实验中学校数据安全与隐私保护制度

实验中学校数据安全与隐私保护制度 （试 行） 第一章 总则 第一条 为规范我校数据处理活动，保障师生个人信息权益，维护教育数据安全，依据《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《未成年人学校保护规定》及教育部等五部门《“人工智能+教育”行动计划》等法律法规和政策文件，结合我校实际，制定本制度。 第二条 本制度适用于我校所有部门、教职工、第三方服务机构在校内教育教学、管理服务、教研科研等活动中对数据的收集、存储、使用、加工、传输、提供、公开、删除等处理活动。 第三条 数据安全与隐私保护工作遵循以下原则： （一）合法正当：数据采集和处理须有明确、合理的目的，不得超出必要范围。 （二）最小必要：仅收集与教育教学、管理服务直接相关的最少数据。 （三）分级保护：根据数据敏感程度和影响范围，实行分类分级管理。 （四）权责一致：谁采集谁负责、谁使用谁负责、谁管理谁负责。 （五）全程可控：覆盖数据全生命周期，确保安全可追溯。 第二章 数据分类与分级 第四条 学校教育数据按内容分为以下类别： （一）学生数据：包括身份信息、学籍信息、学业成绩、考勤记录、健康状况、行为表现、心理测评、家庭信息等。 （二）教职工数据：包括身份信息、人事信息、教学科研数据、考核评价信息等。 （三）教育教学数据：包括教案、课件、试题、作业、教学视频、教研记录等。 （四）管理服务数据：包括教务数据、后勤数据、财务数据、设备运行数据等。 （五）其他数据：包括校园安防数据、网络访问日志等。 第五条 按敏感程度和数据泄露可能造成的危害，将数据分为三个等级： 一级：敏感数据：学生身份信息、家庭信息、心理测评、健康状况、人脸信息、考试成绩、教职工身份证号、银行账户等。数据泄露可能严重侵害师生隐私权、财产权，可能引发法律纠纷。 二级：重要数据：学生日常表现、考勤记录、教师教学数据、校园安防视频、考试试题（未公开）等。数据泄露可能对学校管理、教学秩序造成较大影响。 三级：一般数据：公开课程资源、校园通知、已公开发布的活动信息等。数据泄露可能影响较小或可控。 第六条 不同等级数据实行差异化管理： 一级数据：严格限制访问权限，须经分管校领导审批方可使用，禁止导出至个人设备。 二级数据：授权相关人员按需访问，使用须有记录，禁止擅自对外提供。 三级数据：可适度开放共享，但仍须遵守著作权和有关规定。 第三章 数据采集与存储 第七条 数据采集应当遵循以下要求： （一）采集学生个人信息前，应当明确告知采集目的、方式、范围、存储期限、使用规则等，并取得学生及其监护人书面同意。 （二）不得采集与教育教学、管理服务无关的个人信息，不得通过“霸王条款”强制同意。 （三）采集人脸、指纹等生物识别信息，须经学校数据安全工作小组审议，并报上级教育部门备案。 （四）使用第三方平台采集数据，须事先审核该平台的数据安全能力，并签订数据安全协议。 第八条 数据存储应当遵循以下要求： （一）一级和二级数据应当存储在校内服务器或教育专网环境中，不得存放在个人电脑、移动硬盘、云盘等非受控设备上。 （二）重要数据应当加密存储，加密密钥由信息中心专人管理，定期更换。 （三）数据存储期限应当遵循最小必要原则，学生毕业后一般数据保留不超过2年，学籍档案等依法需要长期保存的除外。 （四）存储超过3年的历史数据，应当进行归档和脱敏处理。 第四章 数据使用与共享 第九条 校内使用数据，应当遵循以下规定： （一）教职工仅可访问其工作职责所必需的数据，不得超权限查询、复制、下载。 （二）使用人工智能教育应用处理数据时，应当确保应用通过安全审核，并在授权范围内运行。 （三）用于教学研究的数据，应当进行匿 ... ...