第一章  总  则

第一条  为进一步规范和加强辽宁省东北财经大学教育基金会（以下简称“基金会”）个人信息保护工作，保障捐赠人、受益人和其他相关方的个人信息安全，依据《中华人民共和国个人信息保护法》《中华人民共和国网络安全法》等法律法规和《辽宁省东北财经大学教育基金会章程》有关规定，结合基金会实际情况，特制定本办法。

第二条  本办法适用于基金会在开展公益活动、日常运营管理等过程中，对个人信息的收集、存储、使用、加工、传输、提供、公开、删除等处理活动。基金会工作人员、志愿者、项目负责单位及其他因工作需要接触个人信息的主体，均应遵守本办法规定。

第二章  个人信息处理原则

第三条  基金会处理个人信息应当遵循合法、正当、必要和诚信原则，不得通过误导、欺诈、胁迫等方式处理个人信息；遵循最小必要原则，限于实现处理目的的最小范围，不得过度收集个人信息；遵循公开、透明原则，公开个人信息处理规则，明示处理的目的、方式和范围；遵循确保安全原则，采取相应的安全技术和管理措施，保障个人信息安全，防止个人信息泄露、篡改、丢失。

第四条  基金会处理个人信息，须具有明确、合理的目的，须与处理目的直接相关，采取对个人权益影响最小的方式。收集个人信息，须限于实现处理目的的最小范围，不得过度收集个人信息。

第五条  基金会在处理个人信息前，须以显著方式、清晰易懂的语言，真实、准确、完整地向个人告知处理目的、处理方式、处理的个人信息种类、保存期限以及个人行使权利的方式和程序等事项。处理敏感个人信息的，还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响。个人信息的处理须征得个人同意，法律、行政法规另有规定的除外。

第六条  基金会须保证个人信息的质量，避免因个人信息不准确、不完整对个人权益造成不利影响。定期对所处理的个人信息进行准确性、完整性校验，及时更正、补充不准确或不完整的个人信息。

第三章  个人信息收集

第七条  基金会仅收集与开展公益项目、捐赠管理、志愿者服务等业务活动直接相关且必要的个人信息。收集个人信息前，须明确收集目的，并向个人说明该信息将用于何种具体业务场景。例如，收集捐赠人信息用于捐赠款项的接收、开具捐赠票据、捐赠项目反馈等；收集受益人信息用于评估其是否符合资助条件、实施资助项目及跟踪资助效果等。

第八条  通过合法、正当的方式收集个人信息，主要包括个人主动提供（如捐赠人在线填写捐赠表单、志愿者报名表格等）、与相关单位依法共享（如学校提供学生奖助学金申请信息等）。不得通过非法渠道获取个人信息，不得窃取、骗取、购买个人信息。

第九条  涉及收集不满十四周岁未成年人个人信息的，基金会须取得未成年人的父母或者其他监护人的同意，并采取特殊的保护措施。在处理未成年人个人信息时，须严格遵循相关法律法规对未成年人个人信息保护的特别规定。

第四章  个人信息存储

第十条  基金会采用安全可靠的存储设备和技术，对个人信息进行加密存储，防止信息泄露、篡改、丢失。例如，设置访问权限，限制仅授权人员访问个人信息存储系统。定期对存储设备和系统进行安全检查、漏洞扫描和修复，确保存储环境的安全性。

第十一条  根据个人信息的处理目的、使用场景和法律法规要求，合理确定个人信息的存储期限。达到存储期限后，及时删除或匿名化处理相关个人信息，法律法规另有规定的除外。例如，捐赠项目结束且相关财务、审计等工作完成后，按照规定对捐赠人及项目受益人的相关信息进行清理，仅保留必要的档案信息用于合规审计等目的。

第五章  个人信息使用

第十二条  基金会须严格按照收集个人信息时所明确的目的使用个人信息，不得超出该范围使用个人信息。如需将个人信息用于其他目的，应当重新向个人告知并取得同意。例如，将捐赠人信息用于捐赠项目宣传时，须提前告知捐赠人并征得个人同意。

第十三条  在使用个人信息过程中，对于需要展示、分析或与第三方共享的个人信息，须采用数据脱敏技术，如对姓名、身份证号、联系方式等敏感信息进行部分隐藏或替换，确保在满足业务需求的同时，最大限度保护个人信息安全。  

第十四条  基金会对个人信息的使用情况进行详细记录，包括使用目的、使用时间、使用人员、使用的个人信息种类等，以便追溯和审计。使用记录保存期限根据法律法规要求及业务需要确定，确保在必要时能够提供相关使用证据。

第六章  个人信息传输

第十五条  基金会内部传输个人信息时，采用安全的传输方式，如加密网络传输、专用内部数据传输通道等，防止信息在传输过程中被窃取或篡改。对传输的个人信息进行完整性校验，确保信息准确无误地到达接收方。

第十六条  向第三方传输个人信息前，基金会须进行严格的风险评估，确保第三方具备足够的数据安全保护能力。必要时应与其签订书面协议，明确双方在个人信息保护方面的权利和义务，要求第三方遵守本办法及相关法律法规规定，采取必要的安全措施保护个人信息安全。未经个人同意，不得向第三方传输个人敏感信息。法律法规另有规定的除外。

第七章  个人信息共享与公开

第十七条  基金会与其他单位或个人共享个人信息时，须遵循合法、正当、必要的原则，仅共享与实现特定业务目的相关的最小限度个人信息。共享前，须明确告知个人共享的目的、对象、范围等信息，并取得个人同意。法律法规另有规定的除外。

第十八条  一般情况下，基金会不公开个人信息。如因法律法规要求、公益项目宣传等特殊原因需要公开个人信息的，应当对公开的个人信息进行脱敏处理，确保个人信息安全，并提前向个人告知公开的内容、方式、范围等信息，征得个人同意。对于公开的个人信息，基金会须做好后续管理，防止信息被不当使用。

第八章 个人信息删除与更正

第十九条  当个人信息处理目的已实现、无法实现或者为实现处理目的不再必要，基金会违反法律法规规定处理个人信息，或者个人依法提出删除请求等情形下，基金会应当及时删除个人信息。删除个人信息时，确保无法恢复和重新识别该个人信息。如涉及存储在第三方的数据，应及时通知第三方予以删除。

第二十条  个人发现基金会处理的其个人信息不准确或不完整的，有权要求基金会予以更正。基金会收到更正请求后，应及时核实，并在合理期限内进行更正。如因个人信息错误导致个人权益受损的，基金会应依法承担相应责任。

第九章  个人信息安全事件应急处置

第二十一条  基金会制定个人信息安全事件应急预案，明确应急处置流程、责任分工和资源保障等内容。定期对应急预案进行演练和评估，确保在发生安全事件时能够迅速、有效地响应和处置。

第二十二条  如发生个人信息安全事件，基金会应立即启动应急预案，采取必要的补救措施，防止危害扩大。及时向可能受到影响的个人告知安全事件的基本情况和可能出现的影响、已采取或将要采取的处置措施、个人可以采取的减轻危害的措施等信息。同时，按照法律法规规定向相关主管部门报告安全事件情况。对安全事件进行调查和分析，总结经验教训，对应急预案进行修订和完善，防止类似事件再次发生。

第十章  监督管理与责任追究

第二十三条  基金会秘书处指定专人负责对个人信息处理进行日常监督检查，定期对个人信息保护工作进行评估，发现问题及时提出整改建议并跟踪整改落实情况。监督检查内容包括个人信息处理活动是否符合法律法规和本办法规定、安全技术和管理措施是否有效执行、个人信息保护制度是否健全完善等。

第二十四条  基金会不定期组织工作人员、志愿者等开展个人信息保护法律法规和业务知识培训，提高其个人信息保护意识和业务能力。新入职人员在入职培训中接受个人信息保护相关内容培训，确保全体人员熟悉并遵守本办法规定。

第二十五条  对于违反本办法规定，不当处理个人信息，导致个人信息泄露、篡改、丢失或造成其他不良后果的工作人员、志愿者或项目负责单位，基金会将视情节轻重，按照内部管理制度给予相应纪律处分或追究法律责任。如给个人造成损害的，须依法承担赔偿责任。

第十一章  附  则

第二十六条  本办法未尽事宜，按国家有关法律法规和基金会章程规定执行。

第二十七条  本办法由基金会负责解释和修订。

第二十八条  本办法自2025年12月20日理事会表决通过之日起施行。