一、总则

目的：为规范学校个人信息收集、使用及保护行为，保障师生及其他个人信息主体的合法权益，根据相关法律法规及标准，特制定本规则。

适用范围：本规则适用于学校所有涉及个人信息收集、存储、使用、传输、披露及删除等活动的部门及个人。

二、个人信息收集

合法正当原则：学校收集个人信息应遵循合法、正当、必要的原则，不得收集与业务无关的个人信息。

明示同意：在收集个人信息前，应通过书面或在线方式明示收集信息的目的、方式、范围及使用规则。取得个人信息主体的单独同意或书面同意，确保信息收集的合法性和合规性。

敏感信息保护：收集人脸信息、身份证号、银行账号等敏感个人信息时，应采取额外的安全措施，如加密存储、访问控制等。敏感个人信息的收集应获得个人信息主体的明确授权，并记录授权过程。

三、个人信息使用

目的限制：学校使用个人信息应仅限于收集时明示的目的，未经个人信息主体同意，不得用于其他目的。

数据共享与披露：学校内部部门间共享个人信息时，应确保接收方同样遵守个人信息保护规定。向第三方披露个人信息时，应签订保密协议，并确保第三方具备足够的数据保护能力。

数据安全：学校应采取技术措施和管理措施，确保个人信息在存储、传输、使用过程中的安全性。定期对个人信息处理系统进行安全评估，及时发现并修复安全漏洞。

四、个人信息主体权利

知情权：个人信息主体有权了解学校收集、使用其个人信息的情况，包括收集目的、方式、范围等。

访问权：个人信息主体有权访问学校存储的其个人信息，并要求学校提供信息副本。

更正与删除权：个人信息主体发现学校存储的其个人信息有误时，有权要求学校更正。在符合法律法规规定的情况下，个人信息主体有权要求学校删除其个人信息。

五、监督与责任

内部监督：学校应设立个人信息保护监督机构，负责监督个人信息收集、使用及保护活动的合规性。

违规处理：对于违反本规则的行为，学校将依据内部规定进行严肃处理，并承担相应的法律责任。

六、附则

本规则将根据法律法规变化及学校实际情况进行适时更新。

本规则自发布之日起生效，并作为学校个人信息收集、使用及保护工作的基本准则。

学校将严格遵守本规则，切实保障个人信息主体的合法权益，维护校园信息安全。

合肥职业技术学院

2025年11月1日