隐私政策

Aerial view of XCL World Academy football field with residential buildings in the background

简介/目的

学校的主要价值观之一是保护学校社区成员个人信息的隐私和机密性,尤其是我们收集、处理和存储其个人信息的那些人。在此承诺下,保护我们学生的个人信息被认为是至关重要的。

本政策旨在透明地说明:
● 我们如何以及为何收集个人信息,我们可能如何使用这些信息,以及我们可能与谁分享这些信息以及为何分享。
● 我们为保护所收集、处理和存储的个人信息安全所采取的措施。
● 家庭如何联系学校以获取有关我们隐私实践问题的答案,以及家长和学生如何行使其对个人信息的权利。

学校坚定致力于遵守所有与个人信息保护、儿童保护和儿童保护相关的法规和公认的最佳实践。

范围

本政策旨在提供有关学校收集、处理和存储的属于家长和学生的个人信息处理方面的信息和指导。

本政策描述了学校收集的个人信息类型、信息如何处理、信息如何以及向谁披露,以及如何访问这些信息。

学校处理有关在校生、毕业生、未来学生及其家长、法定代表或监护人(在本政策中统称为“家长”)的个人信息,以及任何经其同意提供个人信息的第三方。

学校员工、家长和学生都被鼓励阅读本政策,并了解学校对其整个社区的义务。

术语与定义

● 个人信息:指与可识别个人相关的任何信息,特别是通过标识符可直接或间接识别的个人。它可适用于单个个体,也可直接或间接与个体关联。信息也可称为“数据”或“个人数据”。
● 雇佣信息:为处理学生申请和通行证(如适用)而收集的个人信息。
● 个人信息所有者:指通过个人信息识别的个人,例如全名、出生日期、职业、头衔、联系地址、电子邮件地址、电话号码、身份证号码、护照号码。
● 敏感个人信息:指与个人信息所有者的私人生活或个人隐私相关的任何信息,或与个人家庭隐私相关的信息,例如个人的邮件、电话、私人电子信息交换。它也可指个人秘密,例如医疗记录、信用卡号和其他个人秘密。它包括健康信息、个人的身体和行为特征、允许识别该个人的生物识别信息(例如指纹等),以及与自然人的遗传特征(无论是固有的还是后天获得的)相关的信息,这些信息提供了关于该个人心理或身体健康的信息。敏感个人信息还与宗教或其他信仰、性取向、健康、种族、民族、犯罪记录等相关。
● 健康信息:指关于个人身体、心理或精神健康或残疾的任何信息或意见。这可能包括关于个人健康状况和病史、特殊需求、免疫状况和过敏情况的意见,以及咨询记录。
● 个人:指信息所指的已识别或可识别的自然人。
● 责任方:确定个人数据收集和处理的目的、个人信息的类型以及该处理的法律依据。
● 运营方:负责处理个人信息,但仅根据责任方的明确书面指示进行。
● 信息处理:指与所持个人信息相关的任何操作,例如电子或手动排序、存储、添加、修改、复制、操作、报告、打印或检索以电子方式或在手动纸质文件系统中持有的个人信息。
● 数据保护官(DPO):一名独立的专业人员,也是学校员工,其职责是确保学校根据现行法律正确保护个人的个人信息。
● 机密信息:指必须保密和私密的信息。
● 同意:应理解为任何“自由给出、具体、知情且明确”的意愿声明,表明个人的意愿,即个人通过声明或明确的肯定行动,确认同意学校为一项或多项特定目的处理个人信息。
● 信息处理:指对个人信息进行的任何操作,例如收集、编辑、使用、存储、传输、修改、删除、共享和发布,无论是通过自动化还是手动方式。
● 数据保护官(“DPO”):由学校任命的人员,其职责是确保学校根据现行法律和学校政策正确保护个人的个人信息。
● 假名化:以一种方式处理个人信息,使得在不使用额外信息的情况下,个人信息无法再归属于特定个人,前提是此类额外信息单独保存,并受技术和组织措施的约束,以确保个人信息不归属于已识别或可识别的自然人。
● 代表:指代表个人行事的人,例如未成年人的法定监护人。
● 第三方:指除被授权处理个人信息的个人之外的任何自然人或法人、公共机构、代理机构或任何其他实体。
● 合法利益:指可能受学校处理个人信息影响的个人的权利和自由。处理个人信息的目的必须基于法律依据。
● 个人权利:个人信息所有者有权要求学校更新、更改和删除学校收集、处理和存储的其个人信息;并停止向第三方提供其个人信息。
● 受影响的个人:此概念与已受损个人信息的拥有者相关。在学校环境中,它可能指家长、学生、员工等。
● 未成年人:指18岁以下的人。在这种情况下,未成年人需要父母的监督和代表其同意。
● 父母责任:指父母对子女及其教育所拥有的法律权利、义务、权力、责任和权威。对子女负有父母责任的人有权了解并就子女的学业信息、照护和抚养做出决定。子女生活中的重要决定必须与任何其他负有父母责任的人达成一致。

数据保护义务

根据《个人数据保护法》(PDPA),学校负有以下义务,以保护委托给学校的个人数据。

  1. 问责义务:学校必须采取措施,确保其履行《个人数据保护法》(PDPA)规定的义务,例如应要求提供其数据保护政策、实践和投诉流程的信息,并指定一名数据保护官(DPO),向公众公开其业务联系信息。
  2. 通知义务:告知个人您的组织打算收集、使用或披露其个人数据的目的。
  3. 同意义务:仅为个人已同意的目的收集、使用或披露个人数据。学校将就个人数据的处理(主要是收集、使用或披露)征得个人同意,除非法律规定豁免、授予许可或要求收集、使用或披露个人信息。
    o 个人信息收集、使用或披露的同意要求可能因情况和拟收集、使用或披露的个人信息类型而异。
    o 在确定是否需要同意以及如果需要,何种形式的同意是适当的,学校将同时考虑个人信息的敏感性以及学校使用信息的目的。
    o 同意可以是明示的、默示的(包括在适当情况下通过使用“选择退出”同意)或推定。例如,如果个人向学校提供其邮寄地址并请求有关特定服务的个人信息,则使用该地址提供所请求信息的同意可能是默示的。
    o 在向学校发出合理的书面通知后,个人可以撤回对其个人信息收集、使用或披露的同意。收到撤回同意通知后,学校将告知个人撤回同意可能产生的后果,并且,除非法律另有规定或允许,学校将按要求停止收集、使用或披露该个人信息。
    o 如果某人向学校或其服务提供商或代理提供关于某个个人的个人信息,则该人声明其拥有所有必要的授权和/或已获得该个人的所有必要同意,以使学校能够为本政策中规定的目的收集、使用和披露此类个人信息。
  4. 目的限制义务:学校仅为在特定情况下合理人士认为适当且个人已同意的目的收集个人信息。

学校不得将提供产品或服务作为条件,要求个人同意收集、使用或披露超出提供该产品或服务合理范围的个人数据。

  1. 准确性义务:学校会尽合理努力确保所收集的个人数据准确完整,特别是当这些数据可能被用于做出影响个人的决定或披露给其他组织时。
  2. 保护义务:学校须采取合理的安全措施,保护其持有的个人数据,以防止未经授权的访问、收集、使用、披露或类似风险。个人信息应通过技术和组织措施加以保护,确保适当程度的安全性、完整性、保密性和隐私性。
  3. 保留限制义务:当个人数据不再用于任何业务或法律目的时,停止保留或以适当方式处置。
  4. 传输限制义务:仅根据法规规定的要求将个人数据传输到其他国家,以确保保护标准与PDPA下的保护相当,除非PDPC豁免。
  5. 访问和纠正义务:应个人要求,学校须向其提供个人数据访问权限,以及在请求提出前一年内数据的使用或披露信息。

学校还须尽快纠正个人数据中的任何错误或遗漏,并将纠正后的数据发送给在纠正前一年内曾披露该个人数据的其他学校(或个人已同意的指定学校)。

  1. 数据泄露通知义务:发生数据泄露时,学校必须采取措施评估是否需要通知。如果数据泄露可能对个人造成重大损害,和/或规模巨大,学校须尽快通知PDPC和受影响的个人。
  2. 数据可移植性义务:应个人要求,学校须将组织拥有或控制的个人数据以常用机器可读格式传输给其他组织。

学校收集哪些信息?

学校收集以下类型的信息:

  1. 关于学生、其家长或导师及其代表的个人信息,由他们或其授权人员直接提供。
  2. 关于志愿者、访客、承包商、客户、顾问以及其关联公司和支持学校业务的第三方代理的信息,由他们或其代表直接提供。
  3. 关于对学校服务感兴趣的第三方或潜在学生或客户的信息,且他们已同意为本政策中规定的目的处理其个人信息。

我们如何收集个人信息

  1. 亲自和通过电话:来自学生及其家人、教职员工、访客、承包商及其他人。
  2. 来自电子和纸质文件:包括电子邮件、发票、入学表格、致学校的信函、医疗表格、同意书(例如:入学、课外活动等)、我校网站或学校控制的社交媒体。
  3. 在线工具:例如学校使用的应用程序和其他软件。
  4. 经个人充分知情并同意后,用于教育或商业目的的照片或其他音视频内容。
  5. 位于学校的闭路电视摄像头。
  6. 交通工具中集成的地理定位系统(如适用)。

个人信息保护权利

学校承认个人对其个人信息拥有以下权利:

  1. 知情权:个人有权知晓其个人数据的收集和使用情况。学校必须在收集个人信息时,告知其处理个人信息的目的、数据保留期限以及将与谁共享这些信息。这被称为“隐私信息”。
  2. 查阅权:个人有权查阅其个人信息,这通常被称为“主体查阅请求”。该请求可以口头或书面形式提出,并且免费。
  3. 更正权:个人有权在不无故迟延的情况下获得:
    a. 更正不准确的个人信息。
    b. 补充不完整的个人信息,包括通过提供补充声明的方式。
  4. 删除权:在以下任一情况适用时,个人有权要求删除其个人信息:
    a. 个人信息对于其收集或以其他方式处理的目的而言已不再必要。
    b. 个人信息未经同意收集,或个人希望撤回同意。
    c. 个人希望行使其反对处理个人信息的权利,且不存在凌驾于该权利之上的合法理由。
    d. 个人信息已被非法处理。
    e. 个人信息需要删除以遵守法律义务。
    f. 个人信息是与在线购物相关的。
  5. 限制处理权:学校将实施并维护适当的程序,以评估个人限制处理个人信息的请求是否可以实施。如果限制处理的请求得到执行,学校将书面通知个人限制已实施以及何时解除限制。
  6. 数据可携权:学校处理个人信息是因为有法律依据。如果学校通过同意或合同收集了个人信息,则个人有权以电子格式接收信息或将文件提供给另一所学校。
  7. 反对权:个人有权在特定情况下反对处理个人信息。收到此类反对意见后,学校将根据具体情况评估每个案例。
  8. 不受自动化决策约束的权利:个人有权不受仅基于自动化处理的决策的约束,如果此类决策会对个人产生法律或重大影响。目前学校内部没有自动化处理。如果将来进行此类处理,学校将确保在系统实施时提供适当的上诉权。
  9. 投诉权:学校致力于提供投诉流程,个人可直接联系数据保护官。数据保护官将处理投诉,直至双方满意。
  10. 撤回同意权:个人有权随时自由撤回同意。撤回同意不影响在撤回之前基于同意处理个人信息的合法性。

主体查阅请求程序

个人可随时通过向学校的数据保护官发送书面请求并附上身份证明来行使权利。

如果学校工作人员或数据保护官收到信息请求,首先会将“个人信息权利行使表”发送给请求者,以便其填写并返回。此表格和政策必须在学校的共享文件夹中提供,或由数据保护官提供。

必须立即向个人提供信息或履行权利,最迟在收到请求后一个月内完成。此请求完全免费,除非其明显无根据(即个人明确无意行使其查阅权,例如请求是作为对学校提出毫无根据指控的借口)或过度(即请求与最近提交的“个人信息权利行使表”重叠)。

学校为何需要处理个人信息

同意是处理个人信息的基础,必须是自由给予、具体明确、知情、明确无误的,并且是在学校始终保证的可靠信息基础上授予的。同意是我们处理个人信息的合法性依据。

为了履行对学生和家长的日常职责,学校在日常运营中可能会处理关于个人(包括在校、已毕业和潜在学生或家长)的各种个人信息。其中一些活动需要执行,以履行其权利、职责或义务,包括根据与家长或学生签订的合同所产生的权利、职责或义务。

个人信息的其他用途将根据学校的合法权益或他方的合法权益进行,前提是这些用途不会对个人造成过大的影响,且不涉及特殊或敏感信息。学校预计以下用途可能属于“合法权益”范畴:

  1. 用于学生选拔(以及确认潜在学生及其家长的身份);
  2. 提供教育服务、体育训练或精神发展、职业服务、课外活动,并监督学生的学业进展和教育需求。
  3. 提供校车服务、餐饮服务、专业护理等。
  4. 维护与校友和学校社区的关系,包括直销或筹款活动。
  5. 如适用,用于捐赠者尽职调查,并确认潜在捐赠者的身份、背景和相关利益。
  6. 用于管理规划和预测、研究以及统计分析,包括法律规定或要求的(例如多元化或性别薪酬差距分析以及税务记录)。
  7. 使相关部门能够监督学校的表现,并酌情干预或协助处理事件。
  8. 向/从学生曾就读或拟就读的任何教育机构提供和接收有关过去、现在和未来学生的信息和推荐信;并向过去学生的潜在雇主提供推荐信。
  9. 使学生能够参加全国性或其他评估,并公布公开考试或其他成就的结果。
  10. 维护学生福祉并提供适当的教牧关怀。
  11. 履行学校的合同和法律义务。
  12. (酌情)监控学校的信息通信技术和通信系统的使用情况。
  13. 在学校出版物、学校网站以及(如适用)学校社交媒体渠道上使用学生的照片。
  14. 出于安全目的,包括闭路电视监控。
  15. 在其他方面为学校目的合理必要时,包括为学校获取适当的专业建议和保险。

此外,学校可能需要根据法律赋予的权利或义务(包括关于保障和雇佣的权利或义务),或在需要时经明确同意,处理特殊类别的个人信息(涉及健康或宗教)或犯罪记录信息。这些原因可能包括:

  • 维护学生福祉,提供适当的教牧(以及必要时,医疗)照护,并在发生紧急情况、事件或事故时采取适当行动,包括在符合个人利益的情况下披露个人健康状况详情:例如,用于医疗咨询、社会服务、保险目的或告知学校旅行组织者。
  • 在学生有任何特殊教育需求的情况下提供教育服务。
  • 在任何宗教信仰背景下提供精神教育。
  • 与员工雇佣相关,例如福利或养老金计划。
  • 出于法律和监管目的(例如儿童保护、多元化监测以及健康与安全),并遵守法律义务和照护责任。

处理的个人信息类型

例如,这包括:

  1. 姓名、地址、电话号码、电子邮件地址及其他联系方式。
  2. 车辆信息(适用于使用我们停车设施的人员)。
  3. 身份证号码、护照、保险、背景调查。
  4. 银行账户信息及其他财务信息,例如向学校支付费用的家长信息。
  5. 过去、现在和未来的学生的学业、纪律、入学和出勤记录(包括任何特殊需求信息)、就业信息以及考试答卷和成绩。
  6. 过去、现在和未来的家长就业信息、家庭状况、法院或公共机构签发的文件、授权书等。
  7. 在适当情况下,个人的健康信息及其近亲的联系方式。
  8. 学校提供或收到的关于学生的推荐信,以及由之前的教育机构和/或其他专业人士或与学生合作的学校提供的信息。
  9. 学生(以及偶尔其他个人)参与学校活动的照片,以及学校闭路电视系统捕获的图像(根据学校关于学生图像拍摄、存储和使用的政策)。
  10. 当使用手机应用程序或类似工具正确执行校车服务时,家长或法定授权人也可以获取学生在校车服务中的位置信息。

学校还会处理其员工、供应商、实习生、志愿者、管理人员、代理人、承包商、顾问以及其关联公司和协助学校的第三方代理人的个人信息。学校使用这些个人信息的目的可能包括(但不限于):

  • 管理个人雇佣合同(包括背景调查)。
  • 保险目的。
  • 营销目的。
  • 为履行学校的法律、道德和信托义务,特别是与儿童保护相关的义务。

学校间信息传输

当学生被另一所学校录取并注册时,本学校会将学生的个人信息传输给该新学校。这可能包括学生的学籍记录和健康信息副本。

个人信息的传输使新学校能够继续为学生提供教育服务,支持学生的社会和情感健康,并履行法律要求及其他义务。

由于本学校已融入XCL教育国际学校网络,学生有可能在该集团的任何一所学校就读,因此学校之间有必要进行个人信息交流,包括在适当情况下,在相关法律条件下进行个人信息的国际传输。

信息存储与安全

学校应采取适当的技术和组织措施,以确保个人信息的安全性、保密性、完整性和隐私性,并防止未经授权的访问或非法处理,以及文件意外丢失、损毁或损坏。

个人信息更新

学校致力于确保我们处理的信息始终准确、完整和最新。希望更新信息的个人,可酌情联系招生部门和学生的班主任。

信息共享

学校只会在“有必要知晓”的基础上,并在征得您同意后,与第三方分享您的信息,除非涉及法律要求、儿童保护、犯罪活动,或应法律授权机构(例如法院、警方、社会服务机构等)的要求。

如果学校决定在未经家长同意的情况下,严格按照法律规定的情况分享信息,我们将在学生档案中记录此事,并明确说明理由。

学校只会分享准确且最新的相关信息。我们的首要承诺是保障我们所照管学生的安全和福祉。

某些有限的个人信息会披露给我们委托处理的授权第三方,作为我们日常业务运营的一部分,例如用于处理工资和账目、法律顾问等。

家长责任

在父母双方拥有共同亲权的情况下,无论法定监护权归属何方,父母双方均有权获取关于子女教育过程中所发生情况的相同信息。这要求学校确保信息的双重提供,除非有司法裁决规定剥夺任何一方家长的亲权,或有某种刑事措施禁止其与未成年子女和/或其家人沟通。父母双方之间可能因此产生的任何冲突,均须提交家庭和青少年法院处理。

家长有权查阅其子女的学业和教育信息,即使子女已达到法定年龄或已独立,只要家长承担抚养费、教育费或伙食费。在此情况下,家长的合法知情权将优先于已达到法定年龄或已独立学生的隐私权。

发送商业通讯

经同意,学校可通过电子邮件或邮寄方式向家长和学生发送信息或材料,例如招生简章、宣传册、通讯等。

个人可随时通过书面形式通知学校撤回同意。学校将随后采取合理措施,从相关数据库和分发列表中删除个人信息。

图像使用同意书

学校强调庆祝学生成功的重要性,因此学生的照片和视频经常被用于展示他们的技能和才华,以及学校的日常活动。

学校致力于保护学生的肖像,我们非常重视遵守隐私规定和儿童保护,特别是关于同意发布学生、教职员工以及可能出现在我们出版物中的其他人员的音视频内容。

在学年开始时,学校会请求授权,以在学校网站、营销、社交媒体渠道、新闻媒体及其他宣传渠道上分享学生的音视频内容。已达到法定年龄的学生可以自行同意,无需家长授权,但不影响家长的监督权。

未经家长或学生同意,学校绝不会传播任何照片或视频。

对于家长或学生未经明确同意而拍摄和分享的任何图像,学校概不负责。此外,学校不授权第三方使用其出版物内容,也不对任何未经授权的使用负责。

学校每年将(作为学生合同的附录)征求家长同意,以使用图像和信息进行宣传,这包括在学校年鉴中使用照片和姓名。

为保障学生和家长在学校设施内的安全和隐私,严禁在校园内录制视频或拍照,除非是在特定的有组织活动或允许的情况下,并遵守上述限制。

保留期限

个人信息仅在法律要求或为实现收集目的所需的时间内保留。一旦个人信息不再因法律或商业目的需要或允许保留,将被销毁或通过假名化处理使其匿名。

个人信息的准确性和安全性

学校将努力确保所持有的所有个人信息尽可能最新和准确。个人必须至少每年向学校告知其信息发生的任何变更。与学生信息变更相关的责任由家长承担。

个人有权要求删除或更正任何不准确或过时的个人信息。

学校将采取适当的技术和组织措施,确保个人信息的安全,包括制定技术和设备使用政策以及学校系统访问政策。学校员工将了解此政策并接受相关培训。

COOKIE

学校网站会跟踪网页浏览模式,以便更好地了解网站的使用情况。这些通用信息通过会话Cookie收集。我们网站使用的Cookie与匿名用户及其计算机相关联,与用户的个人信息无关。

我们网站使用的所有Cookie都是临时的,唯一目的是提高未来的传输效率。在任何情况下,Cookie都不会用于收集个人信息。

IP地址
网站服务器将自动检测用户使用的IP地址和域名。所有这些信息都收集在服务器活动文件中,以便后续处理个人信息,其目的仅是收集统计数据,例如显示打印页数、网站服务访问次数、访问原因、访问点等。

安全
本网站采用行业公认的信息安全技术,例如防火墙、访问控制方法和加密机制。所有这些措施旨在防止未经授权的信息访问。为实现这些目的,用户/客户同意提供商为访问控制的身份验证目的收集信息。

学校可能会不时通过在网站上发布新版本来更新Cookie政策。

教育应用程序

学校使用学校管理信息系统(MIS)以及各种教育和学习平台来辅助教学(软件即服务/云计算服务)。这些平台严格出于内部和教育目的存储和处理家长、教师和学生的敏感信息。

教师在使用前需向学校申请授权。每次授权申请都涉及从个人信息保护和信息安全角度对应用程序进行评估,并由学校随后批准或拒绝。

这些平台的所有用户都通过行业标准的密码保护进行受限访问。

使用此类教育平台,绝不意味着将学生的个人信息传输给应用程序服务提供商,供其用于自身目的或永久存储。学校始终保留访问学生个人信息并在适当时删除这些信息的权利。

这些平台严格遵守个人信息保护法规,并确保在发生国际信息传输时采取充分的保障措施。

与XWA保持互联

还没准备好预约参观?订阅我们,及时了解最新活动和招生资讯。

订阅即表示您同意我们的隐私政策
谢谢!您的提交已收到!
抱歉!提交表单时出现问题。
CTA插图