2018年8月13日

Introduction

个人信息的隐私, 是否金融, 健康, 人口, 或其他可识别的价值是MG游戏中心排名-MG游戏平台排名- App Store-排行榜网所坚持的.  本政策的目的是确认MG游戏中心排名-MG游戏平台排名- App Store-排行榜网对保护其社区隐私的承诺, 以及其他将自己的数据委托给它保管的人.  该政策告知MG游戏中心排名-MG游戏平台排名- App Store-排行榜网社区其在个人身份信息隐私方面的义务。, 包括遵守有关数据隐私的所有现行法律和机构政策的义务.  本政策的结构与美国国家Standards与技术研究所特别出版物800-53中所确定的隐私控制相一致, 联邦信息系统和组织的安全与隐私控制.

经MG游戏中心排名-MG游戏平台排名- App Store-排行榜网校长批准, 这项政策是与所有其他机构政策相结合的.

 

---

 

Policy Statements

维护信息隐私是每一个机构信息使用者的责任, 研究数据, 以及信息技术资源.  所有创建, 访问, 管理, 或者操纵机构信息, 研究数据, 或信息技术资源必须遵守本政策的管理, 技术, 以及物质保障.

访问的单位, 管理, 或操纵机构信息或研究数据必须有政策, Standards, 的指导方针, 以及充分保护个人个人资料私隐的程序.

机构隐私委员会(IPC), 与合规办公室合作, 数据管家, 大学顾问, 是否会制定和维护校园隐私计划.

 

---

 

To Whom This Policy Applies

此策略适用于所有用户(包括, 但不限于, 所有教师, 学生, 工作人员, 承包商, 来访人员, 或客人和志愿者)访问, 管理, 或者操纵机构信息, 研究数据, 或者信息技术资源.

 

---

 

Standards

权威和目的

• 收集信息的单位应同时记录其收集数据的机构, 以及收集数据的目的.

问责制、审计和风险管理

• 机构隐私委员会(IPC), 与合规办公室合作, 数据管家, 大学顾问, 是否会制定和维护校园隐私计划, 每两年对项目进行一次审查.
• IPC将制定并颁布隐私风险流程, 包括隐私影响评估模板, 让单位跟随.  
• 大学采购部门将为涉及私人数据的合同制定隐私要求
• 单位, 与IPC和数据管理员合作, 是否以适当的频率监控和审计隐私控制以确定有效性.
• 校园将努力做好一般隐私培训，供各单位利用. 该单位将确保对负责个人信息输入的人员进行一般培训和任何特定培训.
• 隐私保护计划的总体工作将由IPC和合规办公室每年向校园领导委员会报告, 或者根据需要.
• 包含PII的系统必须通过努力自动化隐私控制来支持隐私.
• 每个单位将保留任何未经授权披露个人信息的记录, 与合规办公室合作，确保所有必要的通知都得到履行.

数据质量和完整性

• 每个单元都将制定流程，以确保他们创建或收集的PII是准确的, 有关, 及时、完整.
• 尽可能地, 单位是要确保数据保持其准确性, 相关性, 及时性, 和完整性.

数据最小化和保留

• 个人和单位应明确, 并且只收集/维护他们提供服务所需的数据.
• 各单位将根据符合大学政策和法律的记录保留时间表维护数据.  
• 不再需要的记录将以保护记录中任何个人资料隐私的方式处理/销毁.
• 任何测试、培训和研究都将把PII减少到必要的程度.

个人参与和申诉

• 在可行及适当的情况下, 单位将提供个人授权收集, 个人资料的维护和共享. 如果法律或合同义务需要数据，则必须将该要求记录下来.
• 个人应该被允许删除他们的数据, 除非法律或合同要求保留.
• 各单位将努力为个人提供一种查看和更正个人信息的机制.
• 各单位将提供接收和回应投诉的程序, 担忧, 或者关于他们隐私保护的问题.

安全

• 该单位应维护和更新一份清单，其中包括所有被确定为收集的程序和信息系统的清单, 使用, 维护, 或分享个人身份信息(PII).
• 校园应制定隐私事件响应计划.  各单位将在各自区域内实施该计划，并与更大的校园计划相结合.

透明度

• IPC将为校园制定隐私通知，内容如下:
• 就以下事项向公众和个人提供有效的通知:(i)其影响隐私的活动, 包括收藏, 使用, 分享, 维护, 维护, and disposal of personally identifiable information (PII); (ii) authority for collecting PII; (iii) the choices, 如果有任何, individuals may have regarding how the organization 使用s PII and the consequences of exercising or not exercising those choices; and (iv) the ability to 访问 and have PII amended or corrected if necessary;
• Describes: (i) the PII the organization collects and the purpose(s) for which it collects that information; (ii) how the organization 使用s PII internally; (iii) whether the organization shares PII with external entities, 这些实体的类别, and the purposes for such 分享; (iv) whether individuals have the ability to consent to specific 使用s or 分享 of PII and how to exercise any such consent; (v) how individuals may obtain 访问 to PII; and (vi) how the PII will be protected; and
• 修订其公告，以反映影响个人信息保护的实践或政策变化或影响隐私的活动变化, 在更改前或更改后尽快更改.
• 如果一个单位的做法偏离校园通知, 应另行制定一份涵盖上述主题的隐私通知, 由数据管理员和IPC进行审查.

使用限制

• 本单位内部仅为授权用途使用PII, 以及在其公告中确定的用途, 或者法律和机构政策允许的其他情况.
• 该单位将限制对外提供PII, 包括马萨诸塞大学的其他单位, 只可经由下列途径授权使用:
• 限制与第三方共享的信息
• 订立合同协议, 比如一份谅解备忘录, 或者是一份识别数据授权使用的服务合同, 以及允许使用哪些数据, 销毁或交回个人资料的规定, 以及在违约情况下的通知要求.
• 就与第三方共享个人信息的相关问题对其员工进行监督、审计和培训
• 评估提议的新的个人信息共享，以及是否需要新的公告.

 

---

 

Terms and Definitions

个人身份信息(PII): PII因法规而异.  MG游戏中心排名-MG游戏平台排名- App Store-排行榜网, 它是任何可以合理地用来确定个人身份的信息, 以及与该个人相关的信息，他们可能希望对信息的发布进行控制. 数据管理员可以添加其他规范, 包括健康标识符或财务标识符等项目.
未经授权的披露:以违反一个或多个个人法律权利的方式向个人或系统发布信息, 合同, 或政策.
单位:指部门, center, 部门, 大学, 学校, 或其他可识别的人员或服务集合，将被识别为为, 或者与马萨诸塞大学合作.

 

---

 

References

• 院校资讯科技资源政策的保密性 http://www.马塞诸斯州college的.edu/it/security/conf-policy
• 信息技术资源可接受使用政策 http://www.马塞诸斯州college的.edu/it/security/acceptable-use-policy
• 记录保存和处理表 http://www.马塞诸斯州college的.edu/records/record-retention-and-disposition-schedules
• 马萨诸塞大学阿默斯特信息安全政策
• 家庭教育权利和隐私法 http://www2.ed.gov/policy/gen/guid/fpco/ferpa/index.html
• 健康保险携带与责任法案(HIPAA) http://www.美国卫生和公众Services部.gov/hipaa/index.html
• 一般数据保护条例(GDPR) http://ec.europa.eu/info/law/law-topic/data-protection_en
• 马萨诸塞州数据泄露法 http://www.mass.gov/service-details/requirements-for-data-breach-notifications