(试行)
第一章 总则
第一条 为加强天津中医药大学教育数据管理,支撑我校教育教学管理改革和科学决策,推进我校各类教育数据的规范管理、互联互通、共享开放和科学应用,确保教育数据安全,依据 《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《关于印发天津市教育数据管理办法(试行)的通知》等相关法律法规和政策规划,特制定本办法。
第二条 天津中医药大学教育数据处理活动及其监督管理,适用本办法。法律、法规另有规定的,从其规定。本办法所指教育数据为天津中医药大学教育系统产生的各类教育数据,包括学校、教职工、学生基础数据以及教育、教学、科研产生的数据和常态数据。开展教育数据处理活动涉及保密、个人信息等情形,以及涉及公共数据的政府信息公开,依照《中华人民共和国保守国家秘密法》《中华人民共和国个人信息保护法》《中华人民共和国政府信息公开条例》等法律、法规的规定执行。
第三条 教育数据管理是对教育数据内容采集、应用、共享、开放、维护和安全等工作进行的规范管理,明确各部门的职责,提高数据的真实性、准确性和有效性,提升教育数据利用率,保障教育数据安全。
第四条 教育数据管理总体遵循以下原则:
(一)统筹审核原则:各部门根据各自职能分工,统筹做好各类教育数据的审核把关工作,并自下而上逐级上报、审核、汇总,确保数据之间的有效关联及数据的准确性、唯一性和时效性。
(二)分级分类原则:各部门按照“谁管理、谁负责,谁使用、谁负责,谁运维、谁负责”的原则,对教育数据分级分类并做好日常管理工作。
(三)授权共享原则:校级教育数据实行统一管理,各部门单位申请数据共享服务, 可通过授权方式向教育数据安全领导小组申请获取相应范围内教育数据共享应用服务和技术支持。其他部门如需共享数据应向教育数据安全领导小组提出申请。教育数据跨系统共享,原则上只向市教委提供数据共享服务,需求单位可通过天津中医药大学信息资源统一共享交换平台提交共享服务申请,由教育数据安全领导小组审核、授权获取相应范围内教育数据。数据使用者应以满足实际业务需要为前提,按最小化数据量和数据要素提出共享和开放需求。
(四)安全管理原则:各部门应确保数据在采集、存储、应用、共享、开放、维护等过程中的安全。
第二章 组织架构及职责
第五条 我校的教育数据管理组织架构为教育数据安全领导小组及下设办公室,办公室设在党委网络安全和信息化办公室(以下简称网信办)。
第六条 教育数据是重要生产要素,具有公共属性,由网信办代表我校行使数据管理职责。网信办统筹规划我校教育数据管理,建设校级教育基础数据库,统筹做好全校数据采集、更新、应用、共享、开放、维护和安全等工作。
第七条 各部门应制定本部门的数据管理实施细则,负责本部门的教育数据管理工作。组织做好本部门数据采集、更新、共享、开放、维护和安全等工作,如需技术配合,可以向网信办提交申请,做好数据应用和推广。
第八条 各部门配合学校做好教育数据采集、填报、共享、开放、维护和安全等工作,根据授权做好数据的应用和管理。
第九条 相关技术支持或服务单位应根据授权和委托,承担教育数据的安全管理及技术支持服务工作,并建立安全完善的技术保障机制和数据运维环境,从技术层面保障数据安全。
第十条 学校党委全面压实数据安全工作责任。推动我校教育数据安全工作责任落实,建立健全教育数据安全领导小组。党委书记落实主体责任负总责、分管校领导部署落实、其他领导协助的领导工作责任制。网信办将数据安全纳入网络安全责任制考核评价机制,对各部门进行网络安全督导检查与评价, 并将检查评价结果纳入对领导班子和有关领导干部综合考核。
第三章 数据内容
第十一条 教育数据涵盖天津中医药大学教育信息系统产生的各类教育数据,包括学校、教职工、学生基础数据以及教育、教学、科研产生的数据和在此基础上拓展形成的常态数据。
第十二条 学校机构(代码)信息数据包括学校基本信息。根据国家标准对学校进行统一编码,学校“一校一码”。
第十三条 教职工信息数据包括教师和职工的基本信息、工作信息、考核信息、学习经历信息、奖惩信息、简历信息等。根据国家标准对教职工进行全国统一编码,教职工“一人一号"。
第十四条 学生信息数据主要包括学生基本信息、学籍信息、学习经历信息、综合评价信息、资助信息和毕业信息等。根据国家标准对学生进行全国统一编码,学生“一人一号”。
第十五条 科研数据主要包括在自然科学、工程技术科学等领域,通过基础研究、应用研究、试验开发等产生的数据,以及通过观测监测、考察调查、检验检测等方式取得并用于科学研究活动的原始数据及其衍生数据。
第十六条 常态数据是在学校、教职工、学生基础数据的拓展,为学校的管理和教学提供信息化支撑。
第四章 数据采集
第十七条 教育数据采集是指根据业务应用需要,通过学校各类信息系统,从各部门直接收集获取有关数据。各部门应当遵循合法、必要、适度 原则,按照“一数一源、一源多用”的要求,根据工作需要按照统一部署、归口管理、分工负责的原则确定采集数据的类型和范围。
第十八条 数据采集中数据归属部门应当在各自职责范围内,建立数据采集渠道,制定数据采集的规范程序,建立数据质量核查和技术保障机制,保证数据符合准确性、完备性、实时性等数据质量评估维度。
第十九条 教育数据采集部门应当做好数据日常管理工作,明确数据使用权限和数据披露审批流程,同时做好数据的更新和运维。
第二十条 各部门根据职责开展各类教育数据的采集、审核等工作。教职工数据、学生数据以学校机构(代码)信息数据为基础采集形成。师资(人事)部门以学校机构(代码)信息数据为基准采集、审核教职工数据。各项教育报表中涉及到的学生数据和教师数据,必须按照报表规定的统计时点和口径,根据教育数据库对应数据进行采集和审核,确保数据的准确性和唯一性。常态数据采集应以学校、教职工、学生基础数据库和已有的常态数据为基础进行采集。
第二十一条 各部门要保证数据管理人员依法履行职责,严格执行教育数据采集的规范程序,数据采集要符合国家、教育部和市委网信办、市教委、学校公布的相关数据规范。
第五章 数据传输
第二十二条 各部门要确保数据在传输过程中的安全。数据传输应利用加密、签名、鉴别和认证机制对数据传输进行安全管理,传输过程中要防止数据丢失、泄露、篡改。
第二十四条 各部门重要数据传输时必须经过加密处理,加密可以采用软件加密或者网络通道加密等方式进行。
第六章 数据存储
第二十五条 网信办应为教育数据提供安全可靠的存储环境,配备数据存储、管理、服务和安全等必要设施,保障教育数据完整性和安全性。
第二十六条 网信办和有关部门对重要数据应采用加密或其他保护措施实现存储保密性、完整性并能够进行备份及恢复。配备必要设施设备,确保数据存储的安全可靠,防止数据泄露、被篡改或被非法获取。
第七章 数据应用
第二十七条 教育数据处理指将数据通过业务系统进行展现或二次加工用于教育管理、决策和对外发布的行为。
第二十八条 各部门应要按照“最小必要” 的原则明确数据录入、查看、修改和删除等权限,实现数据处理、使用、销毁和安全审计的权限分离。应详细记录数据查询、录入、修改、删除和导出等操作,相关日志保留时间不少于六个月。
第二十九条 教育数据应用在教育管理、决策支持、监测监管、评估评价、公共服务等方面发挥作用,促进教育管理水平和现代教育综合治理能力的提升。其中,教职工、学生基础数据为教育管理信息系统提供基础数据支撑,实现各业务系统间数据的有效流通与共享;常态数据为相应业务管理提供数据支撑和服务。
第三十条 教育数据为各部门提供应用,通过授权方式为其提供有效数据,助推各级各类特色化平台系统的建设与应用。各部门应用教育数据时,原则上只能将数据用于与学校教育事业有关事项。
第三十一条 各部门应用数据时,要遵循数据更新的时间节点,保障数据的准确性,避免数据混乱、“数出多门”或前后数据不一致的现象发生。
第八章 数据销毁
第三十二条 各部门设立统一负责数据销毁管理的岗位和人员,熟悉数据销毁的相关要求,根据政策变化和技术发展更新相关知识和技能,按照国家相关法律和标准销毁个人信息、重要数据等敏感信息,推动相关要求在业务部门落地实施。
第三十三条 各部门针对网络存储数据,建立硬销毁和软销毁的数据销毁方法和技术,如基于安全策略、基于分布式杂凑算法等网络数据分布式存储的销毁策略与机制。采用必要的数据销毁技术手段与管控措施,确保以不可逆方式销毁敏感数据及其副本内容。
第三十四条 各部门要根据不同要求和需要采取不同的数据销毁策略和技术手段做好数据销毁工作, 数据销毁是数据安全生命周期的最后阶段,尤为重要,特别是对于国家涉密信息。实现对数据的有效销毁,防止因对存储介质中的数据内容进行恶意恢复而导致的数据泄漏风险。
第九章 数据共享
第三十五条 数据共享是指将教育数据在一定条件下授权并提供给学校以外单位使用的行为。数据应以共享为原则、不共享为例外,无偿共享教育数据。数据共享需经网信办、教育数据安全领导小组审核通过后,通过学校数据共享交换平台向数据需求单位提供。
第三十七条 依据共享程度,教育数据类别分三类:可供无条件共享的非受限共享类数据(无条件共享);只能按照特定方式或提供给指定对象共享的受限共享类数据(有条件共享);依照法律、法规、规章规定不能共享的非共享类数据(不予共享)。网信办将根据有关规定和制度要求,对教育数据进行分类定级,编制数据资源目录,并通过天津市信息资源统一共享交换平台实现分级共享。经审核不同意 共享的,应当说明理由。无法律、法规依据,不得拒绝共享要求。
第三十八条 各部门需要共享数据,须向网信办提交《天津中医药大学教育数据共享申请表》(附件1), 经网信办审核同意后提供数据共享服务。
第三十九条 各部门需要共享数据,须签订《天津中医药大学教育数据使用承诺书》(附件2 ), 履行相关承诺。
第四十条 数据使用部门获得的共享数据仅限于本部门本次共享需求业务开展使用。如确需对外提供或发布,应当向数据归属部门或网信办提出书面申请, 经同意后,方可对外提供或发布。数据使用部门不得擅自以任何形式提供给第三方,也不得用于其他任何目的,并对共享数据资源的滥用、非授权使用、未经许可的扩散以及泄露等行为及后果承担全部责任。数据使用部门应当建立严格安全的数据访问控制机制,如有第三方数据分析需求,须经过审核后提供脱敏数据。数据使用部门对共享数据进行二次加工得到的数据,其使用和安全由数据使用部门负责。
第十章 数据开放
第四十二条 学校应当依照政务数据开放目录,通过开放平台主动向社会开放政务数据,提供无偿服务。数据开放应当以企业、群众需求为导向,依法、安全、有序向公民、法人和其他组织开放。
第四十三条 教育数据开放分为无条件开放、有条件开放和不予开放三种类型。
(一)应当依法予以保密的教育数据以及法律、法规、规章规定不得开放的其他教育数据属于不予开放类。
(二)在限定对象、用途、使用范围等特定条件下可以提供给公民、法人和其他组织使用的教育数据属于有条件开放类,数据提供方应当明确有条件开放类教育数据的开放要 求,向符合条件的公民、法人和其他组织开放。
(三)不予开放类和有条件开放类以外的其他教育数据属于无条件开放类。数据提供方应当通过我市公共数据资源平台主动向社会开放无条件开放类公共数据,公民、法人和其他组织登录即可获取、使用。
教育数据信息公开按照《中华人民共和国政府信息公开条例》有关规定执行,各部门不得擅自向社会发布和公开所获取的教育数据。
第四十四条 无条件开放的教育数据应当以可机读标准格式开放,公民、法人和其他组织可以通过开放平台在线访问、获取。各部门应当对本部门开放的教育数据进行解读,推进教育数据挖掘和增值利用;在依法利用和保障安全的条件下,可以通过政府采购、服务外包等方式,开展教育数据市场化开发应用。
第四十五条 各部门应当建立健全信息发布保密审查机制,明确审查的程序和责任。各部门信息披露前,应当依照《中华人民共和国保守国家秘密法》以及其他法律、法规和国家有关规定对拟公开的政府信息进行审查。按照信息披露三级审核流程操作(附件5), 严格落实信息发布审核制度。
第十一章 数据安全与维护
第四十六条 教育数据安全与维护是指从管理和技术层面确保数据始终可用,保障数据安全的行为。
第四十七条 教育数据维护管理部门应确保数据的准确性和完整性,及时更新数据,并保障提供正常的数据应用服务。
第四十八条 各部门应当设置或确定本级的数据安全管理机构,并明确安全管理责任人。定期组织开展安全测评和风险评估,保障数据的真实性、保密性、完整性、可用性。
第四十九条 各部门要重点加强大规模个人信息保护力度,存储20万人以上个人信息的信息系统主管部门应明确个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。存储20万人以上个人信息的信息系统应向市教育两委备案。收集和存储100万人 以上个人信息的信息系统网络安全等级保护应定为三级以上,并每年对个人信息处理互动进行安全审计。各部门开发和使用的存储20万以上个人信息的教育App应通过个人信息安全认证,共享20万以上个人信息的应网信办审核同意方可实施。
第五十条 各部门要严格落实敏感个人信息保护,种族、民族、宗教信仰、个人生物特征、医疗健康、 金融账号、个人行踪等信息属于敏感个人信息。收集处理敏感个人信息应对必要性、科学性、伦理性进行论证,并经部门主要负责人同意后方可实施。实施时应取得个人信息主体的单独同意,并告知使用敏感个人信息的必要性以及对个人的影响。鼓励基于人口库等权威数据源,以“用而不存”的方式 处理敏感个人信息。
第五十一条 以“分类管理、分级应用”为基本思路,结合数据的共享开放价值和数据涉及公民及法人隐私程度等因素制定分类分级标准。各部门应当参照标准,采用数据分类分级管理、备份、加密等措施加强对个人信息和重要数据保护,保护个人信息和重要数据免受泄露、窃取、篡改、毁损、非法使用等。
数据分类管理按性质可分为:学生数据、教职工数据、教学数据、资产数据、科研数据等。数据分级可分为:重要数据(学工系统、科研系统、教务系统、后勤系统、教职工薪酬、财务系统、重要合同、网络日志等)、普通数据(师生教学信息,一般合同、学校资产、人事信息、供应商信息、一卡通消费、门禁信息,视频监控等)、内部公开数据(部门费用,项目立项、教学资源、校企合作等)、外部公开数据(采购信息、学术论文等)。各单位应根据工作实际对数据分级分类管理。
第五十二条 各部门应设置专职数据保护人员,并定期对相关人员进行安全培训。各级数据归属部门、数据使用部门、数据技术管理部门应当加强信息技术外包服务管理,与外包公司签订《天津中医药大学教育数据安全保密承诺书》(附 件3)。专职数据保护人员离岗实行脱岗管理,在脱岗期内,应当按照规定履行保密义务,不得以任何方式泄露数据。脱岗管理期1年,离岗时应当对其进行离岗保密教育,清退个人所持有和使用的所有信息设备,移交时,认真清点,登记在册,办理移交手续,收回信息系统访问权限和重要场所出入权限,签订员工离岗《保密承诺书》(附件4),并作为离岗手续的条件。
第五十三条 各类系统平台应采用身份认证、访问控制等技术措施,防止未经授权的数据活动。利用数据开展统计分析、科学研究、决策分析时,应经数据主管单位同意,并对数据进行必要的脱敏处理。
第五十四条 各部门应当制定数据安全应急预案并定期组织应急演练。发生安全事件时,应当立即启动应急预案,迅速采取应急措施降低损害程度,防止事故扩大, 保存相关记录,并按照规定向有关部门报告。教育系统各单位数据技术管理部门应当建立数据监控审计机制和数据备份灾难恢复制度,当发生意外时,应当及时恢复并追根溯源。
第十二章 保密管理
第五十五条 涉及国家秘密、国家安全、社会公共利益和个人隐私的教育数据,不得对外开放共享;确需对外开放的,要对利用目的、用户资质、保密条件等进行审查,并严格控制知悉范围。
第五十六条 涉及国家秘密的教育数据的采集生产、加工整理、管理和使用,按照国家有关保密规定执行。各部门应建立健全涉及国家秘密的教育数据管理与使用制度,对制作、审核、登记、拷贝、传输、销毁等环节进行严格管理。对外交往与合作中需要提供涉及国家秘密的教育数据的,各部门应明确提出利用数据的类别、范围及用途,按照保密管理规定程序报主管部门批准。经主管部门批准后,各部门按规定办理相关手续并与用户签订保密协议。
第五十七条 各部门应加强教育数据全生命周期安全管理,制定教育数据安全保护措施;加强数据下载的认证、授权等防护管理,防止数据被恶意使用。对于需对外公布的教育数据开放目录或需对外提供的教育数据,各部门应建立相应的安全保密审查制度。
第五十八条 各部门应按照国家网络安全管理规定,建立网络安全保障体系,采用安全可靠的产品和服务,完善数据管控、属性管理、身份识别、行为追溯、黑名单等管理措施,健全防篡改、防泄露、防攻击、防病毒等安全防护体系。
第五十九条 学校应建立应急管理和容灾备份机制,按照要求建立应急管理系统,对重要的教育数据进行异地备份。
第十三章 检查与监督
第六十条市 网信办负责根据教育部和市委网信办有关数据安全工作内容和要求,细化检查内容、拟定检查标准、下发检查通知,并组织完成对各部门数据安全检查。
第六十一条 检查采取日常抽查、专项检查和年底检查相结合的方式进行,若遇特殊重要保障时期可随时组织专项检查。网络安全的核心是数据安全,数据安全检查与网络安全检查同时进行。
第十四章 责任追究
第六十二条 对违反本办法规定的行为,《中华人民共和国数据安全法》等法律、法规已经规定法律责任的,适用其规定。
第六十三条 学校工作人员违反本办法规定,有下列行为之一的,由网信办责令限期改正;情节严重的,将线索转至纪检监察机关对直接负责的主管人员和其他直接责任人员依法给予处分:
(一)未按照规定做好本机构教育数据的收集获取、目录编制、共享开放、更新维护和安全保障等工作;
(二)逾期未审核和办理教育数据共享、开放申请或者未按照规定完成数据汇聚、共享、开放;
(三)无法定事由拒不提供符合质量标准的教育数据或者对提供的不符合数据质量标准的教育数据拒不进行整改、核实、更正;
(四)未依法履行教育数据安全管理相关职责;
(五)违反本办法规定的其他行为。
第六十四条教育数据利用主体违反本办法规定,有下列行为之一的,依法承担相应的法律责任:
(一)利用教育数据获取非法利益;
(二)滥用相关权益,或者损害国家利益、社会公共利益或者他人合法权益;
(三)违反法律、法规规定或者教育数据利用协议约定使用公共数据;
(四)违反法律、法规规定或者教育数据利用协议约定, 未采取安全保障措施;
(五)应当承担法律责任的其他行为。
第六十五条 各部门工作人员泄露、出售或者非法向他人提供履行职责过程中知悉的隐私、个人信息、商业秘密或者其他应当保密的信息,或者玩忽职守、滥用职权、徇私舞弊,未构成犯罪的,依学校规定给予处分;构成犯罪的,依法追究刑事责任。
第六十六条 各部门在履行数据安全监管职责中,发现数据处理活动存在安全风险的,应评估风险程度后按权限和程序对有关组织、个人进行约谈,要求有关组织、个人采取措施进行整改,消除隐患。
第六十七条 鼓励和支持各部门结合实际情况,在法治框架内积极探索有利于教育数据共享开放和开发利用的创新举措;对探索中出现失误或者偏差,符合规定条件的,按照上级和我校有关规定可以予以免责或者减轻责任。
第十五章 附则
第六十八条 对其他国家机关、中央国家机关派驻本市的教育单位和其他教育单位为履行法定职责、提供教育服务收集、使用教育数据的管理,参照本办法执行。法律、 法规另有规定的,从其规定。
第六十九条 本办法自印发之日起实施。
