2018年8月13日

Introduction

个人信息的隐私, 是否金融, 健康, 人口, 或其他可识别的是365app-365app安卓客户端下载v1.3.4 -apple app store坚持的价值观.  这项政策的目的是确认365app-365app安卓客户端下载v1.3.4 -apple app store保护其社区隐私的承诺, 还有一些人把自己的数据委托给它保管.  该政策告知365app-365app安卓客户端下载v1.3.4 -apple app store社区其在个人身份信息(PII)隐私方面的义务。, 包括他们有义务遵守有关数据隐私的所有现行法律和制度政策.  本政策的结构与国家Standards与技术研究所特别出版物800-53中确定的隐私控制一致, 联邦信息系统和组织的安全和隐私控制.

经365app-365app安卓客户端下载v1.3.4 -apple app store校长批准, 这项政策与所有其他体制政策一起存在.

 

---

 

Policy Statements

维护信息的隐私是每个机构信息使用者的责任, 研究数据, 信息技术资源.  所有创建的用户, 访问, 管理, 或者操纵机构信息, 研究数据, 或者信息技术资源必须遵守此政策的管理, 技术, 还有物理保障.

访问的单位, 管理, 或操纵机构信息或研究数据必须有政策, Standards, 的指导方针, 及充分保障个人个人资料私隐的程序.

机构私隐委员会(IPC), 与合规办公室合作, 数据管家, 及大学顾问, 将开发和维护校园隐私计划.

 

---

 

To Whom This Policy Applies

此策略适用于所有用户(包括, 但不限于, 所有教师, 学生, 工作人员, 承包商, 来访人员, (或客人和志愿者)谁访问, 管理, 或者操纵机构信息, 研究数据, 或者信息技术资源.

 

---

 

Standards

职权及宗旨

• 收集资料的单位应当将收集资料的权限记录在案, 以及收集资料的目的.

问责制、审计和风险管理

• 机构私隐委员会(IPC), 与合规办公室合作, 数据管家, 及大学顾问, 将开发和维护校园隐私计划, 该计划的审查频率不少于每两年一次.
• IPC将制定和颁布隐私风险流程, 包括隐私影响评估模板, 供后续单位参考.  
• 大学采购部将为涉及私人数据的合同制定隐私要求
• 单位, 与IPC和数据管理员一起, 是否以适当的频率监视和审计隐私控制以确定有效性.
• 校园将努力为单位提供一般隐私培训. 该单位将确保对负责PII的人员进行这种一般培训和任何具体培训.
• IPC和合规办公室将每年向校园领导委员会报告隐私计划的总体努力, 或者根据需要.
• 包含PII的系统必须设计为通过努力实现隐私控制的自动化来支持隐私.
• 每个单位将保留任何未经授权披露个人身份信息的记录, 与合规办公室合作，确保完成所有必要的通知.

数据质量和完整性

• 每个单位都将制定流程，确保他们创建或收集的PII是准确的, 有关, 及时完整.
• 尽可能地, 单位要确保数据保持其准确性, 相关性, 及时性, 和完整性.

数据最小化和保留

• 个人和单位应当识别, 并且只收集/维护他们提供服务所需的数据.
• 各单位将根据符合大学政策和法律的记录保留时间表来保存数据.  
• 不再需要的记录将以保护记录中任何PII隐私的方式处理/销毁.
• 任何测试、培训和研究都会将PII最小化到必要的范围.

个人参与和补救

• 在可行和适当的情况下, 单位将提供个人授权收款, PII的维护和共享. 如果法律或合同义务需要这些数据，则必须将这些要求记录下来.
• 个人数据应该被允许删除, 除非法律或合同要求保留.
• 各单位将努力为个人提供查看和纠正个人身份信息的机制.
• 各单位将提供接收和回应投诉的程序, 担忧, 或者关于他们隐私行为的问题.

安全

• 单位应保持并更新一份清单，其中包含所有识别为收集的程序和信息系统的清单, 使用, 维护, 或共享个人身份信息(PII).
• 校园应制定隐私事件响应计划.  各单位将在其区域内实施该计划，并与更大的校园计划相结合.

透明度

• IPC将为校园制定一份隐私声明:
• 就以下事项向公众和个人提供有效通知:(i)影响隐私的活动, 包括它的收藏, 使用, 分享, 维护, 维护, and disposal of personally identifiable information (PII); (ii) authority for collecting PII; (iii) the choices, 如果有任何, individuals may have regarding how the organization 使用s PII and the consequences of exercising or not exercising those choices; and (iv) the ability to 访问 and have PII amended or corrected if necessary;
• Describes: (i) the PII the organization collects and the purpose(s) for which it collects that information; (ii) how the organization 使用s PII internally; (iii) whether the organization shares PII with external entities, 这些实体的类别, and the purposes for such 分享; (iv) whether individuals have the ability to consent to specific 使用s or 分享 of PII and how to exercise any such consent; (v) how individuals may obtain 访问 to PII; and (vi) how the PII will be protected; and
• 修订其公告，以反映影响PII的实践或政策变化或影响隐私的活动变化, 在更改之前或在更改之后尽快更改.
• 如果一个单位的做法偏离了校园通知, 应制定一份单独的隐私声明，涵盖上述主题, 由数据管理员和IPC审查.

使用限制

• 该单位只能在授权的目的下使用个人身份信息, 以及在通知中指明的用途, 或者法律和制度政策允许的情况.
• 该单位将限制外部提供的PII, 包括马萨诸塞大学其他单位, 只可透过下列途径获授权使用:
• 限制与第三方共享信息
• 签订合同协议, 比如谅解备忘录, 或用于标识数据授权使用的服务契约, 以及允许使用哪些数据, 销毁或退还PII的要求, 以及违约时的通知要求.
• 就与第三方共享PII相关的问题对员工进行监督、审计和培训
• 评估拟议的新的个人身份信息共享，以及是否需要发布新的公告.

 

---

 

Terms and Definitions

个人可识别信息(PII): PII因法规而异.  365app-365app安卓客户端下载v1.3.4 -apple app store, 它是任何可以合理地用来确定个人身份的信息, 以及与该个人相关的信息，他们可能希望控制信息的发布. 数据管理员可以添加额外的规范, 包括诸如健康标识符或财务标识符等项目.
未经授权的披露:以违反法律规定的一个或多个个人权利的方式向个人或系统发布信息, 合同, 或政策.
单位:指一个部门, center, 部门, 大学, 学校, 或其他可识别的人员或服务集合，这些人员或服务将被识别为为, 或与马萨诸塞大学有关联.

 

---

 

References

• 院校资讯科技资源保密政策 http://www.马塞诸斯州college的.edu/it/security/conf-policy
• 可接受使用资讯科技资源政策 http://www.马塞诸斯州college的.edu/it/security/acceptable-use-policy
• 记录保留和处理时间表 http://www.马塞诸斯州college的.edu/records/record-retention-and-disposition-schedules
• 马萨诸塞大学阿默斯特信息安全政策
• 家庭教育权利和隐私法(FERPA) http://www2.ed.gov/policy/gen/guid/fpco/ferpa/index.html
• 健康保险流通与责任法案(HIPAA) http://www.美国卫生和公众Services部.gov/hipaa/index.html
• 一般资料保护规例(GDPR) http://ec.europa.eu/info/law/law-topic/data-protection_en
• 马萨诸塞州数据泄露法 http://www.mass.gov/service-details/requirements-for-data-breach-notifications