《教育系统核心数据和重要数据识别认定工作指南(试行)》

《教育系统核心数据和重要数据识别认定工作指南(试行)》一、总则1.1目的依据为落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《教育数据管理办法》《国家数据分类分级规则》（GB/T41479-2022）等法律法规和标准要求，规范全国教育系统核心数据、重要数据识别认定工作，明确分级保护要求，保障教育数据安全，维护国家安全、公共利益和师生合法权益，制定本指南。1.2适用范围本指南适用于各级教育行政部门、各级各类公办民办学校（含普通中小学、幼儿园、中等职业学校、高等学校、特殊教育学校）、教育直属事业单位、教育领域研究机构、经教育行政部门许可开展教育服务的第三方机构，对本单位管理、产生、拥有的数据开展核心数据与重要数据识别认定工作。1.3基本原则（1）谁主管谁负责、谁所有谁负责。各级教育单位对本单位及管辖范围内教育机构的数据识别认定工作承担主体责任，上级教育行政部门承担监管责任，明确责任链条，确保识别认定工作覆盖所有数据资产，无盲区、无遗漏。（2）科学精准、就高不就低。以数据安全事件发生后可能造成的危害范围、危害程度作为核心定级依据，对存在定级争议的数据按照较高等级认定，避免降格导致保护不到位；同时严格把握分级标准，避免不必要的过度分级，提升管理效率。（3）全量覆盖、动态更新。识别认定覆盖本单位所有领域、全生命周期的数据资产，包括业务自主产生的数据、第三方合作采集加工的数据、跨部门汇聚共享获得的数据，同时结合业务变化、政策调整及时更新定级结果。（4）依法合规、突出重点。严格遵循国家统一标准，结合教育行业涉及大量未成年人个人信息、关系国家人才培养战略的特点，突出对师生合法权益、教育公共利益、国家安全的保护，定级结果匹配实际保护需求。二、术语定义2.1核心数据指教育领域内，一旦遭到篡改、破坏、泄露或者未经授权获取、利用，会直接危害国家安全、重大公共利益，对全国教育改革发展稳定造成特别严重损害的数据。2.2重要数据指教育领域内，一旦遭到篡改、破坏、泄露或者未经授权获取、利用，会危害区域公共利益、教育管理秩序，损害师生合法权益，造成较大损害的未达到核心数据认定标准的数据。2.3一般数据指除核心数据、重要数据以外，不会危害国家安全、公共利益和师生合法权益的数据。三、识别范围各级教育单位需对以下业务领域的数据全量梳理，开展核心数据、重要数据识别：3.1教育政务管理领域：包括各级教育行政部门行政审批、行政执法、教育督导、考试招生、事业统计、经费管理、校园安全监管等业务产生的所有未公开敏感数据。3.2师生权益与个人信息领域：包括所有教职工、学生（含来华留学生、港澳台学生）的个人信息，以及涉及师生权益保障的资助、就业、奖惩、医疗健康等业务产生的敏感数据。3.3人才培养与教学管理领域：包括各级各类学校命题考试、课程建设、学籍管理、学位授予、中外合作办学、来华留学管理等业务产生的核心敏感数据。3.4教育科研与创新领域：包括各级各类重大科研项目、涉密研究、智库咨询、知识产权等业务产生的未公开核心数据。3.5校园安全与基础设施领域：包括校园安防、公共卫生、食品安全、重要基础设施布局、能源供应监测等业务产生的核心敏感数据。3.6财务资产与建设领域：包括教育专项资金、国有资产、重大基建、政府采购等业务产生的未公开敏感数据。3.7教育信息化与网络安全领域：包括教育专网、教育云平台、公共服务系统、身份认证体系等产生的核心技术与业务数据。四、认定标准4.1核心数据认定标准符合下列情形之一的数据，应当认定为核心数据：（1）经保密行政管理部门定密确定为国家秘密（含秘密级、机密级、绝密级）的教育领域数据；（2）涉及国家安全的敏感数据：包括国家教育统一考试（普通高等学校招生全国统一考试、全国硕士研究生招生考试、国家高等教育自学考试、中小学教师资格考试、国家普通话水平测试等国家级教育考试），在命题、审题、组卷、评卷环节启用前的所有试题、参考答案、评分标准、考生个人信息、成绩原始数据；涉及国防动员、涉密专业人才培养、军民融合教育项目的所有未公开敏感数据；涉及国家重大教育战略部署的未公开决策数据；（3）会对全国性教育公共利益造成特别严重损害的数据：包括全国汇总的教育事业统计敏感涉密数据；全国教育主干网、国家教育云平台核心节点的拓扑结构、运行调度、安全防护核心数据；教育部直属全国性教育公共服务平台（学信网、学位网、中国教育考试网、国家中小学智慧教育平台等）的核心身份认证数据库、用户权限管理核心数据；汇聚规模达到100万条及以上的师生敏感个人信息（包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹、家庭住址、未成年人个人信息等）批量数据；（4）会造成特别重大损失或特别重大负面影响的数据：包括国家级重大教育科研项目涉及国家关键核心技术攻关的未公开原始数据、成果数据；涉及重大公共卫生事件、重大校园安全事件的未公开涉密研判数据；全国性或区域性重要教育基础设施的整体布局、核心防护策略数据；国家级教育改革试点未公开的核心决策数据。4.2重要数据认定标准符合下列情形之一，未达到核心数据认定标准的数据，应当认定为重要数据：（1）省级及以下教育行政部门、高校汇总编制的未公开教育统计敏感数据、教育经费决算汇总数据、区域教育发展规划未公开敏感数据；（2）国家教育统一考试启用以后的批量考生个人信息、批量成绩数据；省级教育统一考试（普通高中学业水平选择性考试、初中学业水平考试、省级教师资格认定考试等）命题、组卷环节启用前的所有试题、答案数据；各类学校校级统一考试命题启用前的批量试题数据；（3）汇聚规模在10万条以上、100万条以下的师生敏感个人信息批量数据；汇聚规模不足10万条，但涉及困境儿童、残障学生、受助学生、校园安全案件当事人、未成年人违法犯罪记录等特殊群体的批量敏感数据；（4）省部级及以下教育科研项目的未公开核心数据；涉及敏感社会领域教育研究的未公开成果数据；未公开的高校智库决策咨询数据；未公开的高校知识产权核心研发数据；（5）区域性教育信息系统、省级教育专网的核心拓扑结构、运行调度、安全防护数据；高校及直属单位自建业务系统的批量用户核心数据；（6）单项预算1000万元以上教育专项资金分配使用的未公开敏感数据；教育单位单项预算5000万元以上重大基建项目的未公开设计数据；高校及直属事业单位重要国有资产（含土地、文物、大型科研仪器设备）的核心管理数据；教育单位政府采购项目的未公开敏感招标数据；（7）校级附属二级以上医院的批量患者医疗健康数据；校园核心区域安防系统的批量监控数据、人员出入记录数据；涉及食品安全、校园公共卫生的批量监测数据；（8）其他符合国家数据分类分级规则，应当认定为重要数据的教育领域数据。4.3特殊情形说明（1）单个自然人的敏感个人信息不单独纳入核心数据、重要数据目录，按照《个人信息保护法》相关要求落实保护措施；批量汇聚的敏感个人信息按本标准定级；（2）已经依法公开的教育数据不纳入核心数据、重要数据目录。五、识别认定流程5.1全量数据梳理各单位组织业务部门对本单位所有数据资产（含线下存储数据、第三方合作数据）进行全量梳理，摸清数据来源、规模、存储位置、使用范围、共享边界、更新频率，形成完整的数据资产清单，不得遗漏任何敏感数据。5.2初步识别定级由业务部门对照本指南的认定标准，对数据资产清单内的数据逐项识别，提出核心数据、重要数据的初步定级意见，标注数据名称、类型、规模、定级依据、责任部门，形成初步的核心数据、重要数据目录草案。5.3专家评审论证各单位组建识别认定评审委员会，委员会人数不得少于5人，涵盖业务、数据安全、网络技术、法律四个领域，其中外单位专家不得少于三分之一。评审委员会对目录草案逐项评审，重点核查定级是否准确、是否存在遗漏，形成书面评审意见，定级存在争议的数据需重新核查，三分之二以上专家同意方可通过评审。对争议较大的数据，需报上级教育行政部门征求意见。5.4审核备案核心数据经本单位主要负责人审核后，报省级教育行政部门复核，省级教育行政部门汇总本辖区核心数据目录后，报教育部备案；教育部直属高校、直属事业单位的核心数据直接报教育部备案。重要数据经本单位主要负责人审核批准后，报上一级教育行政部门备案。5.5目录发布备案完成后，各单位正式发布本单位核心数据、重要数据目录，明确每个数据项的保护责任单位、责任人、保护要求，同步更新本单位数据资产清单，向所有相关人员公开目录内容。目录应当包含数据名称、数据类别、定级级别、数据规模、存储方式、责任部门、共享范围、保护要求八个基本要素。六、分级保护要求6.1核心数据保护要求严格按照国家核心数据保护相关规定，落实全生命周期安全保护措施：（1）存储管理：核心数据必须存储在境内，一律不得擅自出境，确需向境外提供的，必须按照《数据出境安全评估办法》向国家网信部门申报安全评估，评估通过后方可提供；存储应当符合网络安全等级保护三级以上要求，实行加密存储、多副本异地备份；（2）访问控制：实行最小权限授权，落实双因子身份认证、双人审批制度，所有访问操作全程留痕，操作日志加密存储，不得篡改删除，保存期限不少于1年；（3）共享管理：未经省级以上教育行政部门批准，不得跨单位跨区域共享核心数据，确需共享的应当签订书面安全保密协议，落实加密传输、访问控制要求；（4）风险监测：至少每半年开展一次核心数据安全检测评估，每年开展一次全生命周期安全审计，及时排查整改风险隐患。6.2重要数据保护要求（1）存储管理：重要数据原则上存储在境内，确需向境外提供的，由省级教育行政部门组织开展出境安全评估，评估通过后报教育部、国家网信部门备案；存储应当符合网络安全等级保护二级以上要求，落实加密存储措施；（2）访问控制：落实强身份认证、权限分级管理制度，所有访问操作全程留痕，操作日志保存期限不少于6个月；（3）共享管理：共享重要数据需经本单位分管负责人批准，签订书面安全保密协议，明确各方安全责任；（4）风险监测：至少每年开展一次重要数据安全检测评估，及时整改风险隐患。6.3销毁管理核心数据销毁应当采用物理销毁方式，确保数据不可恢复；重要数据销毁应当采用不可逆技术销毁方式，严禁未经销毁随意丢弃存储介质。七、动态调整与监督管理7.1动态调整机制各单位应当至少每3年对本单位核心数据、重要数据目录开展一次全面复审，发生下列情形之一的，应当在1个月内启动调整程序：（1）国家法律法规、政策标准发生变化，调整核心数据、重要数据范围的；（2）数据规模发生变化，达到更高等级认定标准的；（3）业务调整导致数据用途、重要程度发生变化的；（4）发生数据安全事件，暴露原有定级不准确的；（5）数据管理主体发生变更的。调整后的目录按照原流程重新审核备案。7.2监督检查省级教育行政部门每年组织对本辖区教育系统核心数据、重要数据识别认定工作开展抽查，抽查比例不低于辖区内教育单位总数的15%，重点检查定级准确性、保护措施落实情况，对定级错误超过10%的，要求单位重新开展全量识别认定；教育部不定期组织全国性抽查，通报抽查结果。7.3责任追究对未按照要求开展识别认定工作，故意隐瞒核心数据、重要数据，导致发生重大数据安全事件的，依照《数据安全法》《个人信息保护法》《教育数据管理办法》等法律法规追究相关单位和人员的责任；构成犯罪的，依法移送司法机关处理。八、保障措施8.1组织保障各级教育单位主要负责人是数据安全和识别认定工作第一责任人，明确专门的数据安全管理部门牵头负责识别认定工作，落实“一数据一责任人”制度，每个核心数据、重要数据