2025年教育大数据隐私协议.docxVIP

2025年教育大数据隐私协议

鉴于教育信息化发展及大数据应用的需要，为规范教育大数据的处理活动，保障教育数据主体的合法权益，根据《中华人民共和国个人信息保护法》等相关法律法规，甲乙双方在平等自愿、协商一致的基础上，就教育大数据处理相关事宜达成协议如下：

第一条定义与适用范围

1.1本协议所称“教育数据”是指与教育教学活动相关的，以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。

1.2本协议适用于甲方为提供教育相关服务（以下简称“服务”）而收集、存储、使用、加工、传输、提供、公开、删除其控制或处理的，以及因履行本协议约定由甲方处理的教育数据的活动。

1.3本协议所称“数据主体”是指其个人数据被甲方处理的教育数据提供者，包括但不限于学生、教师、家长及其他与教育活动相关的自然人。

1.4本协议所称“数据处理者”是指接受甲方委托或根据本协议约定处理教育数据的乙方（如技术服务商、研究机构等），或直接处理教育数据的甲方自身。

第二条数据处理原则

甲方及受委托的数据处理者在处理教育数据时，应遵循合法、正当、必要、诚信的原则，以数据最小化、目的限制、公开透明、确保安全、保护隐私、责任明确的方式处理教育数据。

第三条数据主体权利与义务

3.1数据主体对其个人数据享有知情权、决定权/同意权、访问权、更正权、补充权、删除权（被遗忘权）、限制处理权、数据可携权、拒绝自动化决策权及投诉权。甲方应保障数据主体依法行使前述权利。

3.2数据主体应保证其提供的个人信息的真实性、准确性、完整性，并配合甲方或数据处理者完成身份验证等必要的操作。

3.3数据主体应遵守与数据使用相关的法律法规和学校规章制度，不得利用甲方提供的服务非法获取、篡改、删除或公开他人个人数据。

第四条数据收集、使用与共享

4.1甲方应仅收集与其提供的服务目的相关的、且为实现该目的所必需的教育数据。数据收集前应以清晰、易懂的方式向数据主体告知数据收集的目的、方式、范围、存储期限、安全措施、数据主体权利以及处理者的联系方式等信息。

4.2甲方可以基于本协议约定或获得数据主体的明确同意，使用收集的教育数据，使用目的包括但不限于：提供和优化服务、学情分析、教学改进、个性化学习推荐、学生综合素质评价、教育质量监测、升学指导、家校沟通辅助、教育科研、管理决策支持等。

4.3甲方原则上不得将数据主体的个人数据共享或转让给任何第三方。在以下情形之一发生时，甲方可以在获得数据主体明确、单独同意、为完成本协议约定目的所必需、法律法规要求、维护数据安全所必需或维护公共利益等情况下，与特定第三方共享或转让个人数据：

4.3.1向为甲方提供服务的关联公司或第三方服务提供商（如云服务、技术支持、市场调研等），但应要求其承担与甲方同等的保密义务和责任，并确保其遵守本协议的相关规定。

4.3.2向其他教育机构、教育主管部门或其他政府部门，以符合法律法规要求或履行公共管理职能为目的。

4.3.3为履行甲方对数据主体的合同义务所必需。

4.3.4数据主体同意或授权。

4.3.5为保护数据主体或其他个人的生命、健康、财产等重大合法权益所必需。

4.3.6合规法律要求或应对法律诉讼所必需。

4.4在可能且必要时，甲方应采取技术措施对共享或转让的数据进行匿名化或去标识化处理。

第五条数据安全与保密

5.1甲方及受委托的数据处理者应采取必要的技术和管理措施，保障教育数据的安全，防止数据泄露、篡改、丢失。安全措施包括但不限于：

5.1.1物理安全措施，保障数据中心等存储设施的安全。

5.1.2逻辑安全措施，包括访问控制、加密存储和传输、入侵检测和防御系统等。

5.1.3管理安全措施，包括制定和执行数据处理规范、操作规程，定期进行安全风险评估和审计，开展员工安全意识培训，制定并演练应急响应计划等。

5.2甲方及受委托的数据处理者应对其收集、处理的教育数据承担保密义务，未经授权不得向任何第三方泄露，也不得用于本协议约定目的之外的活动。接触数据的员工及其他相关人员应遵守保密协议。

第六条数据存储与保留期限

6.1甲方应仅存储为实现本协议约定目的所必需的最少数据，并应在目的实现、数据主体要求删除、撤回同意或达到法律法规规定的最长期限后删除或进行匿名化处理。

6.2甲方应根据不同类型的数据及其使用目的，设定不同的存储期限。例如，学生学籍、成绩等关键信息应按国家规定或学校规定期限存储；行为日志等临时性数据应在达到分析目的或超过合理期限后删除。具体存储期限清单可由甲方另行公布或在收集时告知。

6.3存储数据的地点应主要在中国境内。如因服务提供等原因确需向境外传输数据的，应遵