知了云校园

# 关于知了

知了云校园是我们对大数据现代化校园生活的想象,团队对知了的将一切能给予校园的功能,进行了丰富的畅想和合理的约束。

我们依照国家相关标准指导,制定了严格的标准,希望规范化系统的开发和使用原则。

修订日期 生效日期 修订人 版本
2022-08-23 2023-2-21 刘宗禹 v0.0.1

# 1 说明

本文中的业务规范依照以下中华人民共和国国家标准

  • GB/T 41479-2022 《信息安全技术 网络数据处理安全要求》
  • GB/T 35273-2020 《信息安全技术 个人信息安全规范》
  • GB/T 40660-2021 《信息安全技术 生物特征识别信息保护基本要求》
  • GB/T 25069-2022 《信息安全技术 术语》
  • GB/T 40685-2021 《信息安全服务 数据资产 管理要求》
  • GB/T 38156-2019 《重要产品追溯 交易记录总体要求》

本规范依照国家标准结合知了云校园平台(后简称平台)的实际业务情况制定,规定了开展收集、储存、使用、转让、删除等个人信息处理的原则和安全要求.

如有任何错误或遗漏或国标更新的情况,以国家标准和《中华人民共和国宪法》以及国家其他相关法律法规为准。

上述所有标准 均可在 国家标准全文公开 (opens new window) 系统中查询核对

# 2 术语和定义

# 2.1 个人信息

能够单独或与其他信息结合识别特定自然人身份或反应特定自然人活动情况的各种信息

  • 姓名、出生日期、身份证件号码、个人生物识别信息、住址、联系方式、通信记录
  • 账号密码、财产信息、交易信息、住宿信息、行踪轨迹
  • 健康信息、征信信息

个人信息控制着通过个人信息或其他信息加工处理后形成的信息,例如用户画像或特征标签,能够单独或者与其他信息结合识别特定自然人身份或者反应特定自然人活动情况的,属于个人信息

# 2.2 个人敏感信息

在个人信息的基础上,一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息

  • 身份证件号码、个人生物识别信息
  • 银行账号、财产信息、交易信息
  • 通信记录和内容
  • 行踪轨迹、住宿信息
  • 健康生理信息
  • 14岁以下儿童个人信息*

是指通过个人信息或其他信息加工处理后形成的信息,如一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的,属于个人敏感信息

# 2.3 个人信息主体、个人信息控制者

个人信息主体指用户,个人信息控制者指校方和平台

# 2.4 收集

获得个人信息控制权的行为

  • 包括由个人信息主体提供、通过与个人信息主体交互或记录个人信息主体行为等自动采集行为,以及通过共享、转让等间接获取个人信息等行为

# 2.5 明示同意

个人信息主体通过书面、口头等方式主动做出纸质或电子形式的声明,或者自主做出肯定性的动作,对其个人信息进行特定处理做出明确授权的行为

  • 肯定性动作包括个人信息主体主动勾选、主动点击“同意” “注册” “发送” “拨打”、主动填写或提供等

# 2.6 授权同意

个人信息主体对其个人信息进行特定处理做出明确授权行为

  • 包括通过积极的行为做出授权(即明示同意)或通过消极的不作为而做出授权(如信息采集区域内的个人信息主体在被告知信息收集行为后没有离开该区域)

# 2.7 转让

将个人信息控制权由一个控制者向另一个控制者转移的过程

# 2.8 共享

平台和校方向其他控制着提供个人信息,且双方分别对个人信息拥有独立控制权的过程

# 3 个人信息基本原则

平台和校方开展个人信息处理时应遵循合法、正当、必要的原则,具体包括:

  • 权责一致
    • 采取技术和其他必要的措施保证个人信息的安全,对用户个人信息处理活动对个人信息主体合法权益造成的损害承担责任
  • 明确同意
    • 具有明确、清晰、具体的个人信息使用目的
  • 最小必要
    • 只处理满足个人信息主体授权同意的目的所需要的最少个人信息类型和数量。
    • 目的达成后,应及时删除不必要的数据残余
  • 公开透明
    • 以明确、易懂和合理的方式公开处理个人信息的范围、目的、规则等,并接受外部监督
  • 确保安全
    • 具备与所面临的安全风险相匹配的安全能力,并采取足够的管理措施和技术手段保护个人信息的保密性、完整性、可用性。
  • 主体参与
    • 向个人信息主体提供能够查询、更正、删除其个人信息。以及撤回授权同意、注销账户、投诉等方法

# 4 收集、转让

# 4.1 委托处理

校方委托平台处理个人信息时,应符合以下要求:

  • 双方不应超出已征得个人信息主体授权同意的范围
  • 平台事先应引导校方构建符合个人信息安全影响评估中数据安全能力要求的软硬件体系
  • 平台应准确记录和储存委托处理个人信息的情况
  • 校方、平台或个人信息主体发现任何一方接收或提供违反法律法规要求或超出三方原定的个人信息的,应立即要求中止相关行为,并采取或要求采取有效的补救措施(如更改密码、收回账号、断开网络等)
  • 因共享、转让个人信息发生安全事件而对个人信息主体合法权益造成损害的,校方和平台应依据实际情况承担相应的责任
  • 平台个人生物识别信息原则上除由司法机关立案处理的刑事案件取证要求外,不允许共享,转让。
  • 个人信息不允许跨境传输
  • 禁止使用QQ,微信等方式传输个人资料,平台应向校方提供重要资料传输专用的邮箱xxxx@icampus.ltd (xxxx为学校账户) 进行域内资料发送

# 5 删除和投诉管理

# 5.1 人工删除

依照国家标准个人信息主体的删除要求主要包括:

  • 通过平台进行删除
    • 平台应与校方取得联系,应在15个工作日内完成核查,和处理结果的通知
  • 通过校方进行删除
    • 校方应与平台取得联系,应在15个工作日内完成核查,和处理结果的通知 个人信息主体注销账户后,需要对用户进行冻结,不能再次将其用于业务活动中。

# 5.2 投诉管理

校方和平台应建立投诉管理机制和投诉跟踪流程,并在15个工作日内对投诉进行响应。

# 5.3 投诉方式

  • 工作日(周一至周六 9:00 - 17:00)

    电话投诉:0750-8966833

  • 非工作日

    邮件投诉:group@icampus.ltd

    请在邮件投诉时留下您的联系方式,以便于我们能尽快联系到您

# 6 支付与交易记录

依照 GB/T 38156-2019 《重要产品追溯 交易记录总体要求》,交易记录、产品信息等信息安全要求如下:

  • 禁止校方或平台方工作人员在非用户授权(需要征得学生或家长的同意)的情况下修改、删除
  • 校方管理员的密码不允许为弱密码
  • 信息在网络传输过程中应进行加密处理
  • 应具备防篡改功能,防止作废交易记录的非预期使用
  • 交易和支付记录应保存10年以上。如果业务发生终止,则在服务终止日期起,至少额外保存2年。终止日期以平台与校方合作的终止日期为准。
  • 如发生灾害等非人为意外导致数据丢失,平台和校方有义务尽可能恢复数据,如无法恢复,双方不承担责任。

# 7 行踪信息和考勤

依照 GB/T 35273-2020 《信息安全技术 个人信息安全规范》,行踪、考勤和住宿信息安全要求如下:

  • 考勤、行踪信息禁止篡改和伪造
  • 校方管理员的密码不允许为弱密码
  • 信息在网络传输过程中应进行加密处理
  • 考勤、行踪信息应根据需要保存1年以上,5年以下。如果业务发生终止,则在服务终止日期起,至少额外保存1年。终止日期以平台与校方合作的终止日期为准。
  • 如发生灾害等非人为意外导致数据丢失,平台和校方有义务尽可能恢复数据,如无法恢复,双方不承担责任。

# 附录

个人敏感信息是指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。通常情况下,14岁以下(含)儿童的个人信息和涉及自然人隐私的信息属于个人敏感信息。

可从以下角度判定是否属于个人敏感信息:

  • 泄露

    个人信息一日泄露,将导致个人信息主体及收集、使用个人信息的组织和机构丧失对个人信息的控制能力,造成个人信息扩散范围和用途的不可控。

    某些个人信息在泄漏后,被以违背个人信息主体意愿的方式直接使用或与其他信息进行关联分析,可能对个人信息主体权益带来重大风险,应判定为个人敏感信息。

    例如,个人信息主体的身份证复印件被他人用于手机号卡实名登记、银行账户开户办卡等。

  • 非法提供

    某些个人信息仅因在个人信息主体授权同意范围外扩散,即可对个人信息主体权益带来重大风险,应判定为个人敏感信息。例如,性取向、存款信息、传染病史等。

  • 滥用

    某些个人信息在被超出授权合理界限时使用(如变更处理目的、扩大处理范围等),可能对个人信息主体权益带来重大风险,应判定为个人敏感信息。例如,在未取得个人信息主体授权时,将健康信息用于保险公司营销和确定个体保费高低。

关于我们