一、任何组织和个人不得制作、发布、传播侵害中小学生个人信息安全的信息。

    二、各中小学校、中小学生监护人应当正确履行监护职责，教育引导中小学生增强个人信息保护意识和能力，保护中小学生个人信息安全。

    三、学校收集、存储、使用、转移、披露中小学生个人信息的，应当遵循正当必要、知情同意、目的明确、安全保障、依法利用的原则。

    四、各学校对于中小学生的信息负有保护的义务，严禁将学生信息泄露给任何组织和个人，违反者将严格追究责任。网络运营者收集、使用、转移、披露中小学生个人信息的，应当以显著、清晰的方式告知中小学生监护人，并应当征得中小学生监护人的同意。

    五、各学校不得收集与正常教育教学无关的中小学生个人信息，不得违反法律、行政法规的规定和双方的约定收集中小学生个人信息。

    六、学校存储中小学生个人信息，不得超过实现其收集、使用目的所必需的期限。

    七、学校使用中小学生个人信息，不得违反法律、行政法规的规定和双方约定的目的、范围。因用于教育教学需要，确需超出约定的目的、范围使用的，应当再次征得中小学生监护人的同意。

    八、学校应当以最小授权为原则，严格设定信息访问权限，控制中小学生个人信息知悉范围。学校工作人员访问中小学生个人信息的，应当经过审批，留存记录访问情况，并采取技术措施，避免违法复制、下载中小学生个人信息。

    九、学校因工作需要，委托第三方处理中小学生个人信息的，应当对受委托方及委托行为等进行安全评估，签署委托协议，明确双方责任、处理事项、处理期限、处理性质和目的等，委托行为不得超出授权范围。

    前款规定的受委托方，应当履行以下义务：

    （一）按照法律、行政法规的规定和网络运营者的要求处理中小学生个人信息；

    （二）协助网络运营者回应中小学生监护人提出的申请；

    （三）采取措施保障信息安全，并在发生中小学生个人信息泄露安全事件时，及时向网络运营者反馈；

    （四）委托关系解除时及时删除中小学生个人信息；

    （五）不得转委托；

    （六）其他依法应当履行的中小学生个人信息保护义务。

    （七）网络运营者向第三方转移中小学生个人信息的，应当自行或者委托第三方机构进行安全评估。

    十、学校不得披露中小学生个人信息，但法律、行政法规规定应当披露或者根据与中小学生监护人的约定可以披露的除外。

    十一、中小学生、学校教师或者其监护人发现网络运营者收集、存储、使用、披露的中小学生个人信息有错误的，有权要求网络运营者予以更正。网络运营者应当及时采取措施予以更正。

    十二、学校工作人员、教职工发现中小学生个人信息发生或者可能发生泄露、毁损、丢失的，应当立即启动应急预案，采取补救措施；造成或者可能造成严重后果的，应当立即向有关主管部门报告，并将事件相关情况以邮件、信函、电话、推送通知等方式告知受影响的中小学生及其监护人，难以逐一告知的，应当采取合理、有效的方式发布相关警示信息。

    十三、如果发生落实中小学生个人信息安全管理责任不到位，存在较大安全风险或者发生安全事件的，学校应当展开自查自纠，及时采取措施进行整改，消除隐患；若收到相关举报的，应当依据职责及时进行处理；造成严重后果的应当对网信部门和其他有关部门依法开展的监督检查予以配合。

    十四、学校发现有违反本规定行为的，可以向网信部门和其他有关部门举报。