幼儿园数据隐私保护制度

幼儿园数据隐私保护制度一、总则（一）制定目的为规范幼儿园数据隐私管理行为，切实保护在园幼儿及家长的个人信息安全，防范数据泄露、滥用、篡改等风险，维护师幼及家长合法权益，保障幼儿园保育教育工作有序开展，依据《中华人民共和国个人信息保护法》《中华人民共和国未成年人保护法》《中华人民共和国网络安全法》等相关法律法规，结合本园实际，制定本制度。（二）适用范围本制度适用于本园全体教职工（含教师、行政人员、后勤人员、实习人员）、在园幼儿家长（含监护人）、临时访客（如维修人员、合作机构人员），以及幼儿园所有数据信息的收集、存储、使用、传输、删除等全流程管理活动，覆盖纸质档案、电子系统、监控设备、家校沟通平台等各类数据载体。（三）核心原则合法正当原则：数据隐私收集、使用需遵循法律法规规定，明确告知目的并获得家长同意，禁止非法收集、使用数据信息。最小必要原则：仅收集与保育教育、安全管理、家园沟通直接相关的必要信息，不超出合理范围采集非必要数据。安全可控原则：建立全流程安全管控机制，落实数据安全防护措施，明确各岗位安全责任，确保数据全程可追溯、可管控。知情同意原则：收集幼儿及家长个人信息前，需以书面或电子形式明确告知信息用途、范围、存储期限及保护措施，经家长签字或确认同意后方可开展。二、数据隐私范围界定本制度所称数据隐私，指幼儿园在保育教育、日常管理、家园沟通等过程中收集或产生的，与幼儿及家长直接或间接相关的各类敏感信息，主要包括：幼儿个人信息：姓名、性别、出生日期、身份证号、户籍地址、家庭住址、入园照片、健康档案（过敏史、既往病史、疫苗接种记录、体检报告）、考勤记录、成长观察记录、活动影像资料等。家长及监护人信息：姓名、联系方式（电话、微信）、亲属关系、紧急联系人信息等；禁止收集家长职务、收入、房产、银行卡号等非必要敏感信息。园所敏感数据：监控录像、幼儿接送记录、安全管理台账、教职工信息及其他未公开的园所管理数据。三、数据隐私全流程管理规范（一）信息收集规范明确收集范围：严格遵循“最小必要”原则，新入园幼儿信息采集仅包含保育教育和安全管理必需的内容，具体由园所统一制定《幼儿信息采集清单》，严禁超范围采集信息。履行告知义务：采集信息前，向家长发放《数据隐私收集知情同意书》，明确告知信息收集目的、范围、使用方式、存储期限及保护措施，家长有权拒绝提供非必要信息，园所不得强制要求。规范采集方式：优先通过园所官方信息管理系统、纸质备案表等正规渠道采集信息；禁止通过非官方微信群、私人社交平台、第三方未授权软件等方式收集敏感信息。特殊信息审批：如需采集幼儿人脸信息（如门禁使用）、特殊健康信息等敏感数据，需单独获得家长书面同意，并报园所负责人审批备案，明确使用边界。（二）信息存储与保管规范分类存储管理：实行“纸质档案+电子系统”双介质分类存储。纸质档案统一存放于保密档案室，配备防盗门、密码柜、防火防潮设施，按班级、入园年份编号归档；电子信息存储于园所内部专用服务器或经教育主管部门备案的云平台，禁止存储于个人手机、U盘、私人云盘等非授权载体。安全防护措施：电子信息系统需安装防火墙、杀毒软件、入侵检测系统，定期进行漏洞扫描和补丁更新；服务器实行物理隔离，设置“账号+密码+短信验证码”三重登录验证，密码需包含“字母+数字”，长度不小于8位，每3个月强制更换一次。分级授权访问：建立数据访问权限分级制度，班级教师仅可查看本班幼儿基础信息，保教主任可查看全园幼儿非敏感信息，信息管理员负责数据维护但无修改权限，园长拥有最高审批权限，严禁超权限访问数据。数据备份管理：电子信息需每日自动备份至本地硬盘，每周手动备份至离线存储设备，备份介质与主存储设备分处不同物理位置，建立《数据备份台账》，每季度核查备份完整性。（三）信息使用与共享规范内部使用边界：数据信息仅限用于保育教育、安全管理、家园沟通等内部工作，禁止用于商业推广、数据交易或其他与幼儿成长无关的用途；使用幼儿活动照片、视频用于班级墙饰、园内活动展示时，需遮盖隐私部位，禁止随意传播。家园沟通规范：通过家长群、家校平台分享幼儿信息时，需控制范围，禁止批量发送幼儿个人信息；家长群需由班主任担任群主，实行身份验证入群，禁止无关人员加入，严禁群内成员截图转发幼儿信息至外部平台。外部共享审批：因教育主管部门检查、卫生防疫统计等法定事由需共享信息时，需填写《数据共享申请表》，注明共享对象、内容、目的及期限，经园长审批后，与接收方签订《信息安全保密协议》，采用加密传输方式，仅提供必要信息，删除无关敏感字段。禁止违规泄露：严禁教职工向无关第三方（如培训机构、广告公司）出售、提供幼儿及家长信息；严禁在公共场合、非授权平台展示幼儿个人隐私信息。（四）信息删除与归档规范定期清理机制：幼儿毕业或转学后，其个人信息需在1年内完成清理。纸质档案需粉碎销毁，做好销毁记录；电子信息需使用专业工具彻底删除，无法恢复，或转移至加密归档设备仅用于存档，禁止长期留存或复用。家长删除权利：家长提出删除幼儿个人信息的合理请求时，园所需在15个工作日内核实处理，完成信息删除并告知家长。设备数据清理：教职工离职、实习人员离岗时，需交还所有账号权限，清空使用设备中的园所数据，信息管理员需当日注销其账号，确保数据不遗留。四、各类人员职责（一）园长职责全面负责本制度的制定、修订和落实，审批数据隐私保护重大事项，保障数据安全管理资金投入。组织开展数据隐私保护培训，监督各部门职责落实情况，及时处理数据安全隐患和突发事件。（二）教职工职责严格遵守数据隐私管理规范，规范使用账号权限，妥善保管工作设备，禁止账号转借他人使用。主动学习数据保护知识，发现数据泄露、设备异常等情况时，立即停止操作并向园所负责人报告。在家园沟通中引导家长保护幼儿隐私，禁止在非工作场合传播幼儿信息。（三）家长职责配合园所提供必要的幼儿信息，有权了解信息使用情况，拒绝非必要信息采集。遵守家长群管理规定，禁止截图转发群内幼儿信息至外部平台，不传播他人隐私。发现幼儿信息被违规使用时，及时向园所反馈。（四）临时访客职责访客需登记身份信息，申请临时网络权限，仅可访问园所公开网络，禁止访问内部数据系统。禁止拍摄幼儿隐私场景、敏感区域（如监控室、服务器机房），禁止记录、传播幼儿个人信息。五、监督考核与应急处置（一）监督考核机制园所成立数据隐私保护监督小组，每月对数据收集、存储、使用情况进行抽查，每季度开展一次全面检查，建立《监督检查台账》，对违规行为及时整改。将数据隐私保护职责纳入教职工绩效考核，对严格遵守制度的人员予以表彰，对违规操作的予以批评教育，情节严重的按园所规章制度处理，涉嫌违法的移交司法机关。（二）应急处置规范突发事件报告：发生数据泄露、篡改、丢失等安全事件时，相关人员需立即向园所负责人和监督小组报告，说明事件详情，不得隐瞒、拖延。应急处置流程：启动数据安全应急预案，及时采取断开网络、冻结账号、备份残留数据等措施，防止事态扩大；组织人员核查事件原因，评估损失范围