《教育行业数据分类分级指南》解读
2026-02-06
《教育数据分类分级指南》(以下简称《指南》)已于2025年12月18日发布,将于2026年2月18日实施。近期发布的还有《水利数据分类分级规则》,预示着2026年里,基于行业的数据分类分级保护制度将进入实践阶段。对于行业所属行政部门、行业所属企业而言,数据安全工作将正式站上起跑线。
从篇幅上看,《指南》全文仅有7页,可说是提纲挈领。显然对于教育机构而言,仅仅依靠《指南》去实现本单位本部门的数据分类分级保护是不现实的;还需要数据分类分级工具、数据安全专家以及大量实践才能确保数据分类分级保护制度落地。
本文力争从实践出发,对《指南》进行解读,助力各级教育行政部门和各级各类学校落地本单位本部门的数据分类分级保护工作。
一 主要术语与定义
1.1教育机构
教育机构包括各级教育行政部门及其直属单位、各级各类学校。
各级教育行政部门包括教育部、教育厅、教育局及其直属单位。
各级各类学校包括幼儿园、小学、中学、高校。
以浙江省教育厅为例,其直属单位如下图:
1.2教育数据
教育数据是教育机构在开展教育教学、管理和服务等相关活动中所产生的以电子方式对信息的记录。
注意是“电子方式”而非“纸质方式”。从定义上看,教育数据属于行政法规《网络数据安全管理条例》(以下简称《网数条例》)第62条第1款定义的“网络数据”。也就是说,教育数据的安全管理(当然包括分类分级)需要履行《网数条例》规定的法律义务。如个人信息保护、重要数据安全、数据跨境安全等等。
从实践角度,教育数据分类分级的范围一定是基于信息系统而不是基于纸质文件的。例如同一类学生数据,当纸质方式与电子方式不一致时,教育数据分类分级的对象是以电子方式为准的。
1.3教育数据分类
根据教育数据的属性或特征,将其按一定的规则进行区分和归类,并建立起一定的分类体系和排列顺序的过程。
数据分类的目的是为了实现更好的数据分级。数据分类是为了回答“我有哪些资产”的问题。
1.4教育数据分级
根据教育数据在经济社会发展中的重要程度和遭到泄露、篡改、破坏或者非法获取、非法使用、FIFA共享造成的影响,将其按一定的规则进行级别划分的过程。
数据分级的目的是为了对不同级别的数据实现不同的保护措施。数据分级是为了回答“我的资产有多重要”的问题。
最基本的数据分级依据就是《数据安全法》中定义的核心数据、重要数据、一般数据。《指南》依据《数据安全法》给出了教育行业中核心数据、重要数据、一般数据的定义,并对一般数据的进一步分级进行了细化。
1.5衍生数据
经过统计、关联、挖掘、聚合、去标识化等加工活动而产生的数据。
衍生数据区别于原生数据。例如学生姓名龙傲天就是原生数据。将其去标识化加工为250107就是衍生数据。
二 数据分类分级基本原则
2.1界限明确原则
各类别、各级别界限明确,每个数据集原则上只属于一个类别、一个级别。
该原则避免了单个数据集“墙头草两边倒”的情况,否则可能因界限不明导致跨类别跨级别,造成数据安全保护措施不清晰的尴尬境地。
在实践中,当某个数据集可以归属于两个级别时(尤其是在涉及到重要数据识别的时候),应遵循下一条“就高从严原则”,以高级别为准。
2.2就高从严原则
当多个数据分级要素影响数据分级并出现不同级别时,以最高级别为准;当数据集包含多个级别的数据时,应按照数据的最高级别对数据集进行定级。
就高从严原则是木桶原理在数据分类分级中的具体应用。由于我国法律法规对重要数据处理者赋予了许多额外的合规义务,因此教育机构在开展数据分类分级工作中的重要数据识别时,应充分落实就高从严原则。否则可能遗漏重要数据从而导致违法违规。
2.3动态更新原则
当数据业务属性、使用场景、公开范围等发生变化时,对数据分类分级目录进行动态更新。
除上述变化外,在实践中可能由于政策法规的更新、重大数据安全事件的发生,导致需对数据分类分级目录进行动态更新。因此教育机构不仅需要及时跟踪合规动态,而且需要持续关注数据安全事件。
2.4依法合规原则
由于《指南》提纲掣领的文风,因此只给出了上述三条数据分类分级基本原则。但在实践中,依法合规原则才是第一原则。数据分类分级不是拍脑袋,而是依据有关法律法规、部门规定、国家标准和行业标准。简而言之,数据分类分级必然有其依据。
《指南》严格遵循依法合规原则,采用了《数据安全法》核心数据、重要数据、一般数据的分级方法。
对于数据分类分级识别出的特殊类别(例如《个人信息保护法》中定义的敏感个人信息)、特殊级别数据(例如《数据安全法》中定义的重要数据),需要履行相应的法律义务。
一旦不幸发生数据安全事件,合理的数据分类分级结果可能是很好的抗辩理由(履行了应尽的法律义务)/无法抗辩的理由(明知故犯)。
2.5科学实用原则
同样由于《指南》提纲掣领的文风,在实践中遇到《指南》未曾详尽的内容,可以遵循科学实用原则。该原则指从便于数据管理和使用的角度(怎么简单怎么分、怎么方便怎么分),科学选择常见、稳定的属性或特征作为数据分类的依据(不特立独行,随大流),并结合实际需要对数据进行细化分类。
三 数据分类规则
教育行业的数据分类具有典型行业特色。为了便于理解,教育领域数据分类见下图:
简单来说,教育领域数据是按单位来分类的,学校分一类,教育局分一类。因为二者业务有重叠的部分,所以可以看出数据分类也有重叠的部分。显然数据内容也会有重叠部分(学校的数据,教育局也有。类似医院和卫健局的关系)。不过这没关系,因为数据处理活动本就包括数据共享/数据提供的环节。
可能导致的逻辑矛盾是:同类数据在不同的单位,数据级别会有差异。也就是张三在A单位是根草,在B单位是个宝这种荒诞的剧情(现实里确实存在)。为了解决这种可能发生的逻辑矛盾,《指南》尝试了定量+定性的方式。个人认为这是个好思路。
3.1教育行政部门数据分类规则
教育行政部门数据分类规则是根据描述对象的不同,分为4个一级类别,17个二级类别。见下图:
3.2教育行政部门数据分类样例
3.3学校数据分类规则
3.4学校数据分类样例
四 数据分级规则
4.1数据分级方法
正如上文所言,《指南》严格遵循了依法合规原则,将教育数据级别分为5级。从高到低分别为:核心数据(L5)、重要数据(L4)、一般数据(L3、L2、L1)。
4.2数据分级规则
1 教育行业核心数据
2 教育行业重要数据
3 教育行业一般数据
五 分类分级流程
对于一般数据处理者。数据分类分级工作的输出物是《数据资产清单》、《一般数据目录》(需报上一级教育主管部门备案)。
对于重要数据处理者。数据分类分级工作的输出物是《数据资产清单》、《一般数据目录》(需报上一级教育主管部门备案)、《重要数据目录》(需报送至教育部审批,重要数据由教育部统一组织评审确定。评审不通过则纳入《一般数据目录》)。
对于核心数据处理者。数据分类分级工作的输出物是《数据资产清单》、《一般数据目录》(需报上一级教育主管部门备案)、《重要数据目录》(需报送至教育部审批,重要数据由教育部统一组织评审确定。评审不通过则纳入《一般数据目录》)、《核心数据目录》(需报送至教育部审批,由国家数据安全工作协调机制办公室确定)。
六 重要数据合规义务探讨
6.1教育行业
从教育领域核心数据和重要数据的定义看,基本照搬了行政法规《网数条例》的定义。并在此基础上用定量+定性的方式进行了细化。相信其他领域也会参考此种做法。
值得探讨的问题有:
在教育行业里,谁有重要数据?从定义看,只有教育部、各省教育厅及其供应链企业可能有。学校几乎不可能有重要数据。
对于高校而言,除了教育工作外还有科研工作。科研工作涉及的是科学数据。而科学数据的分类分级依据是《科学数据安全分类分级指南》(GB/T 43705-2025)。因此对于高校而言,数据分类分级工作任重道远。
6.2供应链
教育行业的供应链也有重要数据。
例如为教育部、教育厅提供数据处理、数据安全、安全运营服务的供应链企业,在提供服务的过程中,不排除通过数据共享/数据提供的方式获取了教育部、教育厅的重要数据(提供数据安全解决方案);甚至重要数据直接由供应链企业负责驻场安全运营。
6.3合规义务
谁有重要数据,谁就要履行相应的合规义务。具体如下:
含有重要数据的系统在等保里至少要定到三级,含有核心数据的系统在等保里至少要定到四级。
重要数据处理者(包括上文提到的教育部、教育厅及其供应链)要做数据安全风险评估,要明确网络数据安全负责人(背锅侠)和管理机构,要制定实施网络数据安全管理制度、操作规程和应急预案,要定期开展风险监测、评估、应急演练、宣传教育。
重要数据涉及跨境传输的,需要开展数据跨境传输安全评估,并向网信办申报。
含有100万人以上个人信息的教育机构,需要确定个人信息保护负责人,并向网信办申报。
含有1000万人以上个人信息的教育机构,每两年应至少开展一次个人信息保护合规审计。
后语
数据分类分级保护制度的核心在于“保护”,数据分类分级与数据保护不是划等号的关系。做好数据分类分级工作只是站在了数据保护的起跑线上,并不是抵达了终点。
数据分类分级是数据安全的基础性、前置性工作。做好数据分类分级工作既履行了《数据安全法》第21条“国家建立数据分类分级保护制度”的法律义务,也夯实了数据安全工作的基石。
更多新闻
如何获取帮助?
请联系我们!
联系我们
浙江区域联系方式:0571-87759285
上海区域联系方式:13116762668
安徽区域联系方式:18156066590
广西区域联系方式:15678890066
北京区域联系方式:18601383688
其他区域联系方式:15158109776
总部地址:浙江杭州滨江区长河路590号东忠科技园4幢2楼
关注公众号
