数据库处理操作,加强数据操作记载审计和追溯,防止数据信息走漏。 

要点注意事项如下: 

严厉操控身份证号、电话号码、家庭住址等个人灵敏信息搜集,准则上不搜集未成年人的人脸、指纹等生物辨认信息。

制止经过公共邮箱和微信、QQ等公共即时通讯东西传递非涉密重要数据。地市级及以上规模的重要数据,或触及10万人以上的个人信息,不得经过公共互联网传递。     

各单位各校园搜集产生的重要数据和个人信息,不得用于商业用途,未经搜集数据的赞同部分赞同,不能与第三方同享。     

因阶段性作业搜集产生的重要数据和个人信息,在相应作业完毕后,相关数据准则上不能保存。   

制止发布包括个人数据和灵敏信息的内容。   

要加强对各类账号和暗码的处理,定时替换暗码、根绝弱口令。

各单位自建的事务信息系统要及时打补丁和封堵缝隙。   

加强对移动存储介质和笔记本电脑的处理,采纳有用办法防备因失窃而形成的个人数据和灵敏信息走漏。 

四、完善作业机制,进步数据安全事情应急处理才能 

各单位应进一步完善网络安全应急预案,加强应急技术支撑部队、灾祸备份与康复才能建造,技术和机要部分要树立健全数据安全监控系统,加强对网络危险的日常监测,保证对网络安全事情做到快速察觉、快速反应、及时处理、及时康复。 各单位应进一步标准线下个人信息搜集、保存、传递、处理、运用、毁掉等环节的相关作业,加强师生个人信息维护,执行数据安全职责,防止师生个人信息走漏。 关于产生数据走漏事情的,应依照《陕西省教育系统网络安全事情应急预案》的要求及时报送相关部分,并妥善处置,将影响降到最低。 

五、加强宣扬训练,进步数据安全和个人信息维护才能 

要活跃安排形式多样、针对性强的全员宣扬教育,增强师生数据安全和个人信息维护意识,遍及专业知识,进步防备技术,在遵从合法、合理、必要准则的根底上,促进树立健全搜集、运用个人信息的标准准则,防止侵略公民个人信息及隐私,防止形成经济损失和负面社会影响。一起,各单位应加强信息系统处理人员的专业训练,依照要求参与省教育厅安排的网络信息安全专业技术人员教育训练,并结合实践制定本单位的训练方案,保证训练作业不漏一人,落到实处。 

陕西省教育厅办公室

2020年6月8日