2025年教育数据隐私保护协议

2025年教育数据隐私保护协议甲方（数据控制者/教育机构）：[教育机构全称]，法定代表人/负责人：[姓名]，地址：[详细地址]，联系方式：[电话/邮箱]。乙方（数据主体/用户）：[学生/家长/教职工姓名]，身份证号/统一社会信用代码（教职工适用）：[编号]，与甲方关系（如学生/监护人/教职工）：[关系描述]，联系方式：[电话/邮箱]。###一、定义与解释1.教育数据：指甲方在教育教学、管理服务过程中收集、产生的，与乙方相关的各类信息，包括但不限于：（1）个人信息：可直接或间接识别乙方的信息（如姓名、身份证号、学号/工号、联系方式、家庭住址等）；（2）敏感个人信息：一旦泄露或滥用可能导致乙方权益受到严重损害的信息（如生物识别信息、健康监测数据、成绩排名、心理测评记录、家庭经济状况等）；（3）教育过程数据：学习记录（课程参与度、作业完成情况、考试成绩）、考勤数据、行为表现数据（奖惩记录、校园活动参与记录）等；（4）系统日志数据：登录IP地址、设备信息、操作记录等（用于系统安全与故障排查）。2.数据处理：包括数据的收集、存储、使用、加工、传输、提供、公开、删除等全生命周期操作。3.匿名化/去标识化处理：指通过技术手段处理数据，使信息无法识别特定个人且不可复原（如去除姓名、身份证号后关联学号分析学习趋势）。###二、数据收集与处理####2.1收集范围与目的甲方仅出于合法、正当、必要的目的收集乙方数据，具体范围与目的对应如下：（1）基本信息：包括姓名、身份证号、学号/工号、联系方式、家庭住址（仅监护人提供），用于建立教育档案、身份核验、联系通知，合法性基础为履行教育管理职责所必需；（2）教育过程数据：包括课程记录、作业提交情况、考试成绩、考勤数据，用于评估学习效果、优化教学方案、学籍管理，合法性基础为履行教育教学职责所必需；（3）敏感个人信息：包括健康体检报告、过敏史、心理测评记录、家庭经济困难证明（如适用），用于保障学生健康安全、提供针对性帮扶（如助学金、心理辅导），合法性基础为取得乙方（或监护人）单独书面同意或法律法规要求；（4）系统日志数据：包括登录IP、设备型号、操作时间，用于保障系统安全、排查故障、防范滥用，合法性基础为维护信息系统稳定运行所必需。注：甲方不得收集与教育目的无关的数据，不得过度收集；如超出原定范围收集数据，需重新取得乙方同意。####2.2收集方式与告知1.主动告知：甲方通过入学须知、校园官网、隐私政策、书面通知等方式，向乙方明确告知数据收集的类型、目的、方式、存储期限及乙方权利。2.收集方式：通过纸质表单、线上系统（如教学平台、校园APP）、人工录入等方式收集，确保数据来源合法。###三、数据安全保护措施####3.1技术措施（1）加密存储：敏感个人信息采用AES-256加密算法存储，个人信息采用MD5哈希加密；（2）访问控制：实施最小权限原则，不同岗位员工仅可访问职责所需数据（如教师仅可查看所教班级学生数据，管理员仅可访问匿名化汇总数据）；（3）安全审计：记录数据访问、操作日志，保留不少于6个月，定期（每季度）进行漏洞扫描与渗透测试；（4）备份与恢复：每日增量备份、每周全量备份，备份数据存储于独立物理服务器，确保数据可恢复。####3.2管理措施（1）人员培训：每年组织不少于2次数据安全培训，确保员工熟悉隐私保护义务与应急流程；（2）责任到人：设立数据保护负责人（姓名：[负责人姓名]，联系方式：[邮箱]），负责数据安全日常管理；（3）应急预案：制定数据泄露应急预案，明确泄露情形（如黑客攻击、内部员工违规）、响应流程（24小时内通知乙方及监管部门）、补救措施。####3.3数据存储期限与处置（1）存储期限：数据存储期限为实现协议目的所必需的最短时间，具体如下：①学生基本信息：毕业后10年（用于学历认证、校友联系）；②教育过程数据：毕业后5年（用于教学评估、历史数据统计）；③敏感个人信息：相关服务结束后立即删除（如心理测评记录用于辅导后1年内删除）；④系统日志数据：删除后6个月内不可恢复。（2）删除与匿名化：超出存储期限或乙方撤回同意/要求删除的，甲方应在15个工作日内删除或匿名化处理（法律法规另有规定的除外）。###四、数据主体的权利与义务####4.1乙方的权利（1）查阅与复制权：乙方有权查阅、复制甲方持有的其个人信息，可通过书面申请、线上平台（如校园APP“数据查询”模块）行使权利，甲方应在5个工作日内提供。（2）更正与补充权：如乙方发现数据不准确或不完整，有权要求更正或补充，甲方核实后应在3个工作日内处理。（3）删除权：在下列情形下，乙方有权要求删除数据：①数据收集目的已实现或无法实现；②乙方撤回同意（需区分“单独同意”与“一般同意”，敏感个人信息删除需以书面撤回为准）；③甲方违法处理数据。例外：法律法规规定的保存期限届满前，或为维护公共利益、他人合法权益所需的，甲方可不删除，但应停止使用并匿名化。（4）撤回同意权：乙方可通过书面或线上方式撤回对数据处理的同意，不影响撤回前基于同意已进行的合法处理；撤回后甲方应停止处理相关数据（法律法规或合同另有约定的除外）。（5）解释说明权：乙方有权要求甲方解释数据处理的规则、目的、范围等，甲方应在3个工作日内以易懂语言回复。####4.2乙方的义务（1）提供真实信息：乙方应向甲方提供真实、准确的数据，因信息不实导致的损失由乙方自行承担。（2）正当行使权利：乙方行使权利时应遵守法律法规，不得滥用权利（如频繁恶意查询、干扰甲方正常运营）。###五、数据共享、转让与跨境传输####5.1数据共享（1）共享范围：仅限于为实现教育目的所必需的第三方，包括教育主管部门（如教育局、教育厅）、合作办学机构（如联合培养院校、实习单位）、第三方技术服务商（如教学平台运营商、云服务提供商，需通过ISO27001认证并签订保密协议）。（2）共享条件：①共享前取得乙方（或监护人）单独书面同意（法律法规明确无需同意的除外）；②第三方需采取与甲方同等安全保护措施，甲方有权监督其数据处理行为。####5.2数据转让甲方不得向第三方转让乙方数据，但因合并、分立、解散等情形确需转让的，应提前30日通知乙方，并确保受让人继续履行数据保护义务。####5.3跨境数据传输如需将数据传输至境外（如国际交流项目、海外合作院校），应符合《数据出境安全评估办法》等规定：①通过国家网信部门的安全评估；②经专业机构认证（如通过GDPR认证）；③乙方（或监护人）单独同意，并明确传输目的、范围、接收方及安全措施。###六、保密义务1.双方对在协议履行过程中知悉的对方数据、商业秘密等负有保密义务，未经对方书面同意，不得向任何第三方披露（法律法规要求或为维护公共利益、对方合法权益所需的除外）。2.甲方员工因职务接触乙方数据的，需签订《保密承诺书》，明确违约责任。###七、违约责任1.甲方违约：（1）未采取安全措施导致数据泄露：赔偿乙方因此遭受的直接损失（如财产损失、合理维权费用）；情节严重的，支付[10万元-50万元]违约金；（2）未履行告知义务或违规收集数据：乙方有权要求删除数据，甲方应在3个工作日内整改；（3）拒绝乙方行使合法权利：乙方有权向教育主管部门投诉，甲方应承担因此产生的行政处罚责任。2.乙方违约：（1）提供虚假信息导致甲方损失的，应赔偿甲方直接损失；（2）滥用权利（如恶意泄露甲方告知的保密信息）的，甲方有权暂停提供相关服务，并追究乙方法律责任。###八、协议期限与终止1.协议期限：自双方签字/盖章之日起生效，有效期为3年，期满前30日如无书面异议，自动续期1年。2.终止情形：（1）协议期限届满且未续期；（2）双方协商一致终止；（3）甲方破产、解散或丧失教育资质；（4）乙方死亡、丧失民事行为能力或不再与甲方存在教育关系（如学生毕业、教职工离职）。3.终止后的数据处置：协议终止后，甲方应在30日内删除乙方数据（法律法规要求保留的除外），并向乙方出具数据删除证明。###九、法律适用与争议解决1.法律适用：本协议适用中华人民共和国法律（包括《中华人民共和国个人信息保护法》《中华人民共和国数据安全法》《中华人民共和国教育法》等）。2.争议解决：双方因协议发生争议，应首先协商解决；协商不成的，任何一方可向甲方所在地有管辖权的人民法院提起诉讼。###十、其他条款1.通知送达：双方在本协议中载明的联系方式为有效联系方式，任何书面通知以邮寄（寄送后3日视为送达）、电子邮件（发送后24小时视为送达）或甲方校园公告（公告后3日视为送达）方式送达。