---

审查：2024年4月24日，由CSIS治理

1. 概述和范围

波士顿大学为社区提供电子系统、网络和设备，以开展大学业务。 Except as described in the 网络安全监控策略, the University does not routinely access the content of users’ electronic mail, calendar, files, or network access logs (“User Information”) transmitted through or stored in systems, networks, or devices owned, leased, or arranged for by the University or which the University possesses, has custody over, or controls (“BU Systems”). 但是，由于在某些情况下可能需要访问，因此本政策描述了大学可以访问用户信息的情况以及此类访问所需的流程和授权。 本政策仅旨在建立管理此类访问的内部标准和程序。 它不会在BU社区成员中创建法律上可执行的权利，以保护通过或存储在大学系统、网络或设备中传输的数据隐私。

如果用户的电子信息驻留在波士顿医疗中心（BMC）拥有的设备上或属于BMC的财产，则应遵循BMC的政策和程序。

2. 准许进入的理由

访问存储在BU系统上的用户信息可能是必要的，以满足大学的义务，以保存和提供与法律诉讼有关的电子信息，调查不当行为的指控，在用户无法或无法提供同意时获取业务关键信息，并及时解决对大学社区或个人的威胁。

A.法律程序和诉讼

大学可以访问与威胁或未决诉讼有关的用户信息，以及在执法调查，其他政府调查和法律程序中响应合法的信息要求，如果授权如下。

B.涉嫌不当行为的内部调查

The University may access User Information in connection with authorized internal investigations of misconduct by members of the University community, provided that access has been authorized as described below in “访问授权” and the authorizing person has weighed the need for access with other University values and determined that an investigation would advance a legitimate institutional purpose and that there is a sufficient basis for providing access. 可能需要访问用户信息的调查示例包括但不限于对可能违反以下行为的指控： 道德行为准则、新濠影汇线上赌场研究不端行为政策、性行为不端行为/第九条政策、可接受的计算机服务使用、非法歧视或骚扰政策、双方同意的关系政策、工作场所暴力预防、未成年人保护政策、体育机构控制和责任、学生责任准则和学生运动员行为准则。

C.业务需求

大学可以在以下情况下访问用户信息：(i)当该等信息需要执行业务连续性所必需的关键、时间敏感的功能时，该等信息实际上无法通过其他方式获得，并且用户无法或无法提供访问该等信息或同意访问该等信息； provided that access has been authorized as described below in “访问授权” and the authorizing person has determined that access to the information would address a critical business need and that there is sufficient basis for providing access, and (ii) incidentally, in the course of providing information systems support, provided that the staff person who is providing such support is doing so as part of the staff person’s job responsibilities.

>

D.安全事宜

大学可以访问用户信息，以处理对校园安全或任何人的生命、健康或安全构成威胁的紧急情况。

3. 访问授权

在上述任何情况下，必须由下文指定的适当人员（“授权人员”）授权访问。 在决定是否批准访问时，授权人应考虑是否有合理、有效、替代、及时的途径获取信息。 在任何情况下，访问都必须符合适用的法律要求。 授权应仅适用于特定情况和用户或用户，并限于批准的访问范围。 任何其他访问实例或对初始授权中批准的范围的任何请求更改必须单独授权。

用户可以始终授权访问他们自己的用户信息。 授权应以书面形式提供，并与查阅要求一并保存。

在没有用户授权的情况下，适用以下规定：

A.若涉及诉讼、法律程序、执法或新濠影汇赌场或州机构调查，或为根据本政策保留用户信息以备可能的后续访问，总法律顾问办公室必须书面授权访问。

B.为涉嫌不当行为的内部调查目的而访问用户信息的授权如下：

1. 如果用户是教职员工，或者用户不能提前确定，教务长或其指定人员必须以书面形式授权访问。

2. 如果用户是新濠影汇赌场或其他附属机构，首席人力资源官或其指定人员必须书面授权访问。

3. 如果用户是学生，学生教务长或其指定人员必须书面授权访问。

4. 如果用户仅是校友，则发展和校友关系高级副总裁或其指定人员必须以书面形式授权访问。

作为一般规则，指定的大学官员在授权访问之前应与总法律顾问办公室协商，并酌情与相关的学术院长或副校长协商。

信息服务和技术部将保存一份日志，记录所有因内部调查不当行为而被授权访问的情况。

C.访问用户信息以获取无法通过其他方式实际或及时获取的关键业务信息：(i)如果是员工，则用户所在或曾受雇于的业务单位主管必须书面授权访问；（ii）如果是教职员工，则该教职员工所任职的学校或学院的院长必须书面授权访问。

D.若在校园安全或任何人的生命、健康或安全受到威胁的紧急情况下访问用户信息，总法律顾问办公室或波士顿大学警察局长必须授权访问。

4. 请注意

当大学打算访问当前用户的用户信息时，通常应在访问时或在合理可行的情况下尽快通知该用户。 目前的用户包括退休人员，他们保持一个活跃的电子邮件地址“bu.edu”。

但是，如果大学在法律上受到限制或限制而不能提供通知，则不需要通知。 在时间不足、发出通知会妨碍对紧急情况或其他迫切需要作出有效反应的情况下（例如，在内部调查阶段，发出通知可能会损害调查），或者不现实的情况下，不需要同时发出通知。 在这种情况下，通常会尽快发出通知。 此外，大学不需要通知已去世或不再隶属于大学的用户。 指定的授权人将在与总法律顾问办公室协商后，决定是否需要或可能因本节所述的原因之一而延迟通知。

5. 查阅范围

在切实可行的情况下，授权人须采取合理步骤，限制查阅为达致大学目的而合理需要的资料。 这些限制将视情况而定； 限制可能包括，例如，目标搜索条件或时间参数。

参与搜索和获取用户信息，应仅限于那些有合法需要的大学人员或大学代理。

6. 生效日期

公开电子资讯政策于2017年6月1日生效。

7. 历史

获取电子信息的政策由信息服务与技术办公室和总法律顾问办公室起草，由大学校董会教员政策委员会审查，并建议由大学校董会全体通过。 于2017年5月17日获校董会批准。

---