校内各单位：

近期，有媒体连续报道个别单位在公示相关信息时，公布了包含个人完整的身份证号码、银行卡号、手机号码、生日日期等个人信息。按照国家网络安全相关法律规定，此类行为属泄露个人信息行为，涉嫌违法。为此，网信中心对校内网站进行了检测，发现校内个别网站也存在上述问题，且有部分问题已经被上级相关部门通报，网信中心已经根据情况向相关二级单位发出了整改通知。为保护校内广大师生个人信息安全，加强个人信息数据管理，避免违法违规的情况出现，现将有关要求通知如下：

1、切实提高个人信息安全保护意识

今年6月1日开始施行的网络安全法中规定网络运营者对个人信息的保护义务、保护制度的建设、收集使用的规则等，明文规定禁止非法获取、买卖、提供个人信息。刑法修正案（九）中也规定违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，属刑事犯罪。近期教育部也发出安全预警，要求注意各类公示中个人信息的保护。请校内各单位认真学习相关法律法规要求，提高各信息系统管理员、信息发布员的个人信息安全保护意识，在信息化工作中切实重视和落实个人信息安全保护工作。

2、严格控制个人信息的收集及使用，加强个人信息管理、发布与安全保护

对于个人信息的收集、使用应当遵循合法、正当、必要的原则，不得收集与工作无关的个人信息，避免超出范围收集、使用个人信息。明确收集、使用信息的目的、方式和范围，并经被收集者同意。各单位对于收集、使用的个人信息应采集必要措施确保数据安全，防止信息泄露、损毁和丢失，未经本人同意不得向他人提供个人信息。

在各类信息公开、公示中，应严格限定个人信息的公布范围、内容及形式。对于应在校内范围公布的信息，可通过技术手段限定公开范围，如使用校园门户的校内公示、校内通知、部门内通知等分别在不同范围内发布信息。个人信息中的敏感数据包括但不限于身份证号码、银行卡号、手机号码、家庭住址、家庭成员等，必须在有足够的必要性下才可公布，且公布的数据要进行适当的处理，如隐去部分或用星号代替部分位，不得直接公布完整数据。

3、开展信息系统和网站中旧数据的清查工作

各单位应积极展开自查，对本单位信息系统及网站中相关的个人信息进行彻查，包括Web页面内容及附件内容，对涉及个人敏感信息泄露的内容应立即整改，可撤销的撤销，不可撤销的对相关信息要进行处理后重新发布。

网信中心也将进一步开展相关检测工作，对于发现的个人信息泄露问题将向相关单位发布整改通知，请各单位积极配合，及时处理相关问题，对于未能按要求及时整改的信息系统，网信中心将采取临时断网措施，以免负面影响进一步扩大。

网络与信息安全工作组

2017年11月24日