打开微信扫一扫
第一条 为适应学校数字校园建设要求,推进数据治理,消除数据孤岛,提升数据价值,确保数据安全特别是学校重要数据和师生个人信息安全,以数据驱动数字赋能支撑学校现代化发展,根据《中华人民共和国民法典》《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》和教育部《高等学校数字校园建设规范》《关于加强教育系统数据安全工作的通知》等国家法律法规和文件精神,特对2018年制定《西南财经大学数据管理办法(试行)》进行修订。
第二条 本办法旨在按照现代化、高质量、新财经、双一流的学校现代化建设目标,依法建立学校数据资产管理与安全保护体系,构建学校数据资产目录和数据标准,明确数据资产管理与安全保护责任,规范数据授权使用,指导开展数据治理,以数据驱动支撑学校发展,以数字赋能牵引学校治理体系和治理能力现代化。
第二章 组织机构
第三条 学校网络安全和信息化工作领导小组办公室(以下简称“网信办”)负责对全校范围的数据资产进行统一管理、标准编制和安全保护。具体工作包括:制定学校数据编码标准和数据共享规则;制定和完善数据采集规范和管理技术,为学校数据共享、数据服务和决策分析提供服务保障;为各部门数据管理工作提供业务指导与技术支撑;统筹制定和发布数据责任清单、数据需求清单、数据负面清单和数据资产目录。
第四条 信息与教育技术中心(以下简称“信息中心”)在网信办领导下建设校级数据交换平台、数据治理技术、数据存储和灾备以及大数据应用平台,保障平台和技术的正常运行;支撑信息系统向共享数据中心的数据集成,通过共享数据中心向业务部门提供统一的访问授权和数据服务,提供数据访问控制、日志审计等安全防护措施,保障数据的存储安全和使用安全。
第五条 学校各部门按照“谁主管谁负责,谁运营谁负责、谁使用谁负责”的原则,负责本部门数据资产的生产、维护、存储、归档和备份的全生命周期管理,落实学校公共数据资产使用的安全保护义务,共同承担数据安全特别是保护师生个人信息安全的责任。各部门主要负责人为数据安全管理第一责任人。
第三章 数据资产
第六条 本办法中的数据资产是指西南财经大学内部各类信息系统所涉及的相关数据,包括各类应用系统中的配置信息、业务数据、教学资源、档案资料和业务运行过程中产生的过程形成性数据等数字信息。
第七条 本办法中的数据资产管理是指各项业务过程中与数据的收集、存储、加工、使用、提供、交易、公开等数据活动相关联的数据资产形成、使用、保存等管理工作,包括与数据资产相关的标准建立、质量控制、共享交换、合规使用、规章制定等事项。
第八条 数据资产管理原则
(一)数据资产全生命周期管理原则。建立健全覆盖数据收集、传输存储、使用处理、开放共享等全生命周期的常态管理和安全保护制度。
(二)安全共享原则。以数据安全为前提,实现数据与信息的共享、应用以及衍生服务,为学校管理服务提供决策支持。
第九条 数据资产管理目标
(一)保障数据完整准确:实行数据质量核查审计机制,保障数据在各个环节的规范性、完整性和准确性。
(二)保证数据安全可靠:建立数据资产的分级管理与备份、容灾机制;明确数据的所有权和管理权限,建立数据更改溯源机制;根据国家、教育部和学校的相关要求,做好数据保密工作。
(三)提升数据服务质量:全面提升数据价值和提高数据服务水平,充分发挥数据资产在学校发展中的重要战略作用。
第四章 数据责任
第十条 数据活动各环节的关联单位承担响应的数据责任,包括但不限于生产、维护、授权、使用、存储等数据活动中应遵循“最小必要”采集、”最短周期”存储和“只用不存”的数据安全责任。
第十一条 数据生产是指通过数字化手段采集或业务运行过程中伴生性产生数据的过程。依照“一数一源”和“谁生产,谁主管”原则确定数据资产生产部门。数据资产生产部门是数据资产唯一来源和归口管理部门,其他部门不得生产或修改同一数据。数据资产生产部门负责数据资产全生命周期管理,包括生产、维护、发布、备份、删除和归档。在数据资产生产过程中遵循“最小必要”原则,严格按照业务需要和职能边界确定数据收集使用范围,不得重复收集数据。
第十二条 使用其他部门或学校公共数据的单位为数据资产使用部门,负责提出数据资产使用需求、申请数据资产支撑服务。数据资产使用部门应遵循“只用不存”原则使用数据,不得超出数据资产使用申请范围使用数据。未经数据资产生产部门授权,不得将获取的数据拷贝给其他部门或个人,不得将数据下载到本地设备并长期保留,本地设备包括但不限于办公电脑、个人电脑、单位或个人的U盘、移动设备等设备。
第十三条 网信办负责统筹学校公共数据的数据资产、数据责任和数据负面清单编制,负责学校数据辞典和数据资产表的编制。网信办协调相关单位开展数据治理,落实数据责任,按照“一数一源”原则将各业务部门的专用数据纳入学校校级数据中心统一存储,统一备份。保密数据和国家法律法规规定的重要数据除外。
第十四条 信息中心负责校级统一数据中心和数据资产交换平台的建设与运维管理,对重复采集、违规下载、违反负面清单使用等数据活动进行审计,提供统一的访问接口和数据服务,提供数据异地灾备条件和系统,确保数据的存储和使用安全。
第五章 数据治理
第十五条 数据资产的生产、使用、共享和安全管理等工作在统筹管理、统一标准的基础上开展。数据的标准及管理应符合国家、教育部、学校等制定的相关标准和规范。
第十六条 数据资产按照“一数一源”原则进行归口管理,明确数据生产部门对数据项的管理责任,不得多头收集。
第十七条 校级统一数据中心依托数据资产交换平台按“应汇尽汇”原则归集应用数据。信息系统归口管理部门应在信息系统立项建设时同步规划、同步实施数据共享,上线前向网信办提交数据字典,提供数据共享传递接口,配合校级数据中心元数据库和公共数据库建设。
第十八条 数据生产部门应对数据管理各环节实施精确管理,建立数据质量检查纠错机制,把控数据质量,遵循和落实各级数据编码规则,确保数据的真实性、完整性、规范性、准确性和时效性。
第十九条 网信办统筹和指导信息系统归口管理部门进行三清单(数据责任清单、数据负面清单、数据需求清单)建设,维护和发布公共数据资源目录。
第二十条 数据生产部门在变更数据结构时,须提前五个工作日向网信办提供数据结构变更说明。网信办根据说明更新数据资源目录及数据接口,通知数据使用部门根据变更进行调整,保证数据的一致性,避免数据混乱及服务异常。
第六章 数据共享
第二十一条 公共数据共享由网信办统筹管理,遵循“统筹协调、统一标准、需求导向、保障安全”的原则,信息中心负责提供公共数据共享服务技术支持。
第二十二条 数据使用部门制定数据需求清单,并通过OA系统填报《校内公共数据共享传递单》进行申请。申请包括数据用途、使用范围、使用方式、数据字段、使用期限、数据安全责任人、经办人等关键信息。由数据生产部门从数据使用角度、数据传递部门(信息中心)从数据安全角度进行审批。清单中已列入共享数据资源目录的数据,由信息中心通过数据交换平台进行在线数据提供;未在共享数据资源目录中的数据,由数据生产部门向学校数据中心补充提供,数据生产部门不再向数据使用部门直接提供数据。
第二十三条 数据使用单位须签订《西南财经大学数据使用及保密承诺书》,数据共享使用仅限于申请审批的事项,不得超出数据使用申请范围使用数据。未经网信办审批,严禁将学校数据与校外系统进行交换。
第二十四条 信息系统应通过在线接口和“用而不存”的方式使用共享数据。未经网信办授权不得直接或间接改变数据形式等方式转给第三方,也不得用于或变相用于其他目的,不得擅自发布所获取的共享信息。
第七章 数据安全与审计
第二十五条 本办法中的数据安全是指通过采取必要措施,保障数据得到有效保护和合法利用,并持续处于安全状态的能力。网信办负责数据安全与审计的统筹规划,信息中心提供数据安全与审计服务的技术支持。
第二十六条 数据须存储在校园网内本地服务器或私有云平台。确因技术原因或工作需要需存储在校外服务器或公有云上的,由业务管理部门向网信办申请,提供数据存储在外网的必要性说明、运营商数据安全资质、与运营商签订的安全保密协议进行备案,网信办组织校内专家通过“一事一议”审核通过后方可实施。
第二十七条 数据存储应遵循“最短周期”原则,存储期限应当为实现处理目的的所必要最短时间,超过期限的数据应及时进行归档或销毁。
第二十八条 确因工作需要进行线下交换或保存数据,应获得网信办、数据生产部门及本部门主要负责人同意,明确数据使用责任人,确保数据存储安全,并在工作处理完成后及时归档或删除销毁。
第二十九条 信息中心负责数据中心数据库的存储、备份、容灾和恢复等管理工作,保障数据的完整性和安全性。
第三十条 托管到学校云平台并委托信息中心进行维护的信息系统数据库,由信息中心负责数据的存储、备份和安全防护。未托管或委托的由信息系统管理部门自行负责数据的存储、备份、归档和安全防护。
第三十一条 信息系统应按照“最小必要”原则明确数据录入、查看、修改和删除等权限,实现数据管理、使用和安全审计的权限分离。
第三十二条 信息系统应详细记录数据查询、录入、修改、删除和导出等操作,相关日志保留时间不少于六个月。
第三十三条 信息中心负责校级数据库审计平台建设和维护。信息系统归口管理部门应将系统数据库接入数据库审计平台进行统一审计。网信办定期发布数据库审计报告;对于违反审计规则的行为,由网信办通知相应部门进行处理。
第八章 个人信息保护
第三十四条 个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。
第三十五条 面向师生、家长处理个人信息应当遵循合法、正当、必要和诚信原则。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。处理个人信息应当遵循公开、透明原则,公开收集使用规则,明示收集使用目的、方式、范围和存储期限,并经个人信息主体同意或者符合其他法定条件的情况下后方可实施。相应处理规则发生变更的,应当重新取得个人同意。
第三十六条 利用个人信息进行自动化决策,应当保证决策的透明度和处理结果的公平、公正,不得对个人实行不合理的差别待遇。
第三十七条 存储和传输个人信息须采取加密措施,公开个人信息应采取去标识化处理。发生或者可能发生个人信息泄露、篡改、丢失的,应当立即采取补救措施。
第三十八条 处理敏感个人信息,包括宗教信仰、生物识别、特定身份、医疗健康、金融账号、行踪轨迹等,应当坚持合法、必要与合理原则,并采取严格保护措施。若确需收集敏感个人信息的,需对必要性、科学性、伦理性进行论证,并经网信办审批同意后方可实施。实施时应取得个人信息主体的单独同意或符合其他法定条件,告知使用敏感个人信息的必要性以及对个人权益的影响;所获取的敏感个人信息仅限于通过审批的用途,不得公开或向他人提供。
第九章 附则
第三十九条 本办法由网信办负责解释。
第四十条 本办法经自印发之日起施行。