2022年12月9日,教育部研究制定《直播類線上教學平台安全保障要求》,規定了直播類線上教學平台的安全合規要求、安全功能要求及數據安全要求,並作為教育行業標準予以發布,明確自發布之日起施行。
基本介紹
- 中文名:直播類線上教學平台安全保障要求
- 發布單位:教育部
背景介紹,具體內容,
背景介紹
為深入貫徹落實黨的二十大精神,紮實推進國家教育數位化戰略行動,完善教育信息化標準體系,保障直播教學正常開展,提升直播類線上教學平台的安全保障能力,教育部研究制定了《直播類線上教學平台安全保障要求》,現作為教育行業標準予以發布,並自發布之日起施行。
具體內容
1 範圍
本檔案規定了直播類線上教學平台的安全合規要求、安全功能要求及數據安全要求。
本檔案適用於直播類線上教學平台安全功能的開發、管理和使用,也適用於主管監管部門、第三方評估機構等組織對直播類線上教學平台安全保障工作進行監督、管理和評估。
2 規範性引用檔案
下列檔案中的內容通過文中的規範性引用而構成本檔案必不可少的條款。其中,注日期的引用檔案,僅該日期對應的版本適用於本檔案;不注日期的引用檔案,其最新版本(包括所有的修改單)適用於本檔案。
- GB/T 20984-2022 信息安全技術 信息安全風險評估方法
- GB/T 22239-2019 信息安全技術 網路安全等級保護基本要求
- GB/T 35273-2020 信息安全技術 個人信息安全規範
- GB/T 39335-2020 信息安全技術 個人信息安全影響評估指南
- GB/T 39786-2021 信息安全技術 信息系統密碼套用基本要求
- 網際網路用戶賬號信息管理規定(國家網際網路信息辦公室令 2022 第10號)
- 兒童個人信息網路保護規定(國家網際網路信息辦公室令 2019 第4號)
- 教育移動網際網路應用程式備案管理辦法(教技廳〔2019〕3號)
3 術語和定義
下列術語和定義適用於本檔案。
3.1 直播類線上教學平台 online streaming instruction platform
直播類線上教學平台(以下簡稱直播教學平台)是指支撐學校直播教學活動的技術平台,主要包括三類:第一類是專門針對學校直播教學活動開發的技術平台,如各級教育行政部門、各級各類學校自建的技術平台;第二類是社會第三方為教育開發的技術平台,具備直播教學的功能;第三類是社會第三方為視頻會議、直播等場景開發的技術平台,可以支持直播教學活動。
3.2 直播教學模式 online streaming instruction mode
直播教學模式是指直播教學平台提供的,專門針對學校直播教學活動開發的默認功能選項組合,具有基本教學功能、較高易用性和較強安全保障能力。
3.3 幫助中心 help center
幫助中心是指通過實用簡單的文字說明、示意配圖或視頻講解等方式,幫助用戶迅速了解直播教學平台並解決問題的功能模組,包括平台介紹、入門和使用、常見問題等。
4 直播教學平台安全合規要求
4.1 網路安全等級保護
直播教學平台應按照《中華人民共和國網路安全法》《教育部 公安部關於全面推進教育行業信息安全等級保護工作的通知》等法律法規和政策要求,進行信息系統(含App)等級保護定級備案。
直播教學平台應委託專業等級保護測評機構定期開展測評,並提供網路安全等級保護測評報告。
4.2 應用程式(App)安全認證
直播教學平台應依據GB/T 35273-2020的要求及《教育移動網際網路應用程式備案管理辦法》等檔案,委託專業機構規範開展App安全認證,提供移動網際網路應用程式(App)安全認證證書。
直播教學平台移動端應按照《教育部等八部門關於引導規範教育移動網際網路套用有序健康發展的意見》,完成教育移動網際網路應用程式(App)備案。
4.3 信息安全風險評估
直播教學平台應依據GB/T 20984-2022的要求,開展信息安全風險評估,確保對檢查中發現的風險項修復整改完成,並提供信息安全風險評估報告。
4.4 商用密碼套用
直播教學平台應依據GB/T 39786-2021及《商用密碼套用安全性評估管理辦法(試行)》等標準和政策檔案的要求,使用商用密碼進行保護,定期委託檢測機構開展密碼套用安全性評估,並提供密碼套用安全性評估報告。
5 直播教學模式安全功能要求
5.1 用戶註冊和管理
直播教學平台應具備完善的身份認證功能,應支持雙因子認證、設備認證和實名認證。賬號信息的註冊、使用和管理應符合《網際網路用戶賬號信息管理規定》的要求。
直播教學平台應支持對違規賬號實行許可權限制;應支持直播教學活動管理者創建黑名單,並將特定用戶拉入黑名單。
直播教學平台應支持與用戶提供的統一身份認證平台對接,實現用戶身份的動態同步。
5.2 教學組織管理
用戶首次進行直播教學活動時,平台應及時彈出"幫助中心",幫助用戶了解教學功能和安全功能。
直播教學平台應具備以下教學秩序保障功能:
——支持教學班級成員管理功能;
——支持指定成員進入直播教學活動的功能;
——支持鎖定功能,防止外部人員或遊客進入;
——支持設定多種輔助教學角色,並分配不同的許可權以協助教師維持正常直播教學秩序;
——支持直播教學活動管理者根據需要刪除他人已分享檔案等內容;
——支持快速舉報功能。
5.3 教學互動管理
直播教學平台應具備對開啟視頻、開啟語音、手寫批註、螢幕共享、檔案共享、文字輸入等教學互動許可權進行單獨控制的功能。
直播教學平台應至少具備以下一鍵控制功能:
——一鍵暫停功能,一鍵禁止所有教學互動許可權功能,且禁止後學生無法自主開啟;
——一鍵關停功能,發生網課安全事件且不可控時,一鍵結束直播教學活動,在用戶授權後同步獲取文字、圖像、音視頻等有效證據並向平台舉報。
直播教學平台應將"一鍵暫停"功能始終保持在直播教學界面的顯眼位置。
5.4 教學內容管理
5.4.1 教學內容審核與管理要求
直播教學平台應支持對教學內容的文字、圖像和音視頻進行以下審核和管理:
——基於AI技術的自動檢測,支持對違法和不良信息進行自動檢測及過濾;
——結合人工檢測,實現對違法和不良信息進行人工審核。
直播教學平台應支持針對直播教學活動的自動巡護,保證及時發現和處置安全問題。
5.4.2 教學內容使用與保存要求
直播教學平台提供直播教學內容使用與保存功能,應符合以下要求:
——支持教師實現直播教學活動過程的本地和平台端錄製和保存;
——支持教師設定查看與下載許可權,控制直播教學內容傳播範圍;
——支持教師在平台端設定直播教學內容保存期限;
——支持用戶對直播教學數據進行管理與套用,支撐教育大數據分析。
5.5 用戶教育與培訓
直播教學平台應制定安全功能操作指南,包括但不限於操作手冊、視頻教程。
直播教學平台應提供安全應急指南,支撐用戶開展直播教學安全事件的應急演練。
6 直播教學平台數據安全要求
6.1 數據分類分級
直播教學平台應識別教學相關的數據,落實以下教育數據分類分級措施:
——識別直播教學活動各階段所產生的數據,包括用戶個人信息、直播教學數據和其他數據,形成數據資源目錄並持續更新;
——制定數據分類分級管理制度,根據國家和教育行業標準,對所識別的數據進行分類分級,形成重要數據目錄並對列入目錄的數據進行重點保護。
6.2 數據安全風險防控
直播教學平台應開展以下數據安全風險防控工作:
——採取入侵檢測與防禦、防信息泄露、異常流量監測、賬號管理和安全審計等技術手段,防止數據篡改、假冒、泄漏、竊取、未授權訪問等安全事件發生;
——在數據採集、數據存儲、數據使用加工、數據傳輸、數據公開、數據銷毀等數據處理環節中採取安全保障措施;
——對重要數據和敏感個人信息的關鍵操作設定並嚴格執行內部審批和審計流程;
註:重要數據和敏感個人信息的關鍵操作包括但不限於:批量修改、拷貝、刪除、下載等。
——加強數據處理活動風險監測,定期開展數據安全風險評估,涉及處理敏感個人信息的,應開展個人信息保護影響評估;
——對安全缺陷、漏洞等風險採取即時補救措施;對數據安全事件採取即時處置措施,並及時告知用戶和向有關主管部門報告;
——與用戶單位簽署數據安全保障協定,保證平台用戶對其個人信息、直播教學數據及其他數據的處理享有知情權與決定權,保護教育數據主權。
註:數據處理的知情權與決定權包括但不限於:查閱、更正、補充、複製、刪除、改變授權範圍等。
6.3 個人信息保護
6.3.1 隱私政策要求
直播教學平台應制定用戶隱私政策,採取技術措施,引導用戶查閱隱私政策。
直播教學平台在採集個人信息時,應確保個人信息主體的同意,不得以默認授權、功能捆綁等方式誤導強迫用戶提供個人信息。
直播教學平台在收集年滿14周歲未成年人的個人信息前,應徵得未成年人或其監護人同意。
直播教學平台在收集兒童個人信息前,應當徵得其監護人同意。
註:直播教學平台可採用彈窗、明顯位置提示、URL連結等技術措施,設定查閱時間,引導用戶查閱隱私政策。
6.3.2 處理要求
直播教學平台在處理個人信息時,按照"最小必要"的原則,依法依規處理個人信息。
直播教學平台應將用戶個人生物識別信息與個人身份信息分開存儲。
直播教學平台傳輸和存儲敏感個人信息時,應採用加密等安全措施。
直播教學平台未經用戶同意,不得公開或向第三方提供個人信息。
註:符合GB/T 35273-2020的5.6情形下,直播教學平台收集、使用個人信息不必徵得個人信息主體的授權同意。
直播教學平台應對確需公開的數據採取去標識化、匿名化等方式對個人信息進行必要的脫敏處理,準確記錄和保存用戶個人信息的公開情況,包括公開的日期、規模、目的、內容和範圍等。