教科信函〔2022〕59号
各省、自治区、直辖市教育厅,各计划单列市教育局,新疆生产建设兵团教育局,有关部门教育司,部属各高等学校、部省合建各高等学校:
为深入贯彻落实党的二十大精神,扎实推进国家教育数字化战略行动,完善教育信息化标准体系,保障直播教学正常开展,提升直播类在线教学平台的安全保障能力,我部研究制定了《直播类在线教学平台安全保障要求》,现作为教育行业标准予以发布,并自发布之日起施行。
附件:直播类在线教学平台安全保障要求
教育部
2022年12月9日
直播类在线教学平台安全保障要求
1、范围
本文件规定了直播类在线教学平台的安全合规要求、安全功能要求及数据安全要求。
本文件适用于直播类在线教学平台安全功能的开发、管理和使用,也适用于主管监管部门、第三方评估机构等组织对直播类在线教学平台安全保障工作进行监督、管理和评估。
2、规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本适用于本文件。
GB/T20984-2022信息安全技术信息安全风险评估方法
GB/T22239-2019信息安全技术网络安全等级保护基本要求
GB/T35273-2020信息安全技术个人信息安全规范
GB/T39335-2020信息安全技术个人信息安全影响评估指南
GB/T39786-2021信息安全技术信息系统密码应用基本要求
互联网用户账号信息管理规定
儿童个人信息网络保护规定
教育移动互联网应用程序备案管理办法
3、术语和定义
下列术语和定义适用于本文件。
3.1
直播类在线教学平台onlinestreaminginstructionplatform
直播类在线教学平台是指支撑学校直播教学活动的技术平台,主要包括三类:第一类是专门针对学校直播教学活动开发的技术平台,如各级教育行政部门、各级各类学校自建的技术平台;第二类是社会第三方为教育开发的技术平台,具备直播教学的功能;第三类是社会第三方为视频会议、直播等场景开发的技术平台,可以支持直播教学活动。
3.2
直播教学模式onlinestreaminginstructionmode
直播教学模式是指直播教学平台提供的,专门针对学校直播教学活动开发的默认功能选项组合,具有基本教学功能、较高易用性和较强安全保障能力。
3.3
帮助中心helpcenter
帮助中心是指通过实用简单的文字说明、示意配图或视频讲解等方式,帮助用户迅速了解直播教学平台并解决问题的功能模块,包括平台介绍、入门和使用、常见问题等。
4、直播教学平台安全合规要求
4.1网络安全等级保护
直播教学平台应按照《中华人民共和国网络安全法》《教育部公安部关于全面推进教育行业信息安全等级保护工作的通知》等法律法规和政策要求,进行信息系统等级保护定级备案。
直播教学平台应委托专业等级保护测评机构定期开展测评,并提供网络安全等级保护测评报告。
4.2应用程序安全认证
直播教学平台应依据GB/T35273-2020的要求及《教育移动互联网应用程序备案管理办法》等文件,委托专业机构规范开展App安全认证,提供移动互联网应用程序安全认证证书。
直播教学平台移动端应按照《教育部等八部门关于引导规范教育移动互联网应用有序健康发展的意见》,完成教育移动互联网应用程序备案。
4.3信息安全风险评估
直播教学平台应依据GB/T20984-2022的要求,开展信息安全风险评估,确保对检查中发现的风险项修复整改完成,并提供信息安全风险评估报告。
4.4商用密码应用
直播教学平台应依据GB/T39786-2021及《商用密码应用安全性评估管理办法》等标准和政策文件的要求,使用商用密码进行保护,定期委托检测机构开展密码应用安全性评估,并提供密码应用安全性评估报告。
5、直播教学模式安全功能要求
5.1用户注册和管理
直播教学平台应具备完善的身份认证功能,应支持双因子认证、设备认证和实名认证。账号信息的注册、使用和管理应符合《互联网用户账号信息管理规定》的要求。
直播教学平台应支持对违规账号实行权限限制;应支持直播教学活动管理者创建黑名单,并将特定用户拉入黑名单。
直播教学平台应支持与用户提供的统一身份认证平台对接,实现用户身份的动态同步。
5.2教学组织管理
用户首次进行直播教学活动时,平台应及时弹出"帮助中心",帮助用户了解教学功能和安全功能。
直播教学平台应具备以下教学秩序保障功能:
——支持教学班级成员管理功能;
——支持指定成员进入直播教学活动的功能;
——支持锁定功能,防止外部人员或游客进入;
——支持设置多种辅助教学角色,并分配不同的权限以协助教师维持正常直播教学秩序;
——支持直播教学活动管理者根据需要删除他人共享文件等内容;
——支持快速举报功能。
5.3教学互动管理
直播教学平台应具备对开启视频、开启语音、手写批注、屏幕共享、文件共享、文字输入等教学互动权限进行单独控制的功能。
直播教学平台应至少具备以下一键控制功能:
——一键暂停功能,一键禁止所有教学互动权限功能,且禁止后学生无法自主开启;
——一键关停功能,发生网课安全事件且不可控时,一键结束直播教学活动,在用户授权后同步获取文字、图像、音视频等有效证据并向平台举报。
直播教学平台应将"一键暂停"功能始终保持在直播教学界面的显眼位置。
5.4教学内容管理
5.4.1教学内容审核与管理要求
直播教学平台应支持对教学内容的文字、图像和音视频进行以下审核和管理:
——基于AI技术的自动检测,支持对违法和不良信息进行自动检测及过滤;
——结合人工检测,实现对违法和不良信息进行人工审核。
直播教学平台应支持针对直播教学活动的自动巡护,保证及时发现和处置安全问题。
5.4.2教学内容使用与保存要求
直播教学平台提供直播教学内容使用与保存功能,应符合以下要求:
——支持教师实现直播教学活动过程的本地和平台端录制和保存;
——支持教师设置查看与下载权限,控制直播教学内容传播范围;
——支持教师在平台端设置直播教学内容保存期限;
——支持用户对直播教学数据进行管理与应用,支撑教育大数据分析。
5.5用户教育与培训
直播教学平台应制定安全功能操作指南,包括但不限于操作手册、视频教程。
直播教学平台应提供安全应急指南,支撑用户开展直播教学安全事件的应急演练。
6、直播教学平台数据安全要求
6.1数据分类分级
直播教学平台应识别教学相关的数据,落实以下教育数据分类分级措施:
——识别直播教学活动各阶段所产生的数据,包括用户个人信息、直播教学数据和其他数据,形成数据资源目录并持续更新;
——制定数据分类分级管理制度,根据国家和教育行业标准,对所识别的数据进行分类分级,形成重要数据目录并对列入目录的数据进行重点保护。
6.2数据安全风险防控
直播教学平台应开展以下数据安全风险防控工作:
——采取入侵检测与防御、防信息泄露、异常流量监测、账号管理和安全审计等技术手段,防止数据篡改、假冒、泄漏、窃取、未授权访问等安全事件发生;
——在数据采集、数据存储、数据使用加工、数据传输、数据公开、数据销毁等数据处理环节中采取安全保障措施;
——对重要数据和敏感个人信息的关键操作设置并严格执行内部审批和审计流程;
注:重要数据和敏感个人信息的关键操作包括但不限于:批量修改、拷贝、删除、下载等。
——加强数据处理活动风险监测,定期开展数据安全风险评估,涉及处理敏感个人信息的,应开展个人信息保护影响评估;
——对安全缺陷、漏洞等风险采取即时补救措施;对数据安全事件采取即时处置措施,并及时告知用户和向有关主管部门报告;
——与用户单位签署数据安全保障协议,保证平台用户对其个人信息、直播教学数据及其他数据的处理享有知情权与决定权,保护教育数据主权。
注:数据处理的知情权与决定权包括但不限于:查阅、更正、补充、复制、删除、改变授权范围等。
6.3个人信息保护
6.3.1隐私政策要求
直播教学平台应制定用户隐私政策,采取技术措施,引导用户查阅隐私政策。
直播教学平台在采集个人信息时,应确保个人信息主体的同意,不得以默认授权、功能捆绑等方式误导强迫用户提供个人信息。
直播教学平台在收集年满14周岁未成年人的个人信息前,应征得未成年人或其监护人同意。
直播教学平台在收集儿童个人信息前,应当征得其监护人同意。
注:直播教学平台可采用弹窗、明显位置提示、URL链接等技术措施,设置查阅时间,引导用户查阅隐私政策。
6.3.2处理要求
直播教学平台在处理个人信息时,按照"最小必要"的原则,依法依规处理个人信息。
直播教学平台应将用户个人生物识别信息与个人身份信息分开存储。
直播教学平台传输和存储敏感个人信息时,应采用加密等安全措施。
直播教学平台未经用户同意,不得公开或向第三方提供个人信息。
注:符合GB/T35273-2020的5.6情形下,直播教学平台收集、使用个人信息不必征得个人信息主体的授权同意。
直播教学平台应对确需公开的数据采取去标识化、匿名化等方式对个人信息进行必要的脱敏处理,准确记录和保存用户个人信息的公开情况,包括公开的日期、规模、目的、内容和范围等。
