2025年教育數(shù)據(jù)隱私保護(hù)協(xié)議甲方（數(shù)據(jù)控制者/教育機(jī)構(gòu)）：[教育機(jī)構(gòu)全稱]，法定代表人/負(fù)責(zé)人：[姓名]，地址：[詳細(xì)地址]，聯(lián)系方式：[電話/郵箱]。乙方（數(shù)據(jù)主體/用戶）：[學(xué)生/家長/教職工姓名]，身份證號(hào)/統(tǒng)一社會(huì)信用代碼（教職工適用）：[編號(hào)]，與甲方關(guān)系（如學(xué)生/監(jiān)護(hù)人/教職工）：[關(guān)系描述]，聯(lián)系方式：[電話/郵箱]。###一、定義與解釋1.教育數(shù)據(jù)：指甲方在教育教學(xué)、管理服務(wù)過程中收集、產(chǎn)生的，與乙方相關(guān)的各類信息，包括但不限于：（1）個(gè)人信息：可直接或間接識(shí)別乙方的信息（如姓名、身份證號(hào)、學(xué)號(hào)/工號(hào)、聯(lián)系方式、家庭住址等）；（2）敏感個(gè)人信息：一旦泄露或?yàn)E用可能導(dǎo)致乙方權(quán)益受到嚴(yán)重?fù)p害的信息（如生物識(shí)別信息、健康監(jiān)測(cè)數(shù)據(jù)、成績排名、心理測(cè)評(píng)記錄、家庭經(jīng)濟(jì)狀況等）；（3）教育過程數(shù)據(jù)：學(xué)習(xí)記錄（課程參與度、作業(yè)完成情況、考試成績）、考勤數(shù)據(jù)、行為表現(xiàn)數(shù)據(jù)（獎(jiǎng)懲記錄、校園活動(dòng)參與記錄）等；（4）系統(tǒng)日志數(shù)據(jù)：登錄IP地址、設(shè)備信息、操作記錄等（用于系統(tǒng)安全與故障排查）。2.數(shù)據(jù)處理：包括數(shù)據(jù)的收集、存儲(chǔ)、使用、加工、傳輸、提供、公開、刪除等全生命周期操作。3.匿名化/去標(biāo)識(shí)化處理：指通過技術(shù)手段處理數(shù)據(jù)，使信息無法識(shí)別特定個(gè)人且不可復(fù)原（如去除姓名、身份證號(hào)后關(guān)聯(lián)學(xué)號(hào)分析學(xué)習(xí)趨勢(shì)）。###二、數(shù)據(jù)收集與處理####2.1收集范圍與目的甲方僅出于合法、正當(dāng)、必要的目的收集乙方數(shù)據(jù)，具體范圍與目的對(duì)應(yīng)如下：（1）基本信息：包括姓名、身份證號(hào)、學(xué)號(hào)/工號(hào)、聯(lián)系方式、家庭住址（僅監(jiān)護(hù)人提供），用于建立教育檔案、身份核驗(yàn)、聯(lián)系通知，合法性基礎(chǔ)為履行教育管理職責(zé)所必需；（2）教育過程數(shù)據(jù)：包括課程記錄、作業(yè)提交情況、考試成績、考勤數(shù)據(jù)，用于評(píng)估學(xué)習(xí)效果、優(yōu)化教學(xué)方案、學(xué)籍管理，合法性基礎(chǔ)為履行教育教學(xué)職責(zé)所必需；（3）敏感個(gè)人信息：包括健康體檢報(bào)告、過敏史、心理測(cè)評(píng)記錄、家庭經(jīng)濟(jì)困難證明（如適用），用于保障學(xué)生健康安全、提供針對(duì)性幫扶（如助學(xué)金、心理輔導(dǎo)），合法性基礎(chǔ)為取得乙方（或監(jiān)護(hù)人）單獨(dú)書面同意或法律法規(guī)要求；（4）系統(tǒng)日志數(shù)據(jù)：包括登錄IP、設(shè)備型號(hào)、操作時(shí)間，用于保障系統(tǒng)安全、排查故障、防范濫用，合法性基礎(chǔ)為維護(hù)信息系統(tǒng)穩(wěn)定運(yùn)行所必需。注：甲方不得收集與教育目的無關(guān)的數(shù)據(jù)，不得過度收集；如超出原定范圍收集數(shù)據(jù)，需重新取得乙方同意。####2.2收集方式與告知1.主動(dòng)告知：甲方通過入學(xué)須知、校園官網(wǎng)、隱私政策、書面通知等方式，向乙方明確告知數(shù)據(jù)收集的類型、目的、方式、存儲(chǔ)期限及乙方權(quán)利。2.收集方式：通過紙質(zhì)表單、線上系統(tǒng)（如教學(xué)平臺(tái)、校園APP）、人工錄入等方式收集，確保數(shù)據(jù)來源合法。###三、數(shù)據(jù)安全保護(hù)措施####3.1技術(shù)措施（1）加密存儲(chǔ)：敏感個(gè)人信息采用AES-256加密算法存儲(chǔ)，個(gè)人信息采用MD5哈希加密；（2）訪問控制：實(shí)施最小權(quán)限原則，不同崗位員工僅可訪問職責(zé)所需數(shù)據(jù)（如教師僅可查看所教班級(jí)學(xué)生數(shù)據(jù)，管理員僅可訪問匿名化匯總數(shù)據(jù)）；（3）安全審計(jì)：記錄數(shù)據(jù)訪問、操作日志，保留不少于6個(gè)月，定期（每季度）進(jìn)行漏洞掃描與滲透測(cè)試；（4）備份與恢復(fù)：每日增量備份、每周全量備份，備份數(shù)據(jù)存儲(chǔ)于獨(dú)立物理服務(wù)器，確保數(shù)據(jù)可恢復(fù)。####3.2管理措施（1）人員培訓(xùn)：每年組織不少于2次數(shù)據(jù)安全培訓(xùn)，確保員工熟悉隱私保護(hù)義務(wù)與應(yīng)急流程；（2）責(zé)任到人：設(shè)立數(shù)據(jù)保護(hù)負(fù)責(zé)人（姓名：[負(fù)責(zé)人姓名]，聯(lián)系方式：[郵箱]），負(fù)責(zé)數(shù)據(jù)安全日常管理；（3）應(yīng)急預(yù)案：制定數(shù)據(jù)泄露應(yīng)急預(yù)案，明確泄露情形（如黑客攻擊、內(nèi)部員工違規(guī)）、響應(yīng)流程（24小時(shí)內(nèi)通知乙方及監(jiān)管部門）、補(bǔ)救措施。####3.3數(shù)據(jù)存儲(chǔ)期限與處置（1）存儲(chǔ)期限：數(shù)據(jù)存儲(chǔ)期限為實(shí)現(xiàn)協(xié)議目的所必需的最短時(shí)間，具體如下：①學(xué)生基本信息：畢業(yè)后10年（用于學(xué)歷認(rèn)證、校友聯(lián)系）；②教育過程數(shù)據(jù)：畢業(yè)后5年（用于教學(xué)評(píng)估、歷史數(shù)據(jù)統(tǒng)計(jì)）；③敏感個(gè)人信息：相關(guān)服務(wù)結(jié)束后立即刪除（如心理測(cè)評(píng)記錄用于輔導(dǎo)后1年內(nèi)刪除）；④系統(tǒng)日志數(shù)據(jù)：刪除后6個(gè)月內(nèi)不可恢復(fù)。（2）刪除與匿名化：超出存儲(chǔ)期限或乙方撤回同意/要求刪除的，甲方應(yīng)在15個(gè)工作日內(nèi)刪除或匿名化處理（法律法規(guī)另有規(guī)定的除外）。###四、數(shù)據(jù)主體的權(quán)利與義務(wù)####4.1乙方的權(quán)利（1）查閱與復(fù)制權(quán)：乙方有權(quán)查閱、復(fù)制甲方持有的其個(gè)人信息，可通過書面申請(qǐng)、線上平臺(tái)（如校園APP“數(shù)據(jù)查詢”模塊）行使權(quán)利，甲方應(yīng)在5個(gè)工作日內(nèi)提供。（2）更正與補(bǔ)充權(quán)：如乙方發(fā)現(xiàn)數(shù)據(jù)不準(zhǔn)確或不完整，有權(quán)要求更正或補(bǔ)充，甲方核實(shí)后應(yīng)在3個(gè)工作日內(nèi)處理。（3）刪除權(quán)：在下列情形下，乙方有權(quán)要求刪除數(shù)據(jù)：①數(shù)據(jù)收集目的已實(shí)現(xiàn)或無法實(shí)現(xiàn)；②乙方撤回同意（需區(qū)分“單獨(dú)同意”與“一般同意”，敏感個(gè)人信息刪除需以書面撤回為準(zhǔn)）；③甲方違法處理數(shù)據(jù)。例外：法律法規(guī)規(guī)定的保存期限屆滿前，或?yàn)榫S護(hù)公共利益、他人合法權(quán)益所需的，甲方可不刪除，但應(yīng)停止使用并匿名化。（4）撤回同意權(quán)：乙方可通過書面或線上方式撤回對(duì)數(shù)據(jù)處理的同意，不影響撤回前基于同意已進(jìn)行的合法處理；撤回后甲方應(yīng)停止處理相關(guān)數(shù)據(jù)（法律法規(guī)或合同另有約定的除外）。（5）解釋說明權(quán)：乙方有權(quán)要求甲方解釋數(shù)據(jù)處理的規(guī)則、目的、范圍等，甲方應(yīng)在3個(gè)工作日內(nèi)以易懂語言回復(fù)。####4.2乙方的義務(wù)（1）提供真實(shí)信息：乙方應(yīng)向甲方提供真實(shí)、準(zhǔn)確的數(shù)據(jù)，因信息不實(shí)導(dǎo)致的損失由乙方自行承擔(dān)。（2）正當(dāng)行使權(quán)利：乙方行使權(quán)利時(shí)應(yīng)遵守法律法規(guī)，不得濫用權(quán)利（如頻繁惡意查詢、干擾甲方正常運(yùn)營）。###五、數(shù)據(jù)共享、轉(zhuǎn)讓與跨境傳輸####5.1數(shù)據(jù)共享（1）共享范圍：僅限于為實(shí)現(xiàn)教育目的所必需的第三方，包括教育主管部門（如教育局、教育廳）、合作辦學(xué)機(jī)構(gòu)（如聯(lián)合培養(yǎng)院校、實(shí)習(xí)單位）、第三方技術(shù)服務(wù)商（如教學(xué)平臺(tái)運(yùn)營商、云服務(wù)提供商，需通過ISO27001認(rèn)證并簽訂保密協(xié)議）。（2）共享?xiàng)l件：①共享前取得乙方（或監(jiān)護(hù)人）單獨(dú)書面同意（法律法規(guī)明確無需同意的除外）；②第三方需采取與甲方同等安全保護(hù)措施，甲方有權(quán)監(jiān)督其數(shù)據(jù)處理行為。####5.2數(shù)據(jù)轉(zhuǎn)讓甲方不得向第三方轉(zhuǎn)讓乙方數(shù)據(jù)，但因合并、分立、解散等情形確需轉(zhuǎn)讓的，應(yīng)提前30日通知乙方，并確保受讓人繼續(xù)履行數(shù)據(jù)保護(hù)義務(wù)。####5.3跨境數(shù)據(jù)傳輸如需將數(shù)據(jù)傳輸至境外（如國際交流項(xiàng)目、海外合作院校），應(yīng)符合《數(shù)據(jù)出境安全評(píng)估辦法》等規(guī)定：①通過國家網(wǎng)信部門的安全評(píng)估；②經(jīng)專業(yè)機(jī)構(gòu)認(rèn)證（如通過GDPR認(rèn)證）；③乙方（或監(jiān)護(hù)人）單獨(dú)同意，并明確傳輸目的、范圍、接收方及安全措施。###六、保密義務(wù)1.雙方對(duì)在協(xié)議履行過程中知悉的對(duì)方數(shù)據(jù)、商業(yè)秘密等負(fù)有保密義務(wù)，未經(jīng)對(duì)方書面同意，不得向任何第三方披露（法律法規(guī)要求或?yàn)榫S護(hù)公共利益、對(duì)方合法權(quán)益所需的除外）。2.甲方員工因職務(wù)接觸乙方數(shù)據(jù)的，需簽訂《保密承諾書》，明確違約責(zé)任。###七、違約責(zé)任1.甲方違約：（1）未采取安全措施導(dǎo)致數(shù)據(jù)泄露：賠償乙方因此遭受的直接損失（如財(cái)產(chǎn)損失、合理維權(quán)費(fèi)用）；情節(jié)嚴(yán)重的，支付[10萬元-50萬元]違約金；（2）未履行告知義務(wù)或違規(guī)收集數(shù)據(jù)：乙方有權(quán)要求刪除數(shù)據(jù)，甲方應(yīng)在3個(gè)工作日內(nèi)整改；（3）拒絕乙方行使合法權(quán)利：乙方有權(quán)向教育主管部門投訴，甲方應(yīng)承擔(dān)因此產(chǎn)生的行政處罰責(zé)任。2.乙方違約：（1）提供虛假信息導(dǎo)致甲方損失的，應(yīng)賠償甲方直接損失；（2）濫用權(quán)利（如惡意泄露甲方告知的保密信息）的，甲方有權(quán)暫停提供相關(guān)服務(wù)，并追究乙方法律責(zé)任。###八、協(xié)議期限與終止1.協(xié)議期限：自雙方簽字/蓋章之日起生效，有效期為3年，期滿前30日如無書面異議，自動(dòng)續(xù)期1年。2.終止情形：（1）協(xié)議期限屆滿且未續(xù)期；（2）雙方協(xié)商一致終止；（3）甲方破產(chǎn)、解散或喪失教育資質(zhì)；（4）乙方死亡、喪失民事行為能力或不再與甲方存在教育關(guān)系（如學(xué)生畢業(yè)、教職工離職）。3.終止后的數(shù)據(jù)處置：協(xié)議終止后，甲方應(yīng)在30日內(nèi)刪除乙方數(shù)據(jù)（法律法規(guī)要求保留的除外），并向乙方出具數(shù)據(jù)刪除證明。###九、法律適用與爭(zhēng)議解決1.法律適用：本協(xié)議適用中華人民共和國法律（包括《中華人民共和國個(gè)人信息保護(hù)法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國教育法》等）。2.爭(zhēng)議解決：雙方因協(xié)議發(fā)生爭(zhēng)議，應(yīng)首先協(xié)商解決；協(xié)商不成的，任何一方可向甲方所在地有管轄權(quán)的人民法院提起訴訟。###十、其他條款1.通知送達(dá)：雙方在本協(xié)議中載明的聯(lián)系方式為有效聯(lián)系方式，任何書面通知以郵寄（寄送后3日視為送達(dá)）、電子郵件（發(fā)送后24小時(shí)視為送達(dá)）或甲方校園公告（公告后3日視為送達(dá)）方式送達(dá)。