肇始於2019年12月的新型冠狀病毒感染肺炎疫情��,導致我國疫情防控措施逐步升級�,世界衛生組織也於當地時間2019年1月30日舉行新聞發布會��,說明新型冠狀病毒感染肺炎疫情已構成受到國際關注的突發公共衛生事件[i]。為防控疫情����,孩子們返校因此推遲�,教育主管部門提出停課不停教不停學���,統籌整合國家���、地方和學校相關教學資源��,開通國家網絡雲課堂�����,供開學後各地學校組織中小學生開展網上學習。[ii] 2020年2月14日(ri)�����,國(guo)務(wu)院(yuan)教(jiao)育(yu)督(du)導(dao)委(wei)員(yuan)會(hui)辦(ban)公(gong)室(shi)發(fa)布(bu)嚴(yan)禁(jin)任(ren)何(he)校(xiao)外(wai)培(pei)訓(xun)機(ji)構(gou)近(jin)期(qi)以(yi)任(ren)何(he)形(xing)式(shi)開(kai)展(zhan)線(xian)下(xia)培(pei)訓(xun)的(de)緊(jin)急(ji)預(yu)警(jing)��,嚴(yan)禁(jin)疫(yi)情(qing)期(qi)間(jian)開(kai)展(zhan)任(ren)何(he)形(xing)式(shi)的(de)線(xian)下(xia)培(pei)訓(xun)�����,嚴(yan)禁(jin)舉(ju)辦(ban)任(ren)何(he)形(xing)式(shi)的(de)聚(ju)集(ji)性(xing)培(pei)訓(xun)活(huo)動(dong)。[iii]
yinci�,zaikangjiyiqingdeteshushiqi��,yixiexianxiadexiaowaipeixunjigoufenfenzhuanzhixianshang�����,yixiexianshangjigouyekuodayiyoudexianshangyunyingguimo。ciciyiqingshiweiji���,danyeshibufenqiyetiaozhengfangxiangheyunyuzhuanbian�����、發(fa)展(zhan)的(de)契(qi)機(ji)。線(xian)上(shang)教(jiao)育(yu)和(he)培(pei)訓(xun)有(you)可(ke)能(neng)因(yin)此(ci)次(ci)疫(yi)情(qing)迎(ying)來(lai)更(geng)廣(guang)闊(kuo)的(de)發(fa)展(zhan)空(kong)間(jian)。毋(wu)庸(yong)置(zhi)疑(yi)�����,要(yao)想(xiang)走(zou)得(de)更(geng)遠(yuan)更(geng)好(hao)���,必(bi)須(xu)遵(zun)守(shou)網(wang)絡(luo)安(an)全(quan)和(he)數(shu)據(ju)保(bao)護(hu)的(de)合(he)規(gui)要(yao)求(qiu)�����,否(fou)則(ze)輕(qing)則(ze)影(ying)響(xiang)企(qi)業(ye)正(zheng)常(chang)運(yun)營(ying)����,重(zhong)則(ze)導(dao)致(zhi)企(qi)業(ye)麵(mian)臨(lin)生(sheng)死(si)存(cun)亡(wang)境(jing)地(di)。因(yin)此(ci)�����,本(ben)文(wen)擬(ni)探(tan)討(tao)線(xian)上(shang)教(jiao)育(yu)和(he)培(pei)訓(xun)領(ling)域(yu)的(de)數(shu)據(ju)合(he)規(gui)問(wen)題(ti)。
一�����、 教育移動應用分類
教育移動應用�,根據應用使用的場景�,可分為兩類:其中一類是教育主管部門及/或學校選用的以學校��、家長和學生為主要用戶����、以教育���、學習為主要應用場景�����,服務於學校教學與管理�、學生學習與生活以及家校互動等方麵的移動互聯網應用程序(以下簡稱為“學校選用的教育移動應用”)。另一類是學生/家長自主選擇的�����、在校外運作的為學生提供課外線上培訓的應用(本文主要介紹麵向中小學生的���、利用互聯網技術實施的學科類校外線上培訓應用��,以下簡稱為“校外線上培訓App”)。 學校選用教育移動應用和校外線上培訓App均可通過電腦及其他移動終端(如智能平板�、智能手機等)提供線上服務。
二�、 教育移動應用的相關數據合規要求
(一) 普遍適用的數據合規要求
我國已初步形成了以《民法總則》《網絡安全法》等法律為基礎����,輔之以法律��、行政法規�����、部門規章����、國家標準等配套規定而形成的網絡安全和個人信息保護的法律體係。《民法總則》確立了自然人的個人信息受法律保護的基本原則��,任何主體需要獲取他人個人信息的���,應當依法取得並確保信息安全���,不得非法收集�����、使用�、加工���、傳輸他人個人信息�����,不得非法買賣�����、提供或者公開他人個人信息。《網絡安全法》則規定了網絡安全和信息安全(包括保護通過網絡收集和使用的個人信息)的基本原則和要求。
教育移動應用主要是通過網絡平台提供家校(包括學生和家長)的溝通平台����,或者提供線上的教育和培訓�����,因此教育移動應用提供者屬於網絡經營者範疇���,應當按照《網絡安全法》等適用法律法規等規範確保網絡安全�����,並履行個人信息保護合規要求。《網絡安全法》規範網絡運營者即網絡的所有者���、管理者和網絡服務提供者運營網絡����、使用數據(包括個人信息)的de行xing為wei��,其qi要yao求qiu網wang絡luo運yun營ying者zhe實shi行xing網wang絡luo安an全quan等deng級ji保bao護hu製zhi度du����,並bing就jiu個ge人ren信xin息xi的de保bao護hu作zuo出chu基ji本ben要yao求qiu��,包bao括kuo在zai個ge人ren信xin息xi主zhu體ti知zhi情qing同tong意yi等deng合he法fa情qing形xing依yi法fa收shou集ji個ge人ren信xin息xi�,公gong開kai信xin息xi收shou集ji和he使shi用yong規gui則ze以yi明ming示shi收shou集ji�����、使用信息的目的��、方式和範圍����,不得收集與其提供的服務無關的個人信息�����;未經被收集者同意���,不得向他人提供個人信息(經過處理無法識別特定個人且不能複原的除外)���,等等。
由於《網絡安全法》的規定較為原則��,其具體條款的執行需要參考或依照相關配套規範����,如:《信息安全技術 個人信息安全規範》(GB/T 35273)為個人信息從收集��、使用�����、保存到刪除的全生命周期提供了具體規範����;《App違法違規收集使用個人信息自評估指南》為App運營者對收集使用個人信息的情況進行自查自糾提供了指南���;《App違法違規收集使用個人信息行為認定方法》對判斷哪些情形屬於“未公開收集使用規則”���、“未明示收集使用個人信息的目的�����、方式和範圍”����、“未經用戶同意收集使用個人信息”�����、“違反必要原則�����,收集與其提供的服務無關的個人信息”�����、 “未經同意向他人提供個人信息”���、 “未按法律規定提供刪除或更正個人信息功能”或“未公布投訴���、舉報方式等信息”作了闡釋����,為監督管理部門認定App違法違規收集使用個人信息行為提供參考���,對於App運營者而言具有借鑒和參考意義�����,以便自查自糾��,確保不觸碰合規紅線。雖然《信息安全技術 個人信息安全規範》(GB/T 35273)作為推薦性國家標準和《App違法違規收集使用個人信息自評估指南》沒有強製執行效力�,但實踐中有關行政監管機構將這些規範/指南作為執法的參考或評判標準��,因此教育App提供者從合規角度予以關注和參考是非常必要的。
我國正在修改或征求意見中的一些規範�����,如《信息安全技術 個人信息告知同意指南》(征求意見稿)���、《信息安全技術 移動互聯網應用程序(App)收集個人信息基本規範(草案)》���,也有必要予以關注�����、借鑒����、參考。以上推薦性國家標準以及正在製定���、修改中的具體規範等具體規定�����,本文不作贅述。
(二) 教育移動應用領域的具體合規要求
在普遍適用於各行業和領域的數據合規要求之外�����,教育主管部門針對教育移動應用發布了教育領域內的信息保護合規要求。
1. 學校選用的教育移動應用的合規要求
(1) 備案要求
根據《教育部等八部門關於引導規範教育移動互聯網應用有序健康發展的意見》(以下簡稱《教育移動互聯網應用意見》)��,教育移動應用提供者應當落實網絡安全等級保護要求�,將網絡安全等級保護定級備案的證明����、等級測評報告以及ICP備案(涉及經營電信業務的���,還應當申請電信業務經營許可)向(xiang)機(ji)構(gou)住(zhu)所(suo)地(di)的(de)省(sheng)級(ji)教(jiao)育(yu)行(xing)政(zheng)部(bu)門(men)進(jin)行(xing)教(jiao)育(yu)業(ye)務(wu)備(bei)案(an)����,登(deng)記(ji)單(dan)位(wei)基(ji)本(ben)信(xin)息(xi)和(he)所(suo)開(kai)發(fa)的(de)教(jiao)育(yu)移(yi)動(dong)應(ying)用(yong)信(xin)息(xi)。已(yi)備(bei)案(an)的(de)教(jiao)育(yu)移(yi)動(dong)應(ying)用(yong)提(ti)供(gong)者(zhe)上(shang)線(xian)新(xin)應(ying)用(yong)前(qian)���,應(ying)當(dang)在(zai)備(bei)案(an)單(dan)位(wei)更(geng)新(xin)相(xiang)關(guan)信(xin)息(xi)。
教育部發布的《教育移動互聯網應用程序備案管理辦法》規gui定ding���,備bei案an全quan程cheng通tong過guo網wang上shang辦ban理li���,一yi省sheng備bei案an全quan國guo有you效xiao。應ying用yong提ti供gong者zhe和he作zuo為wei使shi用yong者zhe的de學xue校xiao分fen別bie需xu要yao進jin行xing備bei案an。關guan於yu接jie受shou備bei案an的de主zhu體ti��,教jiao育yu行xing政zheng部bu門men��、學校����、企業和社會組織均向其住所地或注冊地省級教育行政部門進行提供者備案��;省級教育行政部門開發的教育移動應用向教育部進行備案���;小程序�、企業號等平台第三方應用統一到平台方提交備案信息����,並由平台方向教育部共享備案信息。應用提供者的各子公司(分公司)或分支機構開發的教育移動應用���,由總公司統籌彙總並向總公司注冊地的省級教育行政部門進行備案。[iv]
根據《教育部辦公廳關於印發〈教育移動互聯網應用程序備案管理辦法〉的通知》�,教育移動應用提供者應在2020年1月31日前完成ICP備案和等級保護備案����,並及時在公共服務體係上傳�����、更新信息。2020年2月1日起��,未完成前述兩個備案的教育移動應用備案將被撤銷�,並予以通報。
(2)保障網絡安全
教(jiao)育(yu)移(yi)動(dong)應(ying)用(yong)和(he)後(hou)台(tai)係(xi)統(tong)應(ying)當(dang)統(tong)一(yi)落(luo)實(shi)網(wang)絡(luo)安(an)全(quan)等(deng)級(ji)保(bao)護(hu)要(yao)求(qiu)。教(jiao)育(yu)移(yi)動(dong)應(ying)用(yong)提(ti)供(gong)者(zhe)應(ying)當(dang)落(luo)實(shi)網(wang)絡(luo)安(an)全(quan)主(zhu)體(ti)責(ze)任(ren)�,采(cai)取(qu)有(you)效(xiao)措(cuo)施(shi)����,防(fang)範(fan)應(ying)對(dui)網(wang)絡(luo)攻(gong)擊(ji)�,保(bao)障(zhang)係(xi)統(tong)的(de)平(ping)穩(wen)����、安全運行。鼓勵教育移動應用提供者參加網絡安全認證�����、檢測�,全麵提高網絡安全保障水平。
(3)數據管理要求
教育移動應用提供者應當建立覆蓋個人信息收集�、儲存�����、傳輸��、使用等環節的數據保障機製。按照“後台實名����、前台自願”的原則���,對注冊用戶進行身份信息認證。
收集使用個人信息應當明示收集使用信息的目的�����、方式和範圍�����,並經用戶同意。收集使用未成年人信息應當取得監護人同意�����、授權。不得以默認��、捆綁��、停止安裝使用等手段變相強迫用戶授權�,不得收集與其提供服務無關的個人信息��,不得違反法律法規與用戶約定��,不得泄露�����、非法出售或非法向他人提供個人信息。
2.校外線上培訓App合規要求
校外線上培訓App作為網絡平台�,作為線上教育移動應用的一種�,除了受到《網絡安全法》等法律規範的規管�,還應符合教育培訓領域的特殊規範要求����,包括《教育部等六部門關於規範校外線上培訓的實施意見》對校外線上培訓App提出的數據合規要求:
(1)內容保存期限
《教育部等六部門關於規範校外線上培訓的實施意見》規定�����,校外線上培訓App不得包含與學習無關的網絡遊戲等內容及鏈接等��,不得出版��、印刷�、複製����、發(fa)行(xing)非(fei)法(fa)出(chu)版(ban)物(wu)��,不(bu)得(de)從(cong)事(shi)侵(qin)權(quan)盜(dao)版(ban)活(huo)動(dong)�����,課(ke)程(cheng)設(she)置(zhi)方(fang)麵(mian)也(ye)應(ying)當(dang)符(fu)合(he)教(jiao)育(yu)部(bu)門(men)設(she)定(ding)的(de)要(yao)求(qiu)。為(wei)此(ci)�,培(pei)訓(xun)內(nei)容(rong)和(he)培(pei)訓(xun)數(shu)據(ju)信(xin)息(xi)按(an)要(yao)求(qiu)須(xu)留(liu)存(cun)1年以上����,其中直播教學的影像須留存至少6個月。
此外����,用戶行為日誌須留存1年以上。
(2)落實信息安全製度
《教育部等六部門關於規範校外線上培訓的實施意見》要求校外線上培訓App嚴格遵守《網絡安全法》的要求����,落實網絡安全等級保護製度����、網絡安全預警通報製度和用戶信息保護製度���,具有完善的安全保護技術措施。
按照“後台實名�、前台自願”的(de)原(yuan)則(ze)����,經(jing)培(pei)訓(xun)對(dui)象(xiang)及(ji)其(qi)監(jian)護(hu)人(ren)同(tong)意(yi)後(hou)���,對(dui)培(pei)訓(xun)對(dui)象(xiang)進(jin)行(xing)真(zhen)實(shi)身(shen)份(fen)信(xin)息(xi)認(ren)證(zheng)。做(zuo)好(hao)培(pei)訓(xun)對(dui)象(xiang)信(xin)息(xi)和(he)數(shu)據(ju)安(an)全(quan)防(fang)護(hu)����,防(fang)止(zhi)泄(xie)露(lu)隱(yin)私(si)�,不(bu)得(de)非(fei)法(fa)出(chu)售(shou)或(huo)者(zhe)非(fei)法(fa)向(xiang)他(ta)人(ren)提(ti)供(gong)培(pei)訓(xun)對(dui)象(xiang)信(xin)息(xi)。
(3)機構備案審查要求
《教育部等六部門關於規範校外線上培訓的實施意見》提出對校外線上培訓App實施備案審查製度[v]。校外線上培訓機構備案材料主要包括:
培訓機構的ICP(互聯網信息服務)備案
培訓機構的電信業務經營許可(涉及經營電信業務的)等相關證照信息
資金管理�、保障條件和服務承諾等信息
互聯網平台信息數據交互及處理能力�����、個人信息保護製度�����、網絡安全管理製度����、安全保護技術措施等材料
服務器設置在中國內地的說明材料
備案審查流程為校外線上培訓機構在取得ICP備案(涉及經營電信業務的��,還應當申請電信業務經營許可)�、網絡安全等級保護定級備案的證明�����、等級測評報告後�,向機構住所地的省級教育行政部門提交相關材料���,申請備案。已開展校外線上培訓的機構應當於2019年10月31riqiantijiaoxiangguancailiao���,xinchenglidexiaowaixianshangpeixunjigouanzhaobeianyaoqiutijiaoxiangguancailiao。shengjijiaoyuxingzhengbumenhuitongyouguanbumenduitijiaocailiaojinxingshenzhaheshi�,duifuhetiaojianheguidingdexiaowaixianshangpeixunjigouyuyibeianbinggongshigongbu。
根據《教育部等六部門關於規範校外線上培訓的實施意見》�,主管部門於2019年年底前完成對校外線上培訓開展排查�����,主管機關的日常監管重點包括對平台的內容和信息安全進行排查���、監管�����,經排查發現問題的校外線上培訓機構應當按整改意見進行整改��,於2020年6月底前完成整改並重新提交相關材料(截至2019年12月31日�,全國共有718家校外線上培訓機構在全國校外線上培訓管理服務平台上提交了備案材料��,截至2020年1月初已基本排查完畢[vi])。按照前述教育部等六部門的實施意見���,省級教育行政部門要聯合網信�����、電信��、公安等部門對逾期未完成整改或整改不到位的校外線上培訓機構進行查處����,視情節暫停或停止培訓平台運營�、下架培訓應用��、關閉微信公眾號(小程序)�、依法進行經濟處罰等。
(三)《兒童個人信息網絡保護規定》設定的兒童個人信息保護要求
教育移動應用麵向兒童即不滿十四周歲的未成年人提供教育及/或培訓服務的�,還應滿足《兒童個人信息網絡保護規定》針對兒童作出的特別保護合規要求。本文無意詳述該規定的具體條款��,僅作簡要歸納如下:
網絡運營者應當設置專門的兒童個人信息保護規則和用戶協議�����,並指定專人負責兒童個人信息保護。[vii]網絡運營者收集��、使用���、轉移�����、披露兒童個人信息的��,應當以顯著����、清晰的方式告知兒童監護人�����,並應當征得兒童監護人的同意。[viii]
網絡運營者征得同意時�����,應當同時提供拒絕選項�����,並明確告知以下事項:收集�、存儲��、使用�����、轉移���、披露兒童個人信息的目的��、方式和範圍���;兒童個人信息存儲地點���、期限和到期後的處理方式��;兒童個人信息的安全保障措施���;拒絕的後果�;投訴�����、舉報的渠道和方式��;更正�、shanchuertonggerenxinxidetujinghefangfadengdeng。qianshugaozhishixiangfashengshizhixingbianhuade���,yingdangzaicizhengdeertongjianhurendetongyi。yinyewuxuyao���,quexuchaochuyuedingdemude��、範圍使用的�,應當再次征得兒童監護人的同意。[ix]
網絡運營者委托第三方處理兒童個人信息的��,應當對受委托方及委托行為等進行安全評估�,簽署委托協議�����,明確雙方責任���、處理事項�����、處理期限�����、處理性質和目的等���,委托行為不得超出授權範圍。[x]
2019年見證了有關網絡安全和數據保護監管機構對App違法違規收集使用個人信息開展的強有力執法活動��,更多與此相關的指南/規範也有望出台�����,2020年我國將製定個人信息保護法�����、數(shu)據(ju)安(an)全(quan)法(fa)。我(wo)們(men)預(yu)期(qi)�,隨(sui)著(zhe)廣(guang)大(da)民(min)眾(zhong)保(bao)護(hu)個(ge)人(ren)信(xin)息(xi)意(yi)識(shi)的(de)逐(zhu)步(bu)覺(jiao)醒(xing)和(he)增(zeng)強(qiang)�����,隨(sui)著(zhe)立(li)法(fa)的(de)不(bu)斷(duan)完(wan)善(shan)�,麵(mian)向(xiang)用(yong)戶(hu)的(de)互(hu)聯(lian)網(wang)應(ying)用(yong)程(cheng)序(xu)無(wu)疑(yi)將(jiang)麵(mian)臨(lin)更(geng)加(jia)嚴(yan)格(ge)的(de)行(xing)政(zheng)監(jian)管(guan)和(he)執(zhi)法(fa)。因(yin)此(ci)�,教(jiao)育(yu)移(yi)動(dong)應(ying)用(yong)還(hai)需(xu)密(mi)切(qie)關(guan)注(zhu)網(wang)絡(luo)安(an)全(quan)和(he)個(ge)人(ren)信(xin)息(xi)保(bao)護(hu)領(ling)域(yu)�、教育領域出台的數據合規方麵的新規定和與此相關的新動向�����,及時參照新規製定及/或更新完善相應隱私政策�、內部合規流程和製度���,完善和提升組織和技術方麵的保護水平���,管理好供應商�,以降低觸犯合規紅線的風險。
[i] 世衛組織將新型冠狀病毒疫情列為國際關注的突發公共衛生事件 外交部�、國家衛健委回應”��,網址:https://baijiahao.baidu.com/s?id=1657197993383387772&wfr=spider&for=pc。
[ii] 人民網:“教育部:未經學校批準 學生一律不準返校”����,網址:http://edu.people.com.cn/BIG5/n1/2020/0208/c1006-31576766.html。
[iii] 詳情參見網址: http://www.moe.gov.cn/jyb_xwfb/gzdt_gzdt/s5987/202002/t20200214_421098.html。
[iv] 參見《教育移動互聯網應用程序備案管理辦法》第十條��、十一條。
[v] 省級教育行政部門按照《教育部等六部門關於規範校外線上培訓的實施意見》結合本地實際製定細則�,因此實踐中還需查閱當地出台的細則�����,遵照執行。
[vi] 詳情參見:http://edu.sh.gov.cn/web/xwzx/show_article.html?article_id=104439。
[vii] 《兒童個人信息網絡保護規定》第八條。
[viii] 《兒童個人信息網絡保護規定》第九條。
[ix] 《兒童個人信息網絡保護規定》第十條。
[x] 《兒童個人信息網絡保護規定》第十六條。
