JY/T 0643-2025 智慧教育平台 个人信息保护通用要求

　　ICS 35.240.99

CCS L 67

JY

中华人民共和国教育行业标准

JY/T 0643—2025

智慧教育平台个人信息保护通用要求

Smart education platform—

General requirements for personal information protection

2025 - 04 - 27 发布2025 - 04 - 27 实施

中华人民共和国教育部 发布

JY/T 0643—2025

I

目次

前言.................................................................................. II

1 范围................................................................................ 1

2 规范性引用文件...................................................................... 1

3 术语和定义.......................................................................... 1

4 基本原则............................................................................ 1

4.1 概述............................................................................ 1

4.2 使用限制........................................................................ 1

4.3 分类分级........................................................................ 1

4.4 侵权问责........................................................................ 1

5 保护要求............................................................................ 1

5.1 隐私政策........................................................................ 1

5.2 信息处理活动.................................................................... 3

5.3 用户权利保障.................................................................... 4

5.4 信息安全管理.................................................................... 5

参考文献............................................................................... 7

JY/T 0643—2025

II

前言

本文件按照GB/T 1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定

起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件由中华人民共和国教育部科学技术与信息化司提出并归口。

本文件起草单位：北京邮电大学、华东师范大学、清华大学、华中师范大学、中国电子技术标准化

研究院、教育部教育技术与资源发展中心(中央电化教育馆)、教育部教育管理信息中心、高等教育出

版社有限公司、华为技术有限公司、阿里巴巴(中国)有限公司、杭州海康威视数字技术股份有限公司、

新华三技术有限公司、广西壮族自治区教育技术和信息化中心、北京网瑞达科技有限公司、北京国人通

教育科技有限公司。

本文件主要起草人：李青、钱冬明、郑莉、杜婧、吴砥、吴晨、余云涛、刘华俊、杨伟平、张君灵、

萧潇、严敏瑞、彭骏涛、林克章、卢绎熹、康蓓、于翠波、李建伟、李晶晶、刘洪沛、苏明雪、李凡、

张全奇、丁颖、宁宇。

JY/T 0643—2025

1

智慧教育平台个人信息保护通用要求

1 范围

本文件给出了智慧教育平台用户个人信息保护的基本原则，规定了对用户个人信息的保护要求。

本文件适用于规范各级各类智慧教育平台的用户个人信息处理活动。

2 规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件;不注日期的引用文件，其最新版本(包括所有的修改单)适用于本

文件。

GB/T 35273—2020 信息安全技术个人信息安全规范

3 术语和定义

GB/T 35273—2020 界定的术语和定义适用于本文件。

4 基本原则

4.1 概述

GB/T 35273—2020 第4章规定的个人信息安全基本原则适用于本文件，包括权责一致、目的明确、

选择同意、最小必要、公开透明、确保安全、主体参与。除此之外，智慧教育平台的用户个人信息保护

还应遵循一些其他基本原则，包括使用限制、分类分级和侵权问责。

4.2 使用限制

涉及用户隐私的个人信息不应被公开，或被用于隐私政策文件声明的收集目的以外的情形，除非个

人信息主体同意或法律要求。

4.3 分类分级

个人信息处理者在收集、存储和处理包含个人信息的数据时，应根据其性质、敏感程度、用途和保

护需求对数据分类分级，采取不同级别的保护措施。

4.4 侵权问责

个人信息处理者应在信息处理活动中遵守上述原则，制定相应的问责制度。

个人信息处理者或其工作人员侵害用户个人信息权益的，应由有关部门追究其行政责任;涉嫌犯罪

的，应当及时移送公安机关依法处理。

5 保护要求

5.1 隐私政策

5.1.1 概述

隐私政策是各级各类智慧教育平台及其所属机构公开发布的，用于说明平台如何处理用户个人信息

(包括信息收集、使用、保护、共享等活动)的文件，具有法律效力。该文件声明的个人信息保护措施

应符合法律规定，并且全面完整、清晰透明。

注1：本文件中用户包括主动注册智慧教育平台并激活账户的用户，以及出于业务需要批量导入账户的用户。

注2：作为保护对象时，一些智慧教育平台隐私政策文件中的“个人资料”“个人数据”等同于本文件中的“个人

JY/T 0643—2025

2

信息”。

5.1.2 制定情况

5.1.2.1 隐私政策文件

智慧教育平台中的个人信息处理者(以下简称“个人信息处理者”)应制定隐私政策，并在其提供

服务的渠道或媒介(如网站、电脑软件、移动互联网应用程序(App))的显著位置提供该文件。

5.1.2.2 未成年人特别保护

个人信息处理者应为智慧教育平台中的未成年人用户以及平台中存储的未成年人个人信息制定专

门的隐私政策文件，或在隐私政策文件中增加专门的章节条目。

5.1.2.3 隐私政策同意

个人信息处理者向用户/监护人告知隐私政策，获得用户/监护人明示同意后方可收集和使用用户个

人信息。

注：本文件中的“用户/监护人”，对于未成年人用户是指“用户或者其监护人”， 不满十四周岁未成年人个人

信息的处理应当取得其监护人的同意;对于成年人用户仅指“用户”。

5.1.2.4 隐私政策的易访问度

个人信息处理者应为用户/监护人查看隐私政策提供便利，应在首页(若登录后方可进入的，在登

录/注册界面)给出隐私政策文件链接。在用户首次进入或首次使用平台时，应通过弹窗等明显方式提

醒用户/监护人阅读隐私政策。

隐私政策文件应提供中文简体版本，字体和版式应清晰、醒目，并且易于阅读。

除了在首页或登录/注册界面给出隐私政策文件链接，以及通过客服告知以外，智慧教育平台还应

通过其他多种方式提供隐私政策内容，例如，在帮助说明文档中列出，在官方网站中列出等。

隐私政策文件的访问路径在智慧教育平台的不同软件版本中应保持一致，确保用户/监护人容易获

得，不应频繁变更或故意隐藏访问路径。

5.1.2.5 隐私政策更新

隐私政策发生变更时，个人信息处理者应及时通过电子邮件、推送通知等方式告知用户/监护人。

5.1.3 内容要点

5.1.3.1 信息收集和使用

隐私政策中应明确说明个人信息处理者收集和使用个人信息的目的、方式、范围，以及所采取的安

全措施。信息收集和使用的目的应与教育活动相关，包括但不限于教学、学习、管理、测量，以及评估。

5.1.3.2 信息存储

隐私政策应明确说明个人信息的存储地点、存储期限、超出期限的处理方式、信息跨境传输的处理

规则。

5.1.3.3 向第三方共享信息的情况

隐私政策应明确说明个人信息披露、转让与共享的目的、范围和类型，接收或调取个人信息的第三

方机构或自然人的名称、类型和联系方式，以及第三方保护个人信息的方式、技术和权责。以上情况说

明应定期予以更新。

5.1.3.4 用户权利保障

隐私政策中应明确说明用户/监护人对个人信息进行处理的权利和实现机制，如查询途径、删除途

径、更正途径、注销账户途径、撤回授权同意途径，以及投诉举报途径等。

5.1.3.5 安全保障

JY/T 0643—2025

3

隐私政策中应明确说明个人信息处理者采取的个人信息安全保护措施和技术，如身份鉴别、数据加

密、访问控制、去标识化等。

5.1.3.6 联系方式

隐私政策中应明确给出个人信息处理者的联系方式，且联系方式中应至少包含办公电话、通信地址

和电子邮箱。在联系方式发生变化时，应及时更新，确保有效、可达。

5.2 信息处理活动

5.2.1 概述

本文件将用户个人信息处理活动划分为信息的收集、使用、存储、披露、转让、共享6种类型，具

体要求如下。

5.2.2 信息收集

5.2.2.1 收集范围

个人信息处理者在收集个人信息时，应遵循最小必要原则，即仅收集业务功能所必要的信息，不应

收集与业务功能无关的信息。

5.2.2.2 收集同意

个人信息处理者在收集个人信息前，应以明显的方式告知用户/监护人，征得明示同意。

5.2.2.3 超范围收集

个人信息处理者若要超出其隐私政策所述范围收集个人信息，应为额外收集的信息制定相应的隐私

政策，并再次征得用户/监护人同意。

5.2.2.4 拒绝收集

用户/监护人拒绝特定业务的信息收集后，个人信息处理者不应限制用户使用与该信息无关的其他

业务功能，或降低业务功能的服务质量。

5.2.2.5 信息收集与功能捆绑

个人信息处理者在收集个人信息时，不应通过捆绑产品或业务功能的方式，要求用户/监护人一次

性授权同意在其未申请或未使用的业务功能中收集个人信息。

5.2.2.6 信息收集与活动捆绑

用户申请参加智慧教育平台组织的活动(例如教师研修)时，个人信息处理者不应以此为由收集非

必要的个人信息。

5.2.3 信息使用

5.2.3.1 使用范围

个人信息处理者在实现智慧教育平台业务功能时，实际所使用的个人信息，应在其所声明的范围之

内。确需超范围使用个人信息的，应为超范围使用制定相应的隐私政策，并再次征得用户/监护人同意。

5.2.3.2 广告与营销

个人信息处理者不应将收集到的个人信息用于非公益性广告与营销等商业目的。若应用于公益性广

告，应征得用户/监护人的同意。

5.2.4 信息存储

5.2.4.1 存储时间

个人信息处理者应在隐私政策中明确说明个人信息存储的期限。超出上述时间期限后，应对个人信

息进行删除或匿名化处理，法律另有规定的或经过用户/监护人再次授权的除外。

JY/T 0643—2025

4

5.2.4.2 去标识化处理

收集个人信息后，个人信息处理者宜立即对其进行去标识化处理，并采取技术和管理措施保障个人

信息安全。

5.2.4.3 平台停止运营

智慧教育平台停止运营时，个人信息处理者应立即停止收集个人信息，在15个工作日内对其所持有

的个人信息进行删除或匿名化处理，并将停止运营的通知及时告知用户/监护人。

5.2.5 信息披露、转让与共享

个人信息处理者披露、转让和共享个人信息，应事先征得用户/监护人的同意，且不超出约定的范

围，法律另有规定的除外。

转让和共享用户个人信息前，个人信息处理者应进行全面的尽职调查以评估接收方的信息保护能力，

确保其具备合适的安全措施和个人信息保护政策。在相关转让和共享协议中，应明确规定接收方必须遵

守的信息保护标准，确保个人信息能够得到有效保护。

5.3 用户权利保障

5.3.1 信息查询

个人信息处理者应为用户/监护人提供有效途径，供其查询该用户已被收集的个人信息。

5.3.2 信息更正

5.3.2.1 更正途径

个人信息处理者应为用户/监护人提供有效途径，供其申请更正该用户已被收集的个人信息。

5.3.2.2 更正期限

用户/监护人提出个人信息更正申请后，个人信息处理者应在15个工作日内处理申请。

5.3.3 信息删除

5.3.3.1 删除途径

个人信息处理者应为用户/监护人提供有效途径，供其申请删除该用户已被收集的个人信息。

5.3.3.2 删除期限

用户/监护人提出个人信息删除申请后，个人信息处理者应在15个工作日内处理申请。

5.3.4 撤回授权同意

5.3.4.1 撤回途径

个人信息处理者应为用户/监护人提供有效途径，供其申请撤回信息收集的同意授权。

5.3.4.2 撤回处理

用户/监护人撤回授权同意后，个人信息处理者应立即停止收集该用户的个人信息。

5.3.5 注销账户

5.3.5.1 注销途径

个人信息处理者应为用户/监护人提供有效途径，供其申请注销用户账户。

5.3.5.2 注销账户处理

用户/监护人申请注销用户账户后，个人信息处理者应在15个工作日内处理用户请求。用户的个人

信息将在注销后删除，若其中部分数据因与其他数据、功能相关而不宜删除，应做匿名化处理。

JY/T 0643—2025

5

5.3.6 使用情况报告

个人信息处理者应定期(或在特定条件下，如存在重大风险时)向用户报告其个人信息的使用情况。

5.3.7 投诉举报

5.3.7.1 投诉举报途径

个人信息处理者应为用户/监护人提供有效的投诉举报途径，包括但不限于电子邮件、客服电话、

在线客服等。

5.3.7.2 投诉举报处理

用户/监护人发起投诉举报后，个人信息处理者应在15个工作日内处理，并向该用户/监护人反馈处

理结果。

5.4 信息安全管理

5.4.1 概述

个人信息处理者应采取切实的安全技术措施和安全管理措施保护用户个人信息安全。个人信息处理

者应建立健全信息安全保护机制，落实必要的管理和技术措施，确保个人信息处于有效保护和合法利用

的状态。安全保护措施应定期更新，以反映技术发展和应对新出现的威胁。

5.4.2 信息保护管理制度

个人信息处理者应制定智慧教育平台用户个人信息管理办法，明确安全防护措施，编制信息安全应

急预案。

个人信息处理者应定期针对以上管理制度的实施情况，及处理个人信息过程中遵守法律、法规、相

关标准的情况进行审计。

5.4.3 数据分类分级管理

个人信息处理者应全面梳理智慧教育平台个人信息所涉及的数据资源，并根据教育行业的数据分类

分级指南确定重要数据目录，对列入目录的数据进行重点保护。在处理生物识别、健康信息等敏感个人

信息时，应采取额外的保护措施，确保相关数据获得更高级别的保护。

个人信息处理者应加强对未成年人用户个人信息的保护，为其设置更高的安全等级，采取更严格的

保护措施。

5.4.4 数据安全能力

个人信息处理者应根据有关国家标准的要求为智慧教育平台建立适当的数据安全能力，使其具备平

台防入侵能力，数据防泄露、防滥用、防损毁能力，以及数据备份和恢复能力。

5.4.5 访问权限管理

个人信息处理者对其工作人员应当以最小授权为原则，严格设定个人信息的访问权限，控制用户个

人隐私的知悉范围，并采取技术措施确保信息安全。对于用户个人信息，工作人员非必要不访问，确需

访问的，应经过审批，记录访问情况，并承担相应的保护责任。

5.4.6 个人信息开放共享

个人信息处理者应针对个人信息的开放共享建立审批与审核机制，强化信息开放共享时的防护措施，

并对开放共享的过程进行监控和审计。

5.4.7 安全培训与考核

个人信息处理者应定期(至少每年一次)组织个人信息处理岗位相关工作人员开展信息安全培训，

并考核上岗。

5.4.8 信息安全事件应急处置

JY/T 0643—2025

6

发生用户个人信息泄露、损毁、丢失、篡改等安全事件时，个人信息处理者应立即启动应急预案，

采取补救措施。若有规定需要向网信等部门报告的，应及时上报;并且按照国家有关规定将事件情况以

电子邮件、信函、电话、信息推送等方式告知受影响的用户/监护人。难以逐一告知的，应当采取合理、

有效的方式及时发布相关警示信息。

JY/T 0643—2025

7

参考文献

[1] 中华人民共和国个人信息保护法(2021年8月20日第十三届全国人民代表大会常务委员会第三

十次会议通过)

[2] 中华人民共和国未成年人保护法(2024年4月26日第十四届全国人民代表大会常务委员会第九

次会议第二次修正)

[3] 未成年人网络保护条例(2023年9月20日国务院第15次常务会议通过，国令第766号)