院部:
近期多次接教育漏洞报告平台和黄山市网信办等通报,我校部分二级网站存在个人敏感信息泄露情况。为进一步加强学校网络信息安全管理,排查网络安全隐患,根据国家网络安全相关法律法规和近期网络安全主管部门通报的安全整改内容,现开展网站个人敏感信息泄露风险自查整改工作。具体工作事项通知如下:
一、自查内容
根据《中华人民共和国个人信息保护法》,个人敏感信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息。
个人敏感信息泄露,一方面可能会被用于诈骗,另一方面可能会被利用进行恶意攻击等非法用途。根据《中华人民共和国个人信息保护法》的规定,个人敏感信息受国家法律保护。
此次排查整改工作重点关注个人敏感信息泄露问题,主要包括:师生身份证号码、工号/学号、银行卡号、手机号、QQ号、家庭住址、个人生物识别信息、家庭经济困难原因等信息泄露。
此类信息容易出现在职称评定、发展对象、获奖人员、奖学金人员、助学金人员通知、公告、公示或附件中。
二、自查范围
各院部各自管理的网站,包括一级主页及下级所有网页(包括域名或IP地址不属于黄山学院但内容与学校相关的网页);各院部各自管理的业务系统、微信公众号等新媒体中是否包含无未脱敏的和匿名化的个人及家庭敏感隐私信息。
三、自查及整改工作安排
1.请各院部于2024年10月9日前,对属于自查范围内的内容开展自查及整改工作。排查出涉及到个人敏感信息泄露文章、数据等,如其具备时效性且时效性已过期,应予以直接删除;时效性未过期的或不具备时效性的则进行信息脱敏、打码处理后才能再次发布(如学号:220***001,身份证号:341001****01010018,……等),并仅在工作范围或责任范围内公开。
2.各院部要强化源头防控,建立健全数据安全管理长效机制,加强持续性、常态化监督管理,多措并举保障数据安全和师生个人信息安全。在网站、业务系统和新媒体中进行信息发布时,要严格进行信息发布的审核工作,要对公布的敏感个人信息进行脱敏、打码处理,仅在工作范围或责任范围内公开。
网络与信息管理中心
2024年10月4日
