高校智慧校园数据共享开放指引 (试行)

高校智慧校园数据共享开放指引(试行)高校智慧校园数据共享开放应遵循合法合规、需求导向、最小必要、安全可控原则，以提升数据资源利用效率，支撑教学、科研、管理与服务创新。具体实施要求如下：一、数据分类与定义高校智慧校园数据按业务领域分为教学数据、科研数据、管理数据、服务数据四大类，按敏感程度划分为公开数据、内部数据、受限数据、机密数据四级。1.教学数据：涵盖学生基本信息（姓名、学号、专业）、课程信息（课表、成绩、选课记录）、教学资源（课件、在线课程元数据）、教师授课信息（课时量、教学评价）等。其中，学生成绩属受限数据，仅允许授权的教学管理人员、教师及学生本人访问；课程表属内部数据，面向校内师生开放。2.科研数据：包括科研项目信息（名称、编号、负责人、经费）、实验数据（观测记录、样本信息）、成果数据（论文、专利、专著元数据）。实验原始数据属机密数据，仅限项目组成员及学术委员会授权人员使用；项目基本信息属内部数据，可在科研管理部门及相关学院范围内共享。3.管理数据：含人事数据（教职工姓名、岗位、聘用状态）、财务数据（经费到账记录、报销摘要）、资产数据（设备编号、使用状态）。教职工岗位信息属内部数据，面向校内各部门；财务明细属受限数据，需经经费负责人审批后共享。4.服务数据：涉及一卡通消费记录（时间、金额、场所）、场馆预约数据（日期、时段、使用人）、后勤服务数据（报修记录、水电用量）。消费记录属受限数据，仅允许本人及财务监管部门访问；场馆预约信息属内部数据，面向预约系统关联的管理部门。二、责任主体与职责1.数据提供方：各业务部门（如教务处、科研院、人事处）为数据提供责任主体，负责本部门业务系统数据的采集、清洗、更新与质量维护，确保数据完整性、准确性、一致性；制定本部门数据共享目录，明确可共享数据的范围、格式、更新频率及使用限制；对共享数据的合规性负责，需在共享前完成脱敏处理（如对身份证号保留后四位、手机号隐藏中间四位）。2.数据使用方：校内教学、科研、管理及服务相关部门、师生个人为数据使用主体，需严格按申请用途使用数据，不得超范围传播或用于商业目的；建立数据使用日志，记录数据访问时间、操作行为，留存期限不少于3年；发现数据异常（如错误、泄露）时，应立即向数据管理部门报告。3.数据管理方：学校信息化管理部门（如网络信息中心）为统筹管理主体，负责建设与维护数据共享平台，制定数据接口规范（如API调用协议、数据格式标准）；审核数据共享申请，组织数据提供方、法务部门、安全部门联合评估风险；监督数据使用过程，定期开展数据安全审计，每年至少一次全面检查。三、数据共享流程规范1.需求申请：使用方通过数据共享平台提交申请，需填写《数据共享申请表》，内容包括数据名称、用途（需具体说明支撑的业务场景，如“学生学业预警分析”）、使用范围（明确具体用户或部门）、使用期限（最长不超过1年）、安全承诺（声明遵守保密义务）。2.审核与授权：信息化管理部门收到申请后，3个工作日内转交数据提供方初审（核查数据是否存在、是否符合共享目录）；初审通过后，联合法务部门审核合规性（是否违反《个人信息保护法》《数据安全法》）、安全部门评估风险（如敏感数据脱敏是否彻底）；审核通过后，由数据提供方生成授权凭证（如API密钥、临时账号），通过共享平台反馈使用方，授权期限与申请期限一致。3.数据访问与使用：使用方通过共享平台提供的接口（如RESTfulAPI）或下载方式获取数据，访问行为需通过双因素认证（账号+动态验证码）；下载数据时需使用加密存储介质（如学校统一分发的加密U盘），禁止通过非授权渠道传输；使用过程中需遵守“最小必要”原则，仅处理与申请用途相关的数据字段。4.反馈与归档：使用方需在数据使用结束后5个工作日内提交《数据使用反馈报告》，说明数据质量问题（如缺失、错误）及优化建议；数据提供方应在10个工作日内完成问题整改并反馈；所有申请材料、授权记录、使用日志由信息化管理部门归档保存，保存期限不少于5年。四、技术支撑与安全保障1.技术平台要求：数据共享平台需支持多源数据接入（如关系型数据库、文件系统、第三方平台），提供标准化接口（支持JSON、CSV格式），具备元数据管理功能（记录数据来源、更新时间、字段说明）；采用分布式架构，确保高可用性（系统可用率不低于99.9%），支持横向扩展；部署数据交换中间件，实现跨域数据安全传输（采用TLS1.3协议加密）。2.安全技术措施：数据脱敏：对个人敏感信息（如身份证号、联系方式）采用去标识化技术（如哈希算法），对非结构化数据（如文档、图片）使用OCR识别后脱敏；加密存储：结构化数据存储时采用AES-256加密，密钥由密码管理系统（KMS）集中管理；非结构化数据存储于加密文件系统（如eCryptfs）；访问控制：基于角色的访问控制（RBAC），为不同角色（如教师、管理人员、学生）分配不同权限；对受限数据和机密数据实施动态授权（如仅在申请期限内开放访问）；安全审计：部署日志审计系统，记录所有数据访问操作（包括查询、下载、修改），日志字段需包含用户IP、操作时间、数据标识、操作结果；日志保存期限不少于6个月，重要日志（如机密数据访问）保存期限不少于1年；应急响应：制定数据安全事件应急预案，明确泄露、篡改等事件的报告流程（发现后1小时内向信息化管理部门报告）、处置措施（如立即终止异常访问、启动数据恢复）、责任追究（对违规操作的部门或个人按校规处理，涉嫌违法的移交司法机关）。五、数据质量保障1.质量标准：数据需满足完整性（必填字段无缺失）、准确性（与业务系统原始记录一致）、一致性（同一数据在不同系统中的表述统一，如“学院名称”采用全称）、时效性（按共享目录约定的频率更新，教学数据每日更新，科研数据每月更新）。2.质量维护：数据提供方需建立数据质量核查机制，每月对共享数据进行抽检（抽检比例不低于10%），并形成《数据质量报告》；信息化管理部门每季度组织跨部门数据质量联检，对连续2次抽检不合格的部门，暂停其数据共享权限直至整改完成；开通数据质量反馈渠道（如共享平台“问题反馈”模块），师生可提交数据错误信息，数据提供方需在3个工作日内核实并修正。六、激励与监督1.激励机制：对数据共享积极性高、数据质量优秀的部门，在信息化建设经费分配、系统升级优先级上给予倾斜；对提出有效