BOB最新官方网站(中国)BOB有限公司个人信息安全管理制度

一、总则

第一条 为了保护BOB最新官方网站(中国)BOB有限公司网络师生员工的合法权益，维护网络信息安全，根据《全国人民代表大会常务委员会关于加强网络信息保护的决定》、《个人信息安全规范》和《互联网信息服务管理办法》等法律、行政法规，制定本规定。

第二条 在BOB最新官方网站(中国)BOB有限公司提供的互联网信息服务过程中收集、使用师生员工个人信息的活动，适用本规定。

第三条 BOB最新官方网站(中国)BOB有限公司依法依规对本单位的互联网师生员工个人信息保护工作实施监督管理。

第四条 本规定所称个人信息，是指BOB最新官方网站(中国)BOB有限公司在提供互联网服务的过程中收集的师生员工姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别师生员工的信息以及师生员工使用服务的时间、地点等信息。

第五条 BOB最新官方网站(中国)BOB有限公司在提供互联网服务的过程中收集、使用师生员工个人信息，应当遵循合法、正当、必要的原则。

第六条 BOB最新官方网站(中国)BOB有限公司对其在提供互联网服务过程中收集、使用的师生员工个人信息的安全负责。

二、个人信息安全基本原则：

第七条 权责一致原则——对其个人信息处理活动对个人信息主体合法权益造成的损害承担责任。

第八条 目的明确原则——具有合法、正当、必要、明确的个人信息处理目的。

第九条 选择同意原则——向个人信息主体明示个人信息处理目的、方式、范围、规则等，征求其授权同意。

第十条 最少够用原则——除与个人信息主体另有约定外，只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量。目的达成后，应及时根据约定删除个人信息。

第十一条 公开透明原则——以明确、易懂和合理的方式公开处理个人信息的范围、目的、规则等，并接受外部监督。

第十二条 确保安全原则——具备与所面临的安全风险相匹配的安全能力，并采取足够的管理措施和技术手段，保护个人信息的保密性、完整性、可用性。

第十三条 主体参与原则——向个人信息主体提供能够访问、更正、删除其个人信息，以及撤回同意、注销账户等方法。

三、信息收集和使用规范

第十四条 未经师生员工同意，不得收集、使用师生员工个人信息。收集、使用师生员工个人信息的，应当明确告知师生员工收集、使用信息的目的、方式和范围，查询、更正信息的渠道以及拒绝提供信息的后果等事项。信息服务提供者不得收集其提供服务所必需以外的师生员工个人信息或者将信息用于提供服务之外的目的，不得以欺骗、误导或者强迫等方式或者违反法律、行政法规以及双方的约定收集、使用信息。在师生员工终止使用互联网信息服务后，应当停止对师生员工个人信息的收集和使用，并为师生员工提供注销账号的服务并进行匿名化处理。

第十五条 BOB最新官方网站(中国)BOB有限公司及其工作人员对在提供服务过程中收集、使用的师生员工个人信息应当严格保密，不得泄露、篡改或者毁损，不得出售或非法向他人提供。

第十六条 BOB最新官方网站(中国)BOB有限公司委托他人代理直接面向师生员工的服务性工作，涉及收集、使用师生员工个人信息的，应当对代理人的师生员工个人信息保护工作进行监督和管理，不得委托不符合本规定有关师生员工个人信息保护要求的代理人代办相关服务。

第十七条 BOB最新官方网站(中国)BOB有限公司应当建立师生员工投诉处理机制，公布有效的联系方式，接受与师生员工个人信息保护有关的投诉，并自接到投诉之日起七个工作日内答复投诉人。

四、安全保障措施

第十八条 BOB最新官方网站(中国)BOB有限公司应当采取以下措施防止师生员工个人信息泄露、毁损、篡改或者丢失：

1、确定各部门、岗位和相关单位的师生员工个人信息安全管理责任；明确其主要负责人对个人信息安全负全面领导责任，包括为个人信息安全工作提供人力、财力、物力保障等；应任命个人信息保护负责人和个人信息保护工作机构，个人信息保护负责人和个人信息保护工作机构应履行的职责包括但不限于：

（1）全面统筹实施组织内部的个人信息安全工作，个人信息安全负直接责任；

（2）制定、签发、实施、定期更新隐私政策和相关规程；应建立、维护和更新组织所持有的个人信息清单（包括个人信息的类型、数量、来源、接收方等）和授权访问策略；

（3）开展个人信息安全影响评估；

（4）组织开展个人信息安全培训；

（5）在服务上线发布前进行检测，避免未知的个人信息收集、使用、共享等处理行为；

（6）进行安全审计。

2、建立师生员工个人信息收集、使用及其相关活动的工作流程和安全管理审批制度；

3、对工作人员及代理人实行权限管理，对批量导出、复制、销毁信息实行审查，并采取防泄密措施；

4、妥善保管记录师生员工个人信息的纸介质、光介质、电磁介质等载体，并采取相应的安全储存措施；

5、对储存师生员工个人信息的信息系统实行接入审查，并采取防入侵、防病毒等措施；

6、记录对师生员工个人信息进行操作的人员、时间、地点、事项等信息；

7、按照行业个人信息安全管理机构的规定开展通信网络安全防护工作；

第十九条 开展个人信息安全影响评估。

1、建立个人信息安全影响评估制度，定期（至少每年一次）开展个人信息安全影响评估；

2、个人信息安全影响评估应主要评估处理活动遵循个人信息安全基本原则的情况，以及个人信息处理活动对个人信息主体合法权益的影响，内容包括但不限于：

（1）个人信息收集环节是否遵循目的明确、选择同意、最少够用等原则；

（2）个人信息处理是否可能对个人信息主体合法权益造成不利影响，包括处理是否会危害人身和财产安全、损害个人名誉和身心健康、导致歧视性待遇等；

（3）个人信息安全措施的有效性；

（4）匿名化或去标识化处理后的数据集重新识别出个人信息主体的风险；

（5）共享、转让、公开披露个人信息对个人信息主体合法权益可能产生的不利影响；

（6）如发生安全事件，对个人信息主体合法权益可能产生的不利影响。

3、在法律法规有新的要求时，或在业务模式、信息系统、运行环境发生重大变更时，或发生重大个人信息安全事件时，应重新进行个人信息安全影响评估；

4、形成个人信息安全影响评估报告，并以此采取保护个人信息主体的措施，使风险降低到可接受的水平；

5、妥善留存个人信息安全影响评估报告，确保可供相关方查阅，并以适宜的形式对外公开。

第二十条 BOB最新官方网站(中国)BOB有限公司保管的师生员工个人信息发生或者可能发生泄露、毁损、丢失的，应当立即采取补救措施；造成或者可能造成严重后果的，应当立即向准予其许可或者备案的网信管理机构报告，配合相关部门进行的调查处理。

第二十一条 BOB最新官方网站(中国)BOB有限公司应当对其工作人员进行师生员工个人信息保护相关知识、技能和安全责任培训：

1、应与从事个人信息处理岗位上的相关人员签署保密协议，对大量接触个人敏感信息的人员进行背景审查；

2、应明确内部涉及个人信息处理不同岗位的安全职责，以及发生安全事件的处罚机制；

3、应要求个人信息处理岗位上的相关人员在调离岗位或终止劳动合同时，继续履行保密义务；

4、应明确可能访问个人信息的外部服务人员应遵守的个人信息安全要求，与其签署保密协议，并进行监督；

5、应定期（至少每年一次）或在隐私政策发生重大变化时，对个人信息处理岗位上的相关人员开展个人信息安全专业化培训和考核，确保相关人员熟练掌握隐私政策和相关规程。

第二十二条 安全审计

对个人信息控制者的要求包括：

1、应对隐私政策和相关规程，以及安全措施的有效性进行审计；

2、应建立自动化审计系统，监测记录个人信息处理活动；

3、审计过程形成的记录应能对安全事件的处置、应急响应和事后调查提供支撑；

4、防止非授权访问、篡改或删除审计记录；

5、应及时处理审计过程中发现的个人信息违规使用、滥用等情况。

第二十三条 BOB最新官方网站(中国)BOB有限公司应当对师生员工个人信息保护情况每年至少进行一次自查，记录自查情况，及时消除自查中发现的安全隐患。

五、监督检查

第二十四条 网信管理机构应当对BOB最新官方网站(中国)BOB有限公司保护师生员工个人信息的情况实施监督检查。网信管理机构实施监督检查时，可以要求BOB最新官方网站(中国)BOB有限公司提供相关材料，BOB最新官方网站(中国)BOB有限公司应当予以配合。

第二十五条 网信管理机构及其工作人员对在履行职责中知悉的师生员工个人信息应当予以保密，不得泄露、篡改或者毁损，不得出售或者非法向他人提供。

六、法律责任

第二十六条 BOB最新官方网站(中国)BOB有限公司违反本规定第七条、第十一条规定的，由网信管理机构依据职权责令限期改正，予以警告。

第二十七条 BOB最新官方网站(中国)BOB有限公司违反本规定第八条至第十条、第十二条至第十五条、第十六条规定的，由网信管理机构依据职权责令限期改正，予以警告，情节严重的，追究法律责任。

第二十八条 网信管理机构工作人员在对师生员工个人信息保护工作实施监督管理的过程中滥用职权、徇私舞弊，情节严重的，追究法律责任。