第一章 总 则
第一条 为进一步贯彻落实市教育两委对天津市教育数据管理相关文件精神,推进学校各类教育数据的规范管理、互联互通、共享开放和科学应用,确保学校教育数据安全,依据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》等有关法律法规和《天津市教育数据管理办法(试行)》等政策规划,制定本办法。
第二条 学校范围内教育数据处理活动及其监督管理,适用本办法。法律、法规另有规定的,从其规定。本办法所指教育数据为学校各单位产生的各类教育数据,包括学校、教职工、学生基础数据以及教育、教学、科研产生的数据和常态数据。开展教育数据处理活动涉及保密、个人信息等情形,以及涉及公共数据的政府信息公开,依照《中华人民共和国保密法》《中华人民共和国个人信息保护法》《中华人民共和国政府信息公开条例》等法律、法规的规定执行。
第三条 教育数据管理是对教育数据内容采集、应用、共享、开放、维护和安全等工作进行的规范管理,明确学校各单位职责,提高数据的真实性、准确性和有效性,提升学校范围内教育数据的利用率,保障教育数据安全。
第四条 学校数据管理总体遵循以下原则:
(一)统筹审核原则:学校数据管理单位统筹做好各类教育数据的审核把关工作,并自下而上逐级上报、审核、汇总,确保数据之间的有效关联及数据的准确性、唯一性和时效性。
(二)分级分类原则:学校按照“谁管理、谁负责,谁使用、谁负责,谁运维、谁负责”的原则,对各类数据实施分级分类并做好日常管理工作。
(三)授权共享原则:学校数据实行统一管理,学校所辖二级单位申请数据共享服务,可通过授权方式申请获取相应范围内数据共享应用服务和技术支持。数据跨系统共享,原则上只向校内提供数据共享服务。需求单位提交共享服务申请,由数据生产单位和数据管理单位审核、授权获取
相应范围内的数据。数据使用者应以满足实际业务需要为前提,按最小化数据量和数据要素提出共享和开放需求。
(四)安全管理原则:学校确保数据在采集、存储、应用、共享、开放、维护等过程中的安全。
第二章 组织架构及职责
第五条 校党委全面压实数据安全工作责任,推动学校数据安全工作责任落实,形成党委书记落实主体责任负总责、分管领导部署落实、其他领导协助的领导工作责任制。
第六条 学校数据管理组织包括领导机构、数据管理单位、数据生产单位、数据使用单位等主体。
第七条 领导机构
网络安全(数据安全)和信息化领导小组(以下简称“网信领导小组”)是学校数据管理工作的领导与统筹机构,主要职能包括:
(一)负责制定本校的数据管理发展目标及规划;
(二)负责统筹、组织、协调学校数据治理和数据安全工作;
(三)负责发布数据管理策略、制度与规范等;
(四)负责为学校的数据治理工作提供必要的资源;
(五)负责对学校数据安全事件进行统筹、协调和决策。
第八条 数据管理单位
网络安全和信息化办公室(以下简称“网信办”)是学校数据管理单位,主要职能包括:
(一)执行学校数据管理发展目标及规划,制定学校数据分级分类管理制度及其他数据管理规范等;
(二)与数据生产单位配合建立全校数据标准,确保全校所有业务系统数据的准确性和一致性;
(三)负责统一数据治理平台的建立及管理;
(四)对全校数据进行统一规划,依据“一数一源”原则确定各类数据对应的权威数据生产单位;
(五)根据全校业务系统的数据需求和数据应用的需求,规划数据库结构和内容,确定数据集成方式,规范异构数据,存储公共数据信息;
(六)负责做好学校数据的各类权限管理工作,审核、授权学校数据跨系统共享需求,对外提供统一的访问接口和数据服务;
(七)负责数据资产日常管理工作,做好数据安全管理和安全审计;
(八)负责数据安全事件应急响应工作;
(九)负责组织、部署、开展数据安全教育培训工作。
第九条 数据生产单位
天津财经大学下辖所有二级单位均为数据生产单位,主要职能包括:
(一)配合数据管理机构开展数据采集工作,负责将本单位业务系统接入学校数据治理平台并提供权威数据;
(二)配合数据管理机构开展数据标准编制工作;
(三)负责本单位数据的使用授权、发布审核等工作。
第十条 数据使用单位
数据使用单位是指校内需要使用非本单位所生产的数据的使用单位,主要职能包括:
(一)通过向数据管理机构申请,获取教职工、学生等人员基本信息类权威数据的使用权。对于其他类型的数据交换需求,数据使用单位需与数据生产单位及网信办签订三方授权协议;
(二)严格遵守数据保密规范,保证数据用途与申请用途一致。不得将数据信息在申请范围之外的用途使用,不得将数据信息传播给其他单位或个人使用。
第十一条 网信办配合市教育两委做好教育数据采集、填报、共享、开放、维护和安全等工作,根据授权做好数据的应用和管理。
第十二条 相关技术支持或服务单位应根据授权和委托,承担学校教育数据的安全管理及技术支持服务工作,并建立安全完善的技术保障机制和数据运维环境,从技术层面保障数据安全。技术支持或服务单位具体工作人员从事相关工作前,必须与学校签订数据保密协议及承诺书(附件 3),并在实际工作中履行相关保密义务及管理职责。
第三章 数据内容
第十三条 教育数据涵盖学校产生的各类教育数据,包括学校、教职工、学生基础数据以及教育、教学、科研产生的数据和在此基础上拓展形成的常态数据。
第十四条 学校代码信息数据包括学校基本信息。根据国家标准对学校进行统一编码,学校“一校一码”。
第十五条 教职工信息数据包括教师和职工的基本信息、工作信息、考核信息、学习经历信息、奖惩信息、简历信息等。根据国家标准对教职工进行全国统一编码,教职工“一人一号”。
第十六条 学生信息数据主要包括学生基本信息、学籍信息、学习经历信息、综合评价信息、资助信息和毕业信息等。根据国
家标准对学生进行全国统一编码,学生“一人一号”。
第十七条 科研数据主要包括在自然科学、工程技术科学等领域,通过基础研究、应用研究、试验开发等产生的数据,以及通过观测监测、考察调查、检验检测等方式取得并用于科学研究活动的原始数据及其衍生数据。
第十八条 常态数据是在学校、教职工、学生基础数据的拓展,为各类教育机构的管理和教学提供信息化支撑。
第四章 数据采集
第十九条 教育数据采集是指根据业务应用需要,通过教育信息系统,从学校各单位直接收集获取有关数据。学校遵循合法、必要、适度原则,按照“一数一源、一源多用”的要求,根据工作需要按照统一部署、归口管理、分工负责的原则确定采集数据的类型和范围。
第二十条 数据采集过程中数据生产单位应当在各自的职责
范围内,建立数据采集渠道,制定数据采集的规范程序,建立数据质量核查和技术保障制度,保证数据符合准确性、完备性、实时性等数据质量评估维度。
第二十一条 网信办应做好学校教育数据日常管理工作,明确数据使用权限和数据披露审批流程,同时做好数据的更新和运维。
第二十二条 网信办依据职责开展各类教育数据的采集、审核等工作。教职工数据、学生数据以学校代码信息数据为基础采集形成。网信办与学校代码管理部门共同负责学校代码信息的维护管理;人事处以学校代码信息数据为基准采集、审核教职工数据。各项教育报表中涉及到的学生数据和教师数据,必须按照报表规定的统计时点和口径,根据教育数据库对应数据进行采集和审核,确保数据的准确性和唯一性。常态数据采集应以学校、教职工、学生基础数据库和已有的常态数据为基础进行采集。
第二十三条 学校教育、教学、科研数据生产者要按照相关标准规范组织开展数据采集生产和加工整理,并配合数据管理机构形成便于使用的数据库或数据集。学校建立科学数据质量控制体系,保证数据的准确性和可用性。
第二十四条 数据管理人员须依法履行职责,严格执行教育数据采集的规范程序,数据采集要符合国家、教育部和市委网信办、市教育两委公布的相关数据规范。
第五章 数据传输
第二十五条 网信办应确保数据在传输过程中的安全。数据传输应利用加密、签名、鉴别和认证机制对数据传输进行安全管理,传输过程中要防止数据丢失、泄露、篡改。
第二十六条 重要数据传输时必须经过加密处理,加密可以采用软件加密或者网络通道加密等方式进行。
第六章 数据存储
第二十七条 网信办应为数据提供安全可靠的存储环境,配备数据存储、管理、服务和安全等必要设施,保障教育数据完整性和安全性。
第二十八条 网信办应对重要数据采用加密或其他保护措施实现存储保密性、完整性并能够进行备份及恢复。配备必要设施设备,确保数据存储的安全可靠,防止数据泄露、被篡改或被非法获取。
第七章 数据应用
第二十九条 教育数据处理是指将数据通过业务系统进行展现或二次加工用于教育管理、决策和对外发布的行为。
第三十条 学校按照“最小必要”的原则明确数据录入、查看、修改和删除等权限,实现数据处理、使用、销毁和安全审计的权限分离。网信办应详细记录数据查询、录入、修改、删除和导出等操作,相关日志保留时间不少于六个月。
第三十一条 教育数据应用在教育管理、决策支持、监测监管、评估评价、公共服务等方面发挥作用,促进教育管理水平和现代教育综合治理能力的提升。其中,学校、教职工、学生基础数据为教育管理信息系统提供基础数据支撑,实现各业务系统间数据的有效流通与共享;常态数据为相应业务管理提供数据支撑和服务。
第三十二条 学校教育数据为学校各二级单位提供应用,通过授权方式为其提供有效数据,助推各级各类特色化平台系统的建设与应用。各单位应用教育数据,只能将数据用于与学校教育事业有关事项。
第三十三条 学校各单位应用数据时,应遵循数据更新的时间节点,保障数据的准确性,避免数据混乱、“数出多门”或前后数据不一致的现象发生。
第八章 数据销毁
第三十四条 网信办设立统一负责数据销毁管理的岗位和人员,熟悉数据销毁的相关要求,根据政策变化和技术发展更新相关知识和技能,按照国家相关法律和标准销毁个人信息、重要数据等敏感信息,推动相关要求在业务部门落地实施。
第三十五条 网信办针对网络存储数据,建立硬销毁和软销毁的数据销毁方法和技术,如基于安全策略、基于分布式杂凑算法等网络数据分布式存储的销毁策略与机制。采用必要的数据销毁技术手段与管控措施,确保以不可逆方式销毁敏感数据及其副本内容。
第三十六条 网信办根据不同要求和需要采取不同的数据销毁策略和技术手段做好数据销毁工作,数据销毁是数据安全生命周期的最后阶段,尤为重要,特别是对于国家涉密信息。实现数据的有效销毁,防止因对存储介质中的数据内容进行恶意恢复而导致的数据泄露风险。
第九章 数据共享
第三十七条 数据共享是指将数据在一定条件下授权并提供给非数据生产单位的行为。数据应以共享为原则、不共享为例外,无偿共享教育数据。
第三十八条 网信办按照需求单位提交的共享服务申请,通过授权方式传输相应范围内的教育数据共享应用服务。
第三十九条 依据共享程度,教育数据类别分三类:可供无条件共享的非受限共享类数据(无条件共享);只能按照特定方式或提供给指定对象共享的受限共享类数据(有条件共享);依照法律、法规、规章规定不能共享的非共享类数据(不予共享)。网信办根据上级机关及学校有关规定和制度要求,对学校数据进行分类定级,编制数据资源目录,并通过校级数据共享平台实现分级共享。经审核不同意共享的,应当说明理由。无法律、法规依据,不得拒绝共享要求。
第四十条 学校各单位因工作原因需要从校内其他单位获取数据的,由需求单位向数据生产单位和数据管理单位提交《天津财经大学教育数据共享申请表》(附件 1),经批准后方可提供共享服务。学校教育数据原则上只向校内提供共享服务。数据共享服务由学校统一数据平台提供,任何单位不得直接从数据生产单位获取所需数据。
第四十一条 数据共享前,数据需求单位应签署《天津财经大学教育数据使用承诺书》(附件 2),并履行相关承诺。
第四十二条 数据使用单位获得的共享数据仅限于本单位本次共享需求业务开展使用。如确需对外提供或发布,应当向数据生产单位及网信办提出书面申请,经同意后,方可对外提供或发布。数据使用单位不得擅自以任何形式将数据提供给第三方,也不得用于其他任何目的,并对共享数据资源的滥用、非授权使用、未经许可的扩散以及泄露等行为及后果承担全部责任。数据使用单位应当建立严格安全的数据访问控制机制,如有第三方数据分析需求,须经过审核后提供脱敏数据。数据使用单位对共享数据进行二次加工得到的数据,其使用和安全由数据使用单位负责。
第十章 数据开放
第四十三条 学校依照《天津市公共开放数据资源目录清单》,通过开放平台主动向社会开放政务数据,提供无偿服务。
数据开放应当以企业、群众需求为导向,依法、安全、有序向公民、法人及其他组织开放。
第四十四条 教育数据分为无条件开放、有条件开放和不予开放三种类型。
(一)应当依法予以保密的教育数据以及法律、法规、规章规定不得开放的其他教育数据属于不予开放类。
(二)在限定对象、用途、使用范围等特定条件下可以提供给公民、法人和其他组织使用的教育数据属于有条件开放类,数据提供方应当明确有条件开放类教育数据的开放要求,向符合条件的公民、法人和其他组织开放。
(三)不予开放类和有条件开放类以外的其他教育数据属于无条件开放类。学校依法依规通过我市公共数据资源平台向社会开放无条件开放类公共数据,公民、法人和其他组织登录即可获取、使用。教育数据信息公开按照《政府信息公开条例》有关规定执行,任何单位和个人不得擅自向社会发布和公开所获取的教育数据。
第四十五条 无条件开放的教育数据应当以可机读标准格式开放,公民、法人和其他组织可以通过开放平台在线访问、获取。学校对本校开放的教育数据进行解读,推进教育数据挖掘和增值利用;在依法利用和保障安全的条件下,可以通过政府采购、服务外包等方式,开展教育数据市场化开发应用。
第四十六条 学校相关单位应建立健全政府信息发布保密审查机制,明确审查的程序和责任。学校信息披露前,应当依照《中华人民共和国保密法》以及其他法律、法规和国家有关规定对拟公开的政府信息进行审查。按照信息披露三级审核流程操作,严格落实信息发布审核制度。
第十一章 数据安全与维护
第四十七条 数据安全与维护是指从管理和技术层面确保数据始终可用,保障数据安全的行为。
第四十八条 网信办与数据生产单位应当确保数据的准确性与完整性,根据数据内容与性质合理设置数据同步频率,确保数据更新的及时性,并保障提供正常的数据应用服务。
第四十九条 网信办与数据生产单位应明确数据安全管理责任人,定期组织开展安全测评和风险评估,保障数据的真实性、保密性、完整性、可用性,及时更新数据,并保障提供正常的数据应用服务。
第五十条 网信办重点加强大规模个人信息保护力度,存储20 万人以上个人信息的信息系统主管单位应明确个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。存储 20 万人以上个人信息的信息系统应向市教育两委备案。收集和存储 100 万人以上个人信息的信息系统网络安全等级保护应定为三级及以上,并每年对个人信息处理活动进行安全审计。学校开发和使用的存储 20 万以上个人信息的教育 APP 应通过个人信息安全认证,共享 20 万以上个人信息的应报市教育两委审核同意方可实施。
第五十一条 学校各单位严格落实敏感个人信息保护,例如种族、民族、宗教信仰、个人生物特征、医疗健康、金融账号、个人行踪等信息。收集处理敏感个人信息应对必要性、科学性、伦理性进行论证,并经单位领导班子集体决策同意后方可实施。实施时应取得个人信息主体的单独同意,并告知使用敏感个人信息的必要性以及对个人的影响。鼓励基于权威数据源,以“用而不存”的方式处理敏感个人信息。
第五十二条 学校参照教育部、市教育两委及其他相关机构制定的数据分级分类标准,根据学校工作实际对数据实行分级分类管理,并采用备份、加密等措施加强对个人信息和重要数据保护,保护个人信息和重要数据免受泄露、窃取、篡改、毁损、非法使用等。数据分类管理按性质可分为:学生数据、教职工数据、教学数据、资产数据、科研数据等。数据分级可分为:重要数据 (学工系统、科研系统、教务系统、后勤系统、教职工薪酬、财务系统、重要合同、网络日志等)、普通数据(师生教学信息、一般合同、学校资产、人事信息、供应商信息、一卡通消费、门禁信息、视频监控等)、内部公开数据(部门费用,项目立项、教学资源、校企合作等)、外部公开数据(采购信息、学术论文等)。
第五十三条 网信办、数据生产及使用单位均应设置数据保护人员,并定期对相关人员进行安全培训,各单位应当加强信息技术外包服务管理,与外包公司签订《天津市教育数据安全保密承诺书》。数据保护人员离岗实行脱岗管理,在脱岗期内,应当按照规定履行保密义务,不得以任何方式泄露数据。脱岗管理期1 年,离岗时,应当对其进行离岗保密教育,清退个人所持有和使用的所有信息设备,移交时,认真清点,登记在册,办理移交手续,收回信息系统访问权限和重要场所出入权限,签订员工离岗《保密承诺书》(附件 4),并作为离岗手续的条件。
第五十四条 各类信息化系统应采用身份认证、访问控制等技术措施,防止未经授权的数据活动。利用数据开展统计分析、科学研究、决策分析时,应对数据进行必要的脱敏处理。
第五十五条 网信办应制定数据安全应急预案并定期组织应急演练。发生安全事件时,应当立即启动应急预案,迅速采取应急措施降低损害程度,防止事态扩大,保存相关记录,并按照规定向有关部门报告;应建立数据监控审计机制和数据备份灾难恢复制度,当发生意外时,应当及时恢复并追根溯源。
第十二章 保密管理
第五十六条 涉及国家秘密、国家安全、社会公共利益和个人隐私的教育数据,不得对外开放共享;确需对外开放的,要对利用目的、用户资质、保密条件等进行审查,并严格控制知悉范围。
第五十七条 涉及国家秘密的教育数据采集生产、加工整理、管理和使用,按照国家有关保密规定执行。网信办应建立健全涉及国家秘密的数据管理与使用制度,对制作、审核、登记、拷贝、传输、销毁等环节进行严格管理。对外交往与合作中需要提供涉及国家秘密的数据的,应明确提出利用数据的类别、范围及用途,按照保密管理规定程序报主管部门批准。经主管部门批准后,按规定办理相关手续并与用户签订保密协议。
第五十八条 网信办应加强教育数据全生命周期安全管理,制定教育数据安全保护措施;加强数据下载的认证、授权等防护管理,防止数据被恶意使用。对于需对外公布的教育数据开放目录或需对外提供的数据,必须由网信领导小组进行严格的安全保密审查。
第五十九条 网信办应按照国家网络安全管理规定,建立网络安全保障体系,采用安全可靠的产品和服务,完善数据管控、属性管理、身份识别、行为追溯、黑名单等管理措施,健全防篡改、防泄露、防攻击、防病毒等安全防护体系。
第六十条 网信办应建立应急管理和容灾备份机制,对重要的教育数据进行异地备份。
第十三章 检查与监督
第六十一条 网信领导小组负责根据教育部、市委网信办、市教育两委有关数据安全工作内容和要求,细化检查内容、拟定检查标准、下发检查通知,由网信办具体组织完成对学校各单位数据安全检查。
第六十二条 检查采取日常抽查、专项检查和年底检查相结合的方式进行,若遇特殊重要保障时期可随时组织专项检查,网络安全的核心是数据安全,数据安全检查与网络安全检查同时进行。
第十四章 责任追究
第六十三条 对违反本办法规定的行为,《中华人民共和国数据安全法》等法律、法规已经规定法律责任的,适用其规定。
第六十四条 学校工作人员违反本办法规定,有下列行为之一的,由学校责令限期改正;情节严重的,将线索转至纪检监察机关对直接负责的主管人员和其他直接责任人员依法给予处分:
(一)未按照规定做好本机构教育数据的收集获取、目录编制、共享开放、更新维护和安全保障等工作;
(二)逾期未审核和办理教育数据共享、开放申请或者未按照规定完成数据汇聚、共享、开放;
(三)无法定事由拒不提供符合质量标准的教育数据或者对提供的不符合数据质量标准的教育数据拒不进行整改、核实、更正;
(四)未依法履行教育数据安全管理相关职责;
(五)违反本办法规定的其他行为。
第六十五条 教育数据利用主体违反本办法规定,有下列行为之一的,依法承担相应的法律责任:
(一)利用教育数据获取非法利益;
(二)滥用相关权益,或者损害国家利益、社会公共利益或者他人合法权益;
(三)违反法律、法规规定或者教育数据利用协议约定使用公共数据;
(四)违反法律、法规规定或者教育数据利用协议约定,未采取安全保障措施;
(五)应当承担法律责任的其他行为。
第六十六条 泄露、出售或者非法向他人提供履行职责过程中知悉的隐私、个人信息、商业秘密或者其他应当保密的信息,或者玩忽职守、滥用职权、徇私舞弊,未构成犯罪的,依法给予处分;构成犯罪的,依法追究刑事责任。
第六十七条 学校在履行数据安全监管职责中,发现数据处理活动存在安全风险的,应评估风险程度后,按权限和程序对有关组织、个人进行约谈,要求有关组织、个人采取措施进行整改,消除隐患。
第六十八条 学校鼓励和支持各二级单位结合实际情况,在法治框架内积极探索有利于教育数据共享开放和开发利用的创新举措;对探索中出现失误或者偏差,符合规定条件的,按照国家和我市有关规定可以予以免责或者减轻责任。
第十五章 附 则
第六十九条 本办法自发布之日起实施,由网信领导小组负责解释。
联系电话
