资源简介

实验中学校数据安全与隐私保护制度
（试 行）
第一章 总则
第一条 为规范我校数据处理活动，保障师生个人信息权益，维护教育数据安全，依据《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《未成年人学校保护规定》及教育部等五部门《“人工智能+教育”行动计划》等法律法规和政策文件，结合我校实际，制定本制度。
第二条 本制度适用于我校所有部门、教职工、第三方服务机构在校内教育教学、管理服务、教研科研等活动中对数据的收集、存储、使用、加工、传输、提供、公开、删除等处理活动。
第三条 数据安全与隐私保护工作遵循以下原则：
（一）合法正当：数据采集和处理须有明确、合理的目的，不得超出必要范围。
（二）最小必要：仅收集与教育教学、管理服务直接相关的最少数据。
（三）分级保护：根据数据敏感程度和影响范围，实行分类分级管理。
（四）权责一致：谁采集谁负责、谁使用谁负责、谁管理谁负责。
（五）全程可控：覆盖数据全生命周期，确保安全可追溯。
第二章 数据分类与分级
第四条 学校教育数据按内容分为以下类别：
（一）学生数据：包括身份信息、学籍信息、学业成绩、考勤记录、健康状况、行为表现、心理测评、家庭信息等。
（二）教职工数据：包括身份信息、人事信息、教学科研数据、考核评价信息等。
（三）教育教学数据：包括教案、课件、试题、作业、教学视频、教研记录等。
（四）管理服务数据：包括教务数据、后勤数据、财务数据、设备运行数据等。
（五）其他数据：包括校园安防数据、网络访问日志等。
第五条 按敏感程度和数据泄露可能造成的危害，将数据分为三个等级：
一级：敏感数据：学生身份信息、家庭信息、心理测评、健康状况、人脸信息、考试成绩、教职工身份证号、银行账户等。数据泄露可能严重侵害师生隐私权、财产权，可能引发法律纠纷。
二级：重要数据：学生日常表现、考勤记录、教师教学数据、校园安防视频、考试试题（未公开）等。数据泄露可能对学校管理、教学秩序造成较大影响。
三级：一般数据：公开课程资源、校园通知、已公开发布的活动信息等。数据泄露可能影响较小或可控。
第六条 不同等级数据实行差异化管理：
一级数据：严格限制访问权限，须经分管校领导审批方可使用，禁止导出至个人设备。
二级数据：授权相关人员按需访问，使用须有记录，禁止擅自对外提供。
三级数据：可适度开放共享，但仍须遵守著作权和有关规定。
第三章 数据采集与存储
第七条 数据采集应当遵循以下要求：
（一）采集学生个人信息前，应当明确告知采集目的、方式、范围、存储期限、使用规则等，并取得学生及其监护人书面同意。
（二）不得采集与教育教学、管理服务无关的个人信息，不得通过“霸王条款”强制同意。
（三）采集人脸、指纹等生物识别信息，须经学校数据安全工作小组审议，并报上级教育部门备案。
（四）使用第三方平台采集数据，须事先审核该平台的数据安全能力，并签订数据安全协议。
第八条 数据存储应当遵循以下要求：
（一）一级和二级数据应当存储在校内服务器或教育专网环境中，不得存放在个人电脑、移动硬盘、云盘等非受控设备上。
（二）重要数据应当加密存储，加密密钥由信息中心专人管理，定期更换。
（三）数据存储期限应当遵循最小必要原则，学生毕业后一般数据保留不超过2年，学籍档案等依法需要长期保存的除外。
（四）存储超过3年的历史数据，应当进行归档和脱敏处理。
第四章 数据使用与共享
第九条 校内使用数据，应当遵循以下规定：
（一）教职工仅可访问其工作职责所必需的数据，不得超权限查询、复制、下载。
（二）使用人工智能教育应用处理数据时，应当确保应用通过安全审核，并在授权范围内运行。
（三）用于教学研究的数据，应当进行匿名化或脱敏处理，确保无法识别特定个人身份。
第十条 数据对外共享，应当遵循以下规定：
（一）未经学生及监护人同意，不得向校外机构或个人提供学生个人信息。
（二）因教育统计、科研合作等确需对外提供数据的，须经学校数据安全工作小组审核，校长办公会批准，并与接收方签订数据安全与保密协议。
（三）向教育主管部门报送数据，按相关规定执行，但应当对敏感信息进行脱敏或加密传输。
（四）严禁将学生、教职工数据用于商业营销、算法训练（未经同意的）、信用评估等非教育目的。
第十一条 委托第三方处理数据的，应当：
（一）对第三方进行数据安全能力评估；
（二）签订数据处理协议，明确处理目的、期限、方式、安全保护措施及违约责任；
（三）监督第三方按约定处理数据，不得转委托；
（四）委托关系终止后，要求第三方删除或返还相关数据。
第五章 数据安全防护
第十二条 技术防护措施：
（一）建立校园网络安全防护体系，部署防火墙、入侵检测、数据防泄漏等系统。
（二）对存储一级、二级数据的系统实行多因素身份认证，记录所有访问日志，日志保存不少于6个月。
（三）定期对重要数据进行备份，备份数据应当异地存储，每学期至少开展一次备份恢复演练。
（四）所有联网使用的教育应用和数据系统，应当安装杀毒软件并定期更新补丁。
第十三条 人员管理措施：
（一）与接触敏感数据的教职工、第三方服务人员签订保密承诺书，明确保密义务和违约责任。
（二）教职工离岗、离职时，应当及时收回数据访问权限，并要求其清空个人设备中留存的教育数据。
（三）每学期至少组织一次数据安全培训，重点岗位人员每学期不少于2次。
第十四条 终端设备管理：
（一）教职工使用个人手机、平板、笔记本电脑处理学校数据时，须安装学校指定的安全管控软件。
（二）禁止在公共计算机、未加密的移动存储设备上存储或传输一级、二级数据。
（三）报废或转赠的存储设备，应当进行数据彻底清除或物理销毁。
第六章 数据安全事件应急响应
第十五条 数据安全事件包括但不限于：
（一）数据泄露：敏感数据被未授权访问、窃取、公开；
（二）数据篡改：重要数据被恶意修改、删除、伪造；
（三）数据丢失：因设备故障、人为失误导致数据不可恢复；
（四）违规使用：数据被用于未经授权的目的。
第十六条 建立应急响应机制：
（一）信息中心设立数据安全应急响应小组，由信息中心主任担任组长。
（二）制定《数据安全事件应急预案》，明确事件分级、报告流程、处置措施和事后复盘要求。
第十七条 事件处置流程：
（一）发现与报告：任何人员发现或怀疑发生数据安全事件，须在1小时内向信息中心报告。
（二）初步研判：信息中心接到报告后2小时内完成研判，确定事件等级。
（三）应急处置：一级事件立即暂停相关系统运行，切断网络连接，保护现场；二级、三级事件按预案采取隔离、修复、取证等措施。
（四）信息报送：发生一级数据安全事件，学校应在24小时内向主管教育部门和公安机关报告。
（五）通知与善后：涉及学生个人信息泄露的，应当及时通知学生及其监护人，说明情况和应对建议；事后形成事件调查报告，完善防护措施。
第十八条 每学年至少组织一次数据安全应急演练，检验预案的有效性。
第七章 监督与责任
第十九条 学校数据安全工作小组负责对本制度执行情况进行监督检查，每学期开展一次数据安全专项检查，检查结果向校长办公会报告。
第二十条 建立数据安全责任追究制度：
（一）教职工违反本制度，视情节轻重给予批评教育、通报批评、扣发绩效、取消评优资格等处理；造成严重后果的，依法依规追究责任。
（二）第三方服务机构违反数据安全协议，按合同约定追究违约责任；造成数据泄露等严重后果的，依法移送相关部门处理。
（三）学生违规获取、泄露他人个人信息，按照校规校纪处理；情节严重的，移交公安机关。
第二十一条 建立投诉举报渠道，师生和家长可通过信息中心、校长信箱、专用邮箱反映数据安全和隐私保护相关问题。工作小组应在15个工作日内反馈处理情况。
第八章 附则
第二十二条 本制度由学校数据安全工作小组负责解释。
第二十三条 本制度自发布之日起试行，试行期一年。试行期满后根据法律法规变化和实际执行情况进行修订。
第二十四条 本制度如与上级部门新出台的规定不一致的，以上级规定为准。

展开更多......

收起↑