第一章 总则

第一条 为保护自然人个人信息权益，规范个人信息处理活动，促进个人信息合理利用，根据《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）及相关法律法规，结合人大附中实际情况，特制定本办法。

第二条 本办法适用于人大附中在教育教学、管理服务、科研合作等活动中收集、存储、使用、加工、传输、提供、公开等处理个人信息的全过程。

第三条 个人信息处理应当遵循合法、正当、必要和诚信原则，不得通过误导、欺诈、胁迫等方式处理个人信息；公开个人信息应当合理处理个人信息的保护与个人信息合理利用之间的关系，遵循合法、正当、必要原则，不得超出合理界限。

第四条 各部门应高度重视个人信息保护，建立健全个人信息保护责任制，明确各级管理人员、教职员工在处理个人信息中的职责和权限，确保个人信息处理活动合法、安全。

第二章 个人信息处理规则

第五条 各部门收集个人信息应当限于实现处理目的的最小范围，不得过度收集个人信息。收集个人信息时，应当明示收集、使用信息的目的、方式和范围，并经个人信息主体同意。

第六条 个人信息处理应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。

第七条 除法律、行政法规另有规定外，处理个人信息应当征得该自然人或者其监护人同意，但是处理个人自行公开或者其他已经合法公开的个人信息除外。

第八条 各部门应当建立个人信息处理记录制度，记录个人信息处理的目的、方式、种类、数量、存储期限等，并按照规定进行保存备查。

第九条 个人信息应当采用安全加密技术存储，防止信息泄露、毁损、丢失。存储个人信息的介质、设备应当符合国家相关安全标准，并定期进行安全检查和维护。

第十条 个人信息的使用应当遵循目的明确、范围适当、方式合理、期限必要的原则。未经个人信息主体同意，不得擅自更改或向第三方提供个人信息，但法律、法规另有规定的除外。

第三章 个人信息安全保障

第十一条 各部门应当建立健全个人信息安全保障机制，明确安全责任人，加强个人信息保护宣传教育，提高教职工及学生的个人信息保护意识。

第十二条 各部门个人信息处理系统应当符合国家网络安全等级保护制度的要求，采取技术措施和其他必要措施，确保其收集、存储的个人信息安全，防止信息泄露、篡改、丢失。

第十三条 各部门个人信息处理系统应当主动邀请信息中心吧定期进行安全风险评估，及时发现并整改安全隐患。对于可能发生的个人信息泄露、毁损、丢失等安全事件，应当立即启动应急预案，采取补救措施，并向有关主管部门报告。

第十四条 一旦发生个人信息泄露事件，各部门应当迅速响应，及时查明泄露原因，评估泄露影响，并采取必要的补救措施，防止事态扩大。

第四章 个人信息跨境提供

第十五条 个人信息处理者向境外提供个人信息的，应当符合法律、行政法规的规定，并采取必要的安全保障措施，确保个人信息在境外接收方同样受到保护。

第十六条 个人信息处理者向境外提供个人信息前，应当评估境外接收方所在国家或者地区的个人信息保护政策和法规对个人信息权益保护的标准和保护水平是否达到中华人民共和国法律、行政法规的规定和强制性国家标准的要求；依法应当经有关主管部门批准或者备案的，应当履行相关手续。

第五章 个人权利保障

第十七条 个人信息主体享有知情权、决定权、查询权、更正权、删除权等权利。

第十八条 个人信息主体有权要求对其个人信息处理活动进行解释说明，并有权拒绝与其无关或者违反法律法规的个人信息处理请求。

第十九条 个人信息主体发现其个人信息不准确或者不完整的，有权请求更正和补充。个人信息处理者应当核查其请求的合理性，并及时予以更正、补充。

第二十条 个人信息主体发现其个人信息被非法收集、使用、加工、传输、提供、公开的，有权向学校投诉、举报，并要求删除相关信息。相关部门应当及时受理并处理相关投诉、举报，采取必要措施保护个人信息主体的合法权益。

第六章 监督与责任

第二十一条 各部门应当建立健全个人信息保护监督机制，对个人信息处理活动进行日常监督和定期检查，确保个人信息处理活动合法、安全。

第二十二条 对于违反本办法规定，侵害个人信息主体合法权益的，应当依法承担民事责任；构成犯罪的，依法追究刑事责任。

第二十三条 教职工在个人信息处理活动中违反本办法规定，造成个人信息泄露、毁损、丢失等严重后果的，学校将依法依规追究其责任；构成犯罪的，移送司法机关处理。

第七章 附则

第二十四条 本办法由人大附中安全管理工作领导小组负责解释和修订。

第二十五条 本办法自发布之日起施行。如与国家法律、行政法规及上级部门规定相抵触的，以国家法律、行政法规及上级部门规定为准。

2024年9月12日

星期四