(2026年)幼儿园信息管理制度

(2026年)幼儿园信息管理制度2026年幼儿园信息管理制度适用于全国公办、民办普惠性及营利性幼儿园的全流程信息管理工作，以《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《幼儿园保育教育质量评估指南（2022年版）》及2025年国家网信办修订的《学前教育个人信息保护细则》为核心依据，以数据安全合规为底线，以支撑保教质量提升为目标，构建覆盖信息采集、存储、使用、共享、销毁全生命周期的标准化管理体系。一、信息分类与分级管理本制度将幼儿园信息分为四大类，分别建立分级管理机制，明确不同类别的管理要求与防护等级。第一类为保教类信息，涵盖幼儿每日考勤记录、晨检/午检的体温与体征数据、饮食起居记录、保教活动影像资料、幼儿成长档案（含绘画、手工作品影像、学习进度记录、AI辅助保教分析报告）、幼儿特殊教育需求档案等；第二类为后勤类信息，包括食材采购台账、教职工考勤记录、固定资产台账、维修维护记录、水电费账单、园所工程建设资料等；第三类为政务类信息，包含幼儿园年检材料、教育行政部门下发的正式通知、幼儿学籍备案信息、教职工入职备案材料、园所年度财务审计报告等；第四类为家长与幼儿个人信息，包括幼儿姓名、身份证号、生物识别信息（人脸识别、指纹、虹膜）、联系方式、家庭住址、过敏史、特殊疾病记录、家长姓名、联系方式、职业信息、家庭经济状况（仅用于贫困生资助）等。基于信息的敏感程度，本制度将所有信息划分为三级管理体系：核心敏感级信息，包括幼儿生物识别信息、医疗记录（过敏史、特殊疾病、传染病接触史）、AI生成的幼儿行为分析报告、教职工薪资信息、园所未公开的财务数据等，此类信息泄露将对幼儿及教职工的人身安全、合法权益造成严重损害，需采取最高等级的安全防护措施；重要级信息，包括幼儿考勤记录、成长档案、家长联系方式、后勤采购台账、教职工考勤记录（不含薪资）等，此类信息泄露可能影响园所正常运营或侵害相关人员的合法权益，需采取中等强度的安全防护措施；一般级信息，包括园所活动通知、教职工公开信息、固定资产公开清单、幼儿活动照片（经家长授权）等，此类信息泄露影响范围较小，仅需采取基础的安全防护措施。二、信息采集管理信息采集需严格遵循合法、最小必要、知情同意的原则，严禁采集与保教、保育无关的个人信息，包括但不限于家长的宗教信仰、政治面貌、非必要的银行账户信息、社交账号密码等。所有信息采集前，需通过幼儿园官方小程序或线下纸质形式向家长或教职工出具《信息采集告知书》，明确告知采集的目的、范围、存储期限、使用方式、隐私保护措施以及撤回同意的权利，经相关人员书面（电子）确认后方可开展采集工作。针对不同类别的信息，采集流程需对应不同的审批权限：保教类信息由班级班主任提出采集申请，经保教主任审核通过后方可实施，其中涉及幼儿生物识别信息、医疗记录等核心敏感级信息的采集，需额外提交园务委员会审批，并取得家长的二次书面授权；后勤类信息由后勤负责人提出采集申请，经后勤园长审核通过后方可实施，其中涉及教职工薪资、园所财务数据的采集，需经园长审批；政务类信息由行政办公室统一采集，需严格按照教育行政部门的要求开展，无需额外征得家长同意，但需确保采集的信息符合政务数据共享的相关规定。2026年起，幼儿园引入的智能晨检机器人、智能门禁系统等物联网设备采集的幼儿生物识别信息，需单独纳入核心敏感级信息管理，采集前需向家长详细说明设备的工作原理、数据存储方式、安全防护措施，并明确设备仅用于幼儿接送、晨检等保教场景，不得用于其他用途。同时，严禁使用私人微信、QQ等非官方平台存储或传输幼儿信息，所有信息采集必须通过幼儿园统一的智慧校园信息平台开展。三、信息存储管理所有幼儿园信息需存储在符合国家网络安全等级保护三级及以上标准的云平台或本地服务器中，且必须存储在中华人民共和国境内，确需向境外提供的，需通过国家网信部门组织的安全评估，并取得家长或教职工的书面同意。本地服务器需放置在园所专用的信息安全机房，配备恒温、防潮、防火、防盗等物理防护措施，云平台需选择国内合规的头部云服务商，如阿里云、腾讯云的幼教专属云服务，确保数据存储的安全性与可靠性。静态存储的信息需采用AES-256加密算法进行加密，传输过程中的信息需采用TLS1.3及以上版本的加密协议进行保护，防止数据在传输过程中被窃取或篡改。信息存储需建立严格的权限控制机制，每个用户仅能访问与自身岗位职责相关的信息，严禁越权访问。信息备份需每日开展增量备份，每周开展一次全量备份，备份数据需存储在异地灾备中心，与主存储中心的距离不得少于100公里，确保在主存储中心发生故障或灾难时，能够快速恢复数据。所有备份数据的保存期限需符合相关法律法规的要求：幼儿个人信息需保存至幼儿离园后至少5年，后勤类信息需保存至相关活动结束后3年，政务类信息需永久保存，备份数据的销毁需按照本制度规定的信息销毁流程执行。严禁教职工在私人电脑、手机等非官方设备上存储幼儿园信息，若因工作需要临时存储，需在工作结束后24小时内删除，并清空回收站，同时不得通过私人社交软件传输幼儿园信息。四、信息使用与共享管理信息使用需遵循权责一致、按需授权的原则，教职工因工作需要使用信息的，需通过身份验证（包括账号密码、生物识别、动态令牌等方式），且仅能查看与自身岗位职责相关的信息，不得擅自复制、下载、转发幼儿信息。例如，班主任仅能查看本班幼儿的考勤记录、成长档案等信息，保健医仅能查看幼儿的健康记录，财务人员仅能查看后勤类的财务信息，不得越权查看其他教职工或班级的信息。信息共享需严格限制范围，仅可在以下场景下开展：与卫生保健机构共享幼儿的健康记录，用于幼儿的疾病预防与治疗，需提前取得家长的书面同意；与教育行政部门共享幼儿学籍信息、园所运营数据，用于学前教育管理与政策制定，无需征得家长同意，但需符合政务数据共享的相关规定；与幼儿的法定监护人共享幼儿的成长档案、考勤记录等信息，仅可通过幼儿园官方小程序或线下查询的方式开展；与第三方合作机构共享信息的，需签订严格的保密协议，并取得家长的书面同意，且共享的信息不得超出合作所需的最小范围。2026年起，AI辅助保教系统生成的幼儿行为分析报告需纳入核心敏感级信息管理，此类报告仅可用于保教质量改进，不得用于评价幼儿的综合素质或向第三方泄露，且需经过保教主任的审核后方可提交给家长。同时，严禁将幼儿信息用于商业用途，包括但不限于广告宣传、商业推广、数据售卖等，除非取得家长的书面授权。五、信息安全防护管理幼儿园需建立完善的信息安全防护体系，采用零信任架构作为核心访问控制机制，每个用户每次访问信息系统时，都需进行身份验证与权限校验，无论其是否在园所内网范围内。同时，需部署入侵检测系统（IDS）、入侵防御系统（IPS）、防火墙等安全设备，实时监控信息系统的运行状态，及时发现并阻断异常访问与攻击行为。每年需至少开展两次国家网络安全等级保护测评，确保信息系统符合三级及以上的安全标准，每季度需开展一次漏洞扫描与修复工作，及时修补系统中的安全漏洞。同时，需定期开展信息安全培训，每季度组织一次教职工信息安全培训，内容包括数据安全法律法规、钓鱼邮件识别、信息泄露应急处理等，培训结束后需进行考核，考核不合格的教职工不得接触幼儿园信息系统。针对离职人员，需在其离职当天回收所有信息系统账号权限，删除其本地存储的幼儿园信息，并进行安全审计，确保其未泄露任何幼儿园信息。同时，需建立信息安全举报机制，鼓励教职工、家长举报信息安全违规行为，对举报属实的人员给予一定的奖励。六、信息销毁管理当信息达到保存期限或不再需要使用时，需按照本制度规定的流程进行销毁，严禁随意丢弃或转让存储过信息的存储介质。信息销毁需由信息管理员提出销毁申请，详细说明销毁的信息类型、数量、存储介质等内容，经园长审批通过后方可实施。销毁流程需根据存储介质的类型采取不同的方式：对于硬盘、U盘等电子存储介质，需采用物理销毁方式，包括粉碎、焚烧、磁消磁等，确保数据无法恢复；对于纸质存储介质，需采用粉碎、焚烧等方式进行销毁；对于云存储中的信息，需采用多次覆写或永久删除的方式进行销毁，确保数据无法被恢复。所有信息销毁过程需建立详细的记录，包括销毁的时间、地点、人员、方式、信息类型、数量等内容，销毁记录需至少保存3年，以备后续审计使用。废弃的存储介质需交给有资质的涉密销毁机构处理，严禁将存储过幼儿信息的硬盘、U盘等卖给二手市场或随意丢弃。七、岗位权责与监督考核本制度明确了各岗位的信息管理权责：信息管理员负责信息系统的日常维护、备份、安全防护、销毁等工作，对信息系统的安全性负责；保教主任负责审核保教类信息的采集、使用与共享，对保教类信息的合规性负责；后勤园长负责审核后勤类信息的采集、使用与共享，对后勤类信息的合规性负责；行政办公室负责政务类信息的采集、上报与管理，对政务类信息的合规性负责；教职工需严格遵守本制度，不得擅自采集、使用、共享或销毁幼儿园信息，对自身使用的信息负责。幼儿园需建立信息管理监督考核机制，将信息管理工作纳入教职工的绩效考核体系，每学期开展一次信息管理工作检查，对遵守制度的教职工给予表彰与奖励，对违反制度的教职工给予批评教育、罚款、解除劳动合同等处分，构成犯罪的移交司法机关处理。同时，家长委员会需每学期对幼儿园的信息管理工作进行监督，公开检查结果，确保信息管理工作符合家长的合法权益。八、应急处置机制幼儿园需制定完善的信息安全应急预案，明确信息泄露、系统故障、网络攻击等突发事件的处置流程。一旦发现信息泄露或其他信息安全事件，信息管理员需在1小时内上报园长与保教主任，同时启动应急预案，封锁泄露源，备份相关日志，进行漏洞修复与系统恢复。在事件发生后的24小时内，需将事件情况上报当地教育行政部门与网信部门，同时在72小时内以书面形式通知受影响的家长或教职工，通知内容包括泄露的信息类型、影响范围、补救措施等。事件处理完成后，需开展事后调查，找出事件发生的原因，制定整改措施，并在1个月内完成整改，同时组织