數(shù)字化轉(zhuǎn)型中教育數(shù)據(jù)安全風(fēng)險(xiǎn)治理路徑研究

隨著《中國(guó)教育現(xiàn)代化2035》戰(zhàn)略推進(jìn)，教育數(shù)字化轉(zhuǎn)型已成為重構(gòu)教育生態(tài)的核心引擎。據(jù)教育部統(tǒng)計(jì)，截至2024年，國(guó)家中小學(xué)智慧教育平臺(tái)已匯集8.8萬(wàn)條優(yōu)質(zhì)資源，職業(yè)教育在線(xiàn)精品課程超1萬(wàn)門(mén)、高等教育優(yōu)質(zhì)慕課達(dá)2.7萬(wàn)門(mén)，注冊(cè)用戶(hù)突破1億。教育數(shù)據(jù)安全風(fēng)險(xiǎn)防控成為數(shù)字教育發(fā)展的關(guān)鍵制約因素。然而，現(xiàn)有研究多聚焦于數(shù)據(jù)技術(shù)應(yīng)用或宏觀(guān)政策框架，對(duì)教育數(shù)據(jù)的特殊屬性及法律治理路徑缺乏系統(tǒng)性探討。歐盟《通用數(shù)據(jù)保護(hù)條例》GDPR）將教育數(shù)據(jù)納入特殊保護(hù)范疇，但我國(guó)《中華人民共和國(guó)數(shù)據(jù)安全法》以下簡(jiǎn)稱(chēng)《數(shù)據(jù)安全法》與《中華人民共和國(guó)個(gè)人信息保護(hù)法》（以下簡(jiǎn)稱(chēng)《個(gè)人信息保護(hù)法》，尚未形成差異化規(guī)范體系。在技術(shù)治理層面，區(qū)塊鏈、聯(lián)邦學(xué)習(xí)等技術(shù)在教育領(lǐng)域的應(yīng)用仍停留在試點(diǎn)階段，缺乏可復(fù)制的實(shí)踐模式。

本研究立足《數(shù)據(jù)安全法》實(shí)施四周年的背景，通過(guò)規(guī)范分析法與案例研究法，系統(tǒng)剖析教育數(shù)據(jù)權(quán)屬模糊、跨境流動(dòng)失序等核心問(wèn)題，提出“法治一技術(shù)一主體協(xié)同\"治理框架。研究?jī)r(jià)值體現(xiàn)在：理論層面，構(gòu)建教育數(shù)據(jù)安全治理的三維分析模型，突破傳統(tǒng)單一維度研究的局限性；實(shí)踐層面，為教育行政部門(mén)完善政策供給、學(xué)校優(yōu)化數(shù)據(jù)管理流程、企業(yè)開(kāi)發(fā)合規(guī)技術(shù)工具提供可操作方案，助力教育數(shù)字化轉(zhuǎn)型與數(shù)據(jù)安全保障的動(dòng)態(tài)平衡。

一、數(shù)字化轉(zhuǎn)型中教育數(shù)據(jù)安全的法律挑戰(zhàn)

教育數(shù)字化轉(zhuǎn)型必然涉及教育數(shù)據(jù)的收集、存儲(chǔ)、使用和共享。教育數(shù)據(jù)從廣義上看，是源于日常教育活動(dòng)中的人類(lèi)行為數(shù)據(jù)，狹義上看是在學(xué)校教育中產(chǎn)生的大數(shù)據(jù)。教育數(shù)據(jù)囊括內(nèi)容廣泛，按照教育機(jī)構(gòu)中業(yè)務(wù)活動(dòng)的類(lèi)型劃分，有教學(xué)數(shù)據(jù)、管理數(shù)據(jù)和科研數(shù)據(jù)，按照教育參與主體劃分，有教師數(shù)據(jù)、學(xué)生數(shù)據(jù)和學(xué)校數(shù)據(jù)等2。教育數(shù)據(jù)的最終價(jià)值在于實(shí)現(xiàn)教育管理與決策的科學(xué)化、教學(xué)模式改革、個(gè)性化學(xué)習(xí)的實(shí)現(xiàn)、教育評(píng)價(jià)體系的重構(gòu)、科學(xué)研究范式的轉(zhuǎn)型以及教育服務(wù)的人性化。教育數(shù)據(jù)的挖掘與應(yīng)用為教育創(chuàng)新帶來(lái)了機(jī)遇，但同時(shí)教育數(shù)據(jù)的安全問(wèn)題也面臨許多法律挑戰(zhàn)。

1.教育數(shù)據(jù)權(quán)責(zé)界定的法律挑戰(zhàn)

在教育領(lǐng)域，學(xué)生成績(jī)、個(gè)人信息、健康數(shù)據(jù)都屬于教育數(shù)據(jù)。但教育數(shù)據(jù)的權(quán)屬問(wèn)題卻呈現(xiàn)模糊不清的狀態(tài)。從教育視角出發(fā)，學(xué)校扮演數(shù)據(jù)的挖掘者、控制者和應(yīng)用者角色，同時(shí)搜集教育數(shù)據(jù)還需要依賴(lài)一些軟件，軟件的服務(wù)提供商則扮演數(shù)據(jù)處理者的角色。此外，學(xué)生、教師扮演著數(shù)據(jù)生產(chǎn)者的角色。這些角色是否都可以享有教育數(shù)據(jù)所有權(quán)是最關(guān)鍵的問(wèn)題，這個(gè)問(wèn)題也影響教育數(shù)據(jù)泄露后的責(zé)任主體確定。根據(jù)《個(gè)人信息保護(hù)法》第十三條規(guī)定，個(gè)人信息處理者在履行法定職責(zé)或者法定義務(wù)所必需時(shí)可處理個(gè)人信息。學(xué)校對(duì)于學(xué)生、教師教育數(shù)據(jù)的挖掘、控制與應(yīng)用等同于處理學(xué)生、教師的個(gè)人信息。結(jié)合《中華人民共和國(guó)教育法》以下簡(jiǎn)稱(chēng)《教育法》)第二十九條規(guī)定，學(xué)校擁有“按照章程自主管理\"的權(quán)力，意味著教育數(shù)據(jù)的管理權(quán)由學(xué)校掌握。然而是否能據(jù)此認(rèn)定教育數(shù)據(jù)出現(xiàn)泄露等安全問(wèn)題即應(yīng)由學(xué)校承擔(dān)責(zé)任，亦存爭(zhēng)議。根據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》（以下簡(jiǎn)稱(chēng)《網(wǎng)絡(luò)安全法》)第二十一條規(guī)定，網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求，履行安全保護(hù)義務(wù)。學(xué)校將教育數(shù)據(jù)的搜集、維護(hù)交由第三方網(wǎng)絡(luò)服務(wù)提供者負(fù)責(zé)時(shí)，一旦出現(xiàn)數(shù)據(jù)泄露等安全問(wèn)題，網(wǎng)絡(luò)服務(wù)提供者亦存承擔(dān)責(zé)任的可能。

因此，教育數(shù)據(jù)的權(quán)屬缺乏法律明文規(guī)定，教育數(shù)據(jù)出現(xiàn)安全問(wèn)題后的歸責(zé)亦存多方主體擔(dān)責(zé)之可能，在具體司法實(shí)踐中必然產(chǎn)生責(zé)任分配的爭(zhēng)議，這些問(wèn)題不可能全部留給法官行使自由裁量權(quán)，必然需要從立法角度完善。

2.教育數(shù)據(jù)針對(duì)性立法規(guī)范的缺位困境

我國(guó)現(xiàn)行法律體系尚未構(gòu)建針對(duì)教育數(shù)據(jù)的特殊規(guī)范框架，在《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》等涉及個(gè)人信息、數(shù)據(jù)安全保護(hù)的專(zhuān)門(mén)法律中均無(wú)針對(duì)性規(guī)范體現(xiàn)。例如《個(gè)人信息保護(hù)法》第十三條雖將“教育管理\"納人個(gè)人信息處理合法性基礎(chǔ)，但未明確學(xué)校、教學(xué)培訓(xùn)機(jī)構(gòu)等教育機(jī)構(gòu)處理未成年人生物識(shí)別、學(xué)習(xí)軌跡等敏感數(shù)據(jù)的特殊要求；《數(shù)據(jù)安全法》第二十一條雖確立數(shù)據(jù)分類(lèi)分級(jí)制度，但教育數(shù)據(jù)的分類(lèi)標(biāo)準(zhǔn)、共享邊界等詳細(xì)實(shí)施規(guī)則依然缺位。此外，在教育法律體系中，《教育法》《中華人民共和國(guó)未成年人保護(hù)法》等也未針對(duì)教育數(shù)據(jù)的收集、儲(chǔ)存等問(wèn)題形成規(guī)范。故而，在司法實(shí)踐中處理教育數(shù)據(jù)泄露的事故時(shí)只能適用普通的個(gè)人信息保護(hù)規(guī)則，難以應(yīng)對(duì)教育數(shù)據(jù)存在的特殊風(fēng)險(xiǎn)。因此，教育數(shù)據(jù)的針對(duì)性立法亟須完善，修訂教育法律及個(gè)人信息、數(shù)據(jù)安全法律抑或單獨(dú)就教育數(shù)據(jù)保護(hù)立法均須謀而后定。

3.跨境教育數(shù)據(jù)流動(dòng)監(jiān)管的法律困境

隨著國(guó)際教育交流合作的不斷深化，教育數(shù)據(jù)跨境流動(dòng)日益頻繁，但監(jiān)管方面仍存在諸多法律挑戰(zhàn)。首先，國(guó)際上缺乏統(tǒng)一的教育數(shù)據(jù)跨境流動(dòng)監(jiān)管標(biāo)準(zhǔn)，各國(guó)法律規(guī)定差異較大。例如，美國(guó)強(qiáng)調(diào)數(shù)據(jù)的經(jīng)濟(jì)價(jià)值，主張數(shù)據(jù)自由跨境流動(dòng)，而歐盟則以個(gè)人數(shù)據(jù)權(quán)利保護(hù)為基礎(chǔ)，構(gòu)建了較為嚴(yán)格的跨境流動(dòng)規(guī)則。各國(guó)數(shù)據(jù)跨境流動(dòng)監(jiān)管中價(jià)值取向的差異直接導(dǎo)致全球數(shù)據(jù)跨境流動(dòng)監(jiān)管規(guī)則支離破碎、無(wú)法統(tǒng)一，導(dǎo)致國(guó)際層面的協(xié)調(diào)監(jiān)管成為難題。其次，我國(guó)雖已出臺(tái)《數(shù)據(jù)出境安全評(píng)估辦法》，要求對(duì)出境數(shù)據(jù)進(jìn)行安全評(píng)估，但在實(shí)際執(zhí)行中存在諸多困境。一方面，如何準(zhǔn)確判斷數(shù)據(jù)風(fēng)險(xiǎn)是數(shù)據(jù)安全防控的關(guān)鍵問(wèn)題。數(shù)據(jù)處理者在申報(bào)數(shù)據(jù)出境安全評(píng)估前需要開(kāi)展風(fēng)險(xiǎn)自評(píng)估，但缺乏具體的風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)和方法。另一方面，監(jiān)管境外接收方的數(shù)據(jù)使用情況也是現(xiàn)實(shí)難題。部分跨國(guó)教育平臺(tái)在未經(jīng)充分安全評(píng)估的情況下，將我國(guó)學(xué)生的教育數(shù)據(jù)傳輸至境外服務(wù)器，卻無(wú)法監(jiān)督境外教育數(shù)據(jù)接收方的使用行為，存在危害國(guó)家教育安全與學(xué)生個(gè)人權(quán)益的風(fēng)險(xiǎn)。此外，我國(guó)在教育數(shù)據(jù)跨境流動(dòng)監(jiān)管中還存在適配性障礙。若對(duì)教育數(shù)據(jù)跨境流動(dòng)進(jìn)行監(jiān)管，需要教育部、中央網(wǎng)信辦、市場(chǎng)監(jiān)管總局等多個(gè)國(guó)家部門(mén)協(xié)調(diào)開(kāi)展，不同部門(mén)監(jiān)管標(biāo)準(zhǔn)與要求有差異，數(shù)據(jù)安全領(lǐng)域的立法中亦無(wú)針對(duì)教育數(shù)據(jù)跨境流動(dòng)的監(jiān)管標(biāo)準(zhǔn)可供參考，因而明確教育數(shù)據(jù)跨境流動(dòng)的監(jiān)管責(zé)任歸屬、統(tǒng)一協(xié)調(diào)監(jiān)管機(jī)構(gòu)并明確監(jiān)管標(biāo)準(zhǔn)、完善數(shù)據(jù)跨境流動(dòng)監(jiān)管的內(nèi)部協(xié)調(diào)機(jī)制，是當(dāng)前亟須解決的難題。

二、教育數(shù)據(jù)安全風(fēng)險(xiǎn)類(lèi)型及其成因分析

根據(jù)《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》等現(xiàn)行法律法規(guī)，教育數(shù)據(jù)安全風(fēng)險(xiǎn)可劃分為泄露、違法使用、篡改與毀損及管理失序四大類(lèi)。其成因既涉及技術(shù)防護(hù)體系缺陷，也包含制度規(guī)范滯后、利益驅(qū)動(dòng)異化等深層機(jī)制，需要從多維視角展開(kāi)系統(tǒng)性分析。

1.教育數(shù)據(jù)泄露風(fēng)險(xiǎn)及其成因

教育數(shù)據(jù)泄露主要指學(xué)生、教師及學(xué)校相關(guān)敏感信息在存儲(chǔ)、傳輸或使用過(guò)程中被非法獲取或公開(kāi)。此類(lèi)數(shù)據(jù)包括個(gè)人身份信息（如身份證號(hào)、家庭住址）學(xué)業(yè)成績(jī)、健康檔案等，一旦泄露會(huì)導(dǎo)致隱私被侵犯，甚至引發(fā)電信詐騙等嚴(yán)重后果。教育數(shù)據(jù)泄露風(fēng)險(xiǎn)可以從技術(shù)、管理及個(gè)人意識(shí)維度分析。

從技術(shù)維度分析，目前我國(guó)各類(lèi)教育機(jī)構(gòu)普遍存在數(shù)據(jù)庫(kù)防護(hù)能力薄弱問(wèn)題，機(jī)構(gòu)的主要安全防護(hù)手段是以網(wǎng)絡(luò)各區(qū)域?qū)嵤┰L(fǎng)問(wèn)控制策略為主，以防火墻、入侵防御相關(guān)設(shè)備策略為輔來(lái)實(shí)現(xiàn)訪(fǎng)問(wèn)控制與數(shù)據(jù)保護(hù)。但針對(duì)數(shù)據(jù)庫(kù)本身漏洞防御力低，數(shù)據(jù)庫(kù)產(chǎn)品暴露O-day漏洞、受SQL注入攻擊等情況或成為安全短板。例如黑客攻擊導(dǎo)致某市教育云平臺(tái)泄露87萬(wàn)學(xué)生信息的案例。

從管理維度分析，教育機(jī)構(gòu)與第三方服務(wù)商在教育數(shù)據(jù)管理上均存在漏洞。教育機(jī)構(gòu)對(duì)已搜集的教育數(shù)據(jù)存儲(chǔ)管理過(guò)程中，作為數(shù)據(jù)管理主體對(duì)《數(shù)據(jù)安全法》第三十條關(guān)于數(shù)據(jù)合作安全評(píng)估的要求存在執(zhí)行不到位的現(xiàn)象，以至于出現(xiàn)教師違規(guī)導(dǎo)出學(xué)生信息進(jìn)行商業(yè)推廣的實(shí)例。此類(lèi)事件暴露出部分教育機(jī)構(gòu)存在數(shù)據(jù)泄露的風(fēng)險(xiǎn)來(lái)源，機(jī)構(gòu)內(nèi)部數(shù)據(jù)管理制度的不完善，對(duì)于《數(shù)據(jù)安全法》的要求落實(shí)不到位。

從意識(shí)維度分析，根據(jù)教育網(wǎng)站eLearningInfo-graphicszd調(diào)查報(bào)告顯示，教育機(jī)構(gòu)員工中僅 32% 具備數(shù)據(jù)安全存在最佳實(shí)踐認(rèn)知， 68% 屬于“新手”，在處理個(gè)人信息數(shù)據(jù)時(shí)大概率會(huì)導(dǎo)致潛在的嚴(yán)重網(wǎng)絡(luò)事件或數(shù)據(jù)泄露。而上述報(bào)告暴露出的教育從業(yè)人員數(shù)據(jù)安全意識(shí)缺乏問(wèn)題在今天依然存在，根據(jù)香港個(gè)人資料私隱專(zhuān)員公署的統(tǒng)計(jì)，在2024年前三個(gè)季度私隱專(zhuān)員公署就接到51宗來(lái)自學(xué)校及非營(yíng)利機(jī)構(gòu)的資料外泄事故通報(bào)。其中來(lái)自學(xué)校的資料外泄主要是學(xué)生個(gè)人信息這類(lèi)敏感教育數(shù)據(jù)。泄露原因多是教師未接受過(guò)數(shù)據(jù)安全操作培訓(xùn)，認(rèn)為“僅內(nèi)部使用\"無(wú)需加密，嚴(yán)重缺乏數(shù)據(jù)安全意識(shí)所致。

2.教育數(shù)據(jù)違法使用風(fēng)險(xiǎn)及其成因

教育數(shù)據(jù)違法使用風(fēng)險(xiǎn)表現(xiàn)為數(shù)據(jù)被用于商業(yè)化分析、用戶(hù)畫(huà)像構(gòu)建、非法身份認(rèn)證、教育數(shù)據(jù)倒賣(mài)等非教育應(yīng)用場(chǎng)景，違反了“數(shù)據(jù)服務(wù)于教育”的數(shù)據(jù)挖掘利用的初衷。此類(lèi)風(fēng)險(xiǎn)的形成根源在于商業(yè)利益驅(qū)動(dòng)及監(jiān)督管理機(jī)制的不完善，可從利益鏈條、技術(shù)漏洞及監(jiān)管機(jī)制缺失等維度分析。

商業(yè)利益驅(qū)動(dòng)是導(dǎo)致教育數(shù)據(jù)被違法使用的首要原因。黑市中教育數(shù)據(jù)倒賣(mài)已然形成完整產(chǎn)業(yè)鏈，倒賣(mài)學(xué)生、教師信息可以獲取高額利益。巨大利益驅(qū)動(dòng)下，教育機(jī)構(gòu)從業(yè)人員、第三方服務(wù)商借助工作優(yōu)勢(shì)獲取教育數(shù)據(jù)，并能夠利用監(jiān)管機(jī)制的漏洞隨意使用教育數(shù)據(jù)，甚至倒賣(mài)教育數(shù)據(jù)非法獲利。例如，某教育公司員工趙某利用工作便利，向中介公司披露某教育公司的課程續(xù)報(bào)率、報(bào)名人次與收入等60余項(xiàng)經(jīng)營(yíng)數(shù)據(jù)，充許他人使用，因此獲利20余萬(wàn)元1。更嚴(yán)重的案例包括利用盜取的學(xué)歷證書(shū)編號(hào)、姓名、年齡等數(shù)據(jù)，制造“套號(hào)學(xué)歷”，打造虛假文憑兜售獲利[12]。

技術(shù)漏洞及監(jiān)管機(jī)制的缺失則提升了教育數(shù)據(jù)被違法使用的風(fēng)險(xiǎn)。深度學(xué)習(xí)技術(shù)的“黑箱\"特性導(dǎo)致數(shù)據(jù)使用透明度缺失，算法決策過(guò)程難以追溯與解釋?zhuān)惯`法使用行為具備高度隱蔽性?，F(xiàn)有監(jiān)管機(jī)制無(wú)法適應(yīng)技術(shù)迭代及教育全球化交流頻繁背景導(dǎo)致的教育數(shù)據(jù)流動(dòng)局面，例如對(duì)于教育類(lèi)APP跨國(guó)數(shù)據(jù)傳輸?shù)暮弦?guī)審查，教育機(jī)構(gòu)往往并不重視，既缺乏技術(shù)支撐又沒(méi)有科學(xué)合法的監(jiān)管機(jī)制。如上海某教育科技有限公司旗下?lián)碛幸豢睢懊乐藁⒂⒄Z(yǔ)\"APP，因該公司存在未建立分級(jí)處置機(jī)制和規(guī)范、未制定安全事件應(yīng)急處置預(yù)案等問(wèn)題被上海網(wǎng)安部門(mén)處罰[3]。此類(lèi)行為不僅侵害學(xué)生、教師、教育機(jī)構(gòu)等多個(gè)教育數(shù)據(jù)主體的權(quán)益，還破壞了教育公平性。

3.教育數(shù)據(jù)篡改與毀損風(fēng)險(xiǎn)及其成因

教育數(shù)據(jù)篡改與損毀風(fēng)險(xiǎn)有技術(shù)防護(hù)脆弱性、人為失誤及外部黑客攻擊等多重成因。教育數(shù)據(jù)篡改可能直接導(dǎo)致考試成績(jī)失真、科研成果被竊取，甚至影響招生錄取結(jié)果。

在技術(shù)層面，云計(jì)算與大數(shù)據(jù)的廣泛應(yīng)用使教育數(shù)據(jù)存儲(chǔ)分散化，傳統(tǒng)安全防護(hù)措施難以應(yīng)對(duì)新型攻擊手段，黑客可通過(guò)系統(tǒng)漏洞攻擊教育數(shù)據(jù)存儲(chǔ)網(wǎng)站，達(dá)到篡改教育數(shù)據(jù)的目的。據(jù)DevProJournal網(wǎng)站的《2021年教育領(lǐng)域云數(shù)據(jù)安全報(bào)告》顯示，約 48% 的教育機(jī)構(gòu)將員工數(shù)據(jù)存儲(chǔ)在云平臺(tái)上。同時(shí)教育機(jī)構(gòu)缺乏數(shù)據(jù)安全技術(shù)及相關(guān)專(zhuān)業(yè)人員[14]，導(dǎo)致云端教育數(shù)據(jù)長(zhǎng)期面臨篡改與損毀風(fēng)險(xiǎn)。

在人為失誤及外部黑客攻擊方面，內(nèi)部人員安全意識(shí)薄弱可能導(dǎo)致誤操作或未授權(quán)訪(fǎng)問(wèn)。例如未加密傳輸敏感數(shù)據(jù)或使用弱密碼，加劇了數(shù)據(jù)被惡意篡改或意外刪除的風(fēng)險(xiǎn)。部分教育機(jī)構(gòu)未嚴(yán)格執(zhí)行《數(shù)據(jù)安全法》中關(guān)于數(shù)據(jù)完整性保障的要求，缺乏定期備份與災(zāi)備機(jī)制，導(dǎo)致數(shù)據(jù)損毀后無(wú)法恢復(fù)。如某中學(xué)因未部署數(shù)據(jù)冗余存儲(chǔ)，服務(wù)器故障后永久丟失近五年學(xué)生檔案5。同時(shí)黑客對(duì)于云端平臺(tái)上教育數(shù)據(jù)的攻擊也導(dǎo)致教育數(shù)據(jù)面臨被篡改、損毀風(fēng)險(xiǎn)。例如，黑客人侵某市考試網(wǎng)站后篡改300多名考生成績(jī)。此類(lèi)風(fēng)險(xiǎn)對(duì)教育系統(tǒng)公信力造成長(zhǎng)期損害，且歷史數(shù)據(jù)一旦被篡改或損毀，即便可以恢復(fù)，亦會(huì)引發(fā)法律糾紛。

4.教育數(shù)據(jù)管理失序風(fēng)險(xiǎn)及其成因

教育數(shù)據(jù)管理失序風(fēng)險(xiǎn)主要表現(xiàn)為數(shù)據(jù)權(quán)責(zé)不清、制度規(guī)范缺失及技術(shù)支撐不足等多重維度。教育數(shù)據(jù)的采集、存儲(chǔ)與共享缺乏統(tǒng)一標(biāo)準(zhǔn)，導(dǎo)致“信息孤島\"現(xiàn)象普遍存在。

數(shù)據(jù)權(quán)責(zé)在教育機(jī)構(gòu)內(nèi)部劃分不清晰。教育機(jī)構(gòu)各部門(mén)獨(dú)立建設(shè)業(yè)務(wù)系統(tǒng)，核心數(shù)據(jù)分散于教務(wù)、科研、人事等不同部門(mén)，部門(mén)使用的信息系統(tǒng)多是由第三方服務(wù)商提供，造成數(shù)據(jù)標(biāo)準(zhǔn)不一致的現(xiàn)象。因各部門(mén)找的第三方服務(wù)商各異，導(dǎo)致數(shù)據(jù)庫(kù)的數(shù)據(jù)標(biāo)準(zhǔn)不同；第三方服務(wù)商對(duì)于教育機(jī)構(gòu)各部門(mén)業(yè)務(wù)認(rèn)識(shí)不足，數(shù)據(jù)標(biāo)準(zhǔn)的制定也是基于經(jīng)驗(yàn)，缺乏針對(duì)性。最終導(dǎo)致的結(jié)果就是教育數(shù)據(jù)標(biāo)準(zhǔn)不一，跨系統(tǒng)整合難度大，數(shù)據(jù)質(zhì)量參差不齊，難以滿(mǎn)足教學(xué)評(píng)估或管理決策需求，技術(shù)能力與合規(guī)要求脫節(jié)。

教育領(lǐng)域尚未建立統(tǒng)一的數(shù)據(jù)分類(lèi)分級(jí)標(biāo)準(zhǔn)，教育機(jī)構(gòu)普遍存在數(shù)據(jù)分類(lèi)分級(jí)制度模糊不清甚至缺失的現(xiàn)象?！稊?shù)據(jù)安全法》要求建立分類(lèi)分級(jí)制度，但實(shí)際執(zhí)行中，教育機(jī)構(gòu)對(duì)敏感數(shù)據(jù)（如學(xué)生隱私、科研成果)的識(shí)別與保護(hù)仍存在嚴(yán)重漏洞，未能落實(shí)《數(shù)據(jù)安全法》的要求。例如，南昌某高校3萬(wàn)余條師生個(gè)人信息數(shù)據(jù)在境外互聯(lián)網(wǎng)上被公開(kāi)售賣(mài)，系高校未建立全流程數(shù)據(jù)安全管理制度，也未盡到對(duì)重要教育數(shù)據(jù)的安全保護(hù)義務(wù)所致7。教育數(shù)據(jù)管理失序風(fēng)險(xiǎn)不僅威脅個(gè)體隱私權(quán)益，還可能引發(fā)社會(huì)信任危機(jī)。

三、教育數(shù)據(jù)安全風(fēng)險(xiǎn)的治理路徑

1.完善教育數(shù)據(jù)安全法律規(guī)范體系

(1)推進(jìn)教育數(shù)據(jù)專(zhuān)門(mén)立法

現(xiàn)行《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》等涉及數(shù)據(jù)安全的法律法規(guī)雖為教育數(shù)據(jù)安全提供了基礎(chǔ)保護(hù)框架，但缺乏針對(duì)性規(guī)則。我國(guó)雖出臺(tái)《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》對(duì)重要數(shù)據(jù)進(jìn)行基本分類(lèi)分級(jí)保護(hù)，但對(duì)教育數(shù)據(jù)的分類(lèi)分級(jí)保護(hù)缺乏細(xì)則。教育數(shù)據(jù)的特殊性未在現(xiàn)有法律規(guī)范中得以體現(xiàn)。故而結(jié)合《“十四五\"數(shù)字經(jīng)濟(jì)發(fā)展規(guī)劃》對(duì)教育數(shù)據(jù)分類(lèi)分級(jí)要求，建議在《教育法》中嵌人“教育數(shù)據(jù)安全管理”專(zhuān)章，明確教育行政部門(mén)與學(xué)校的權(quán)責(zé)邊界，明確教育數(shù)據(jù)的定義、權(quán)屬及處理規(guī)則，同時(shí)應(yīng)當(dāng)注意與現(xiàn)行數(shù)據(jù)安全方面的法律法規(guī)已確定的數(shù)據(jù)安全原則保持一致。

(2)明確教育機(jī)構(gòu)法律責(zé)任

依據(jù)《數(shù)據(jù)安全法》第二十七條規(guī)定，教育機(jī)構(gòu)扮演數(shù)據(jù)處理者角色，應(yīng)當(dāng)明確數(shù)據(jù)安全負(fù)責(zé)人和管理機(jī)構(gòu)，系承擔(dān)數(shù)據(jù)安全的責(zé)任主體?？赏ㄟ^(guò)司法解釋明確學(xué)校作為“數(shù)據(jù)處理者\(yùn)"的責(zé)任范圍，包括數(shù)據(jù)采集合法性審查、第三方服務(wù)商監(jiān)督義務(wù)等。此外，教育機(jī)構(gòu)應(yīng)當(dāng)建立數(shù)據(jù)安全事件應(yīng)急預(yù)案，定期開(kāi)展攻防演練，并將落實(shí)情況納入教育督導(dǎo)評(píng)估體系。

(3)填補(bǔ)跨境教育數(shù)據(jù)流動(dòng)監(jiān)管漏洞

針對(duì)教育數(shù)據(jù)出境風(fēng)險(xiǎn)，需要細(xì)化《數(shù)據(jù)出境安全評(píng)估辦法》中的教育領(lǐng)域?qū)嵤┘?xì)則?？蓞⒄铡秱€(gè)人信息保護(hù)法》第三十八條規(guī)定，要求境外數(shù)據(jù)接收方簽署具有法律約束力的雙邊協(xié)議，承諾遵守我國(guó)數(shù)據(jù)保護(hù)法律，并約定違約責(zé)任。同時(shí)，我國(guó)應(yīng)積極參與國(guó)際教育數(shù)據(jù)治理規(guī)則制定，推動(dòng)區(qū)域性教育數(shù)據(jù)跨境流動(dòng)保護(hù)機(jī)制。借助“一帶一路\"教育合作伙伴關(guān)系和教育共同體建設(shè)，與“一帶一路”國(guó)家簽署《教育數(shù)據(jù)安全合作備忘錄》，統(tǒng)一教育數(shù)據(jù)定義與保護(hù)標(biāo)準(zhǔn)，減少因各國(guó)監(jiān)管差異導(dǎo)致的教育數(shù)據(jù)流動(dòng)障礙。對(duì)于國(guó)際合作項(xiàng)目中的必要數(shù)據(jù)流動(dòng)，可建立“白名單”機(jī)制，經(jīng)安全評(píng)估后允許有限共享。

2.搭建教育數(shù)據(jù)全生命周期管理的技術(shù)平臺(tái)與實(shí)踐框架

(1)推廣區(qū)塊鏈存證與零信任架構(gòu)

區(qū)塊鏈技術(shù)作為一種去中心化的分布式賬本技術(shù)，可有效保障教育數(shù)據(jù)不被篡改且可追溯。首先，將教育數(shù)據(jù)上鏈存證，以確保不被篡改。其次，將零信任架構(gòu)置于教育領(lǐng)域，設(shè)計(jì)教育數(shù)據(jù)可信訪(fǎng)問(wèn)控制體系，可解決傳統(tǒng)邊界防護(hù)的不足，通過(guò)動(dòng)態(tài)身份驗(yàn)證與最小權(quán)限原則，降低內(nèi)部人員濫用教育數(shù)據(jù)的風(fēng)險(xiǎn)。技術(shù)部署應(yīng)符合《信息安全技術(shù)零信任參考體系架構(gòu)》（GB/T43696-2024)要求，并與教育業(yè)務(wù)場(chǎng)景深度適配，以K12學(xué)段成績(jī)數(shù)據(jù)存證為例，在區(qū)域教育云平臺(tái)中引入?yún)^(qū)塊鏈技術(shù)，可實(shí)現(xiàn)學(xué)生學(xué)業(yè)數(shù)據(jù)防篡改、可追溯的實(shí)證管理模式。

(2)建立數(shù)據(jù)全生命周期管理制度

依據(jù)《數(shù)據(jù)安全法》第三條規(guī)定，教育機(jī)構(gòu)應(yīng)完善數(shù)據(jù)采集、存儲(chǔ)、使用、共享、銷(xiāo)毀各環(huán)節(jié)的規(guī)范制度。例如，在數(shù)據(jù)采集階段，遵循《個(gè)人信息保護(hù)法》第十七條，向?qū)W生及家長(zhǎng)明示處理目的與方式；在數(shù)據(jù)共享環(huán)節(jié)，采用聯(lián)邦學(xué)習(xí)技術(shù)實(shí)現(xiàn)“數(shù)據(jù)可用不可見(jiàn)”。此外，需要強(qiáng)制實(shí)施數(shù)據(jù)備份與容災(zāi)機(jī)制，避免教育數(shù)據(jù)丟失事故造成難以挽回的損失。

(3)在教育領(lǐng)域推行數(shù)據(jù)安全官制度

在教育機(jī)構(gòu)設(shè)置數(shù)據(jù)安全官，負(fù)責(zé)監(jiān)督數(shù)據(jù)合規(guī)流程。數(shù)據(jù)安全官的職責(zé)《數(shù)據(jù)安全法》第二十七條規(guī)定，包括制定數(shù)據(jù)安全制度、組織培訓(xùn)、配合監(jiān)管檢查等。例如，深圳市早在2021年就發(fā)布《深圳市首席數(shù)據(jù)官制度試點(diǎn)實(shí)施方案》，對(duì)數(shù)據(jù)進(jìn)行標(biāo)準(zhǔn)化管理與常態(tài)化指導(dǎo)監(jiān)督。在教育機(jī)構(gòu)設(shè)置數(shù)據(jù)安全官可參照深圳的方案進(jìn)行，同時(shí)應(yīng)當(dāng)考慮教育機(jī)構(gòu)經(jīng)費(fèi)及可能存在人員不足等客觀(guān)障礙，應(yīng)當(dāng)允許教育機(jī)構(gòu)中教育從業(yè)人員通過(guò)數(shù)據(jù)安全官認(rèn)證考核兼任數(shù)據(jù)安全官，但教育機(jī)構(gòu)應(yīng)當(dāng)確保兼任數(shù)據(jù)安全官的從業(yè)人員能夠依法履行職責(zé)。

3.強(qiáng)化教育數(shù)據(jù)場(chǎng)域多元主體協(xié)同治理

(1)構(gòu)建\"政—?！骪"協(xié)同監(jiān)管網(wǎng)絡(luò)

構(gòu)建“政一校一企\"協(xié)同監(jiān)管網(wǎng)絡(luò)是協(xié)同治理的關(guān)鍵路徑。教育部門(mén)應(yīng)聯(lián)合公安、網(wǎng)信等部門(mén)，建立常態(tài)化的跨部門(mén)數(shù)據(jù)安全協(xié)作平臺(tái)，實(shí)現(xiàn)風(fēng)險(xiǎn)信息實(shí)時(shí)共享和快速響應(yīng)。例如，教育部與公安部曾于2015年聯(lián)合印發(fā)《教育部、公安部關(guān)于全面推進(jìn)教育行業(yè)信息安全等級(jí)保護(hù)工作的通知》，要求建立由教育部、公安部組成的部際協(xié)調(diào)機(jī)制以應(yīng)對(duì)教育行業(yè)內(nèi)的信息安全問(wèn)題。同時(shí)，應(yīng)當(dāng)鼓勵(lì)教育機(jī)構(gòu)與合規(guī)技術(shù)企業(yè)共建聯(lián)合實(shí)驗(yàn)室，聚焦教育數(shù)據(jù)安全領(lǐng)域的技術(shù)難點(diǎn)，開(kāi)發(fā)符合教育場(chǎng)景的安全解決方案。

(2)完善第三方服務(wù)商準(zhǔn)入與追責(zé)機(jī)制

完善第三方服務(wù)商準(zhǔn)入與追責(zé)機(jī)制是治理路徑的重要環(huán)節(jié)。依據(jù)《網(wǎng)絡(luò)安全法》第二十二條，教育機(jī)構(gòu)需對(duì)第三方服務(wù)商進(jìn)行資質(zhì)審查與安全評(píng)估，確保其具備保障教育數(shù)據(jù)安全的能力。建議教育部發(fā)布《教育數(shù)據(jù)服務(wù)商準(zhǔn)入標(biāo)準(zhǔn)》，明確要求企業(yè)通過(guò)ISO27001信息安全管理體系認(rèn)證，并簽訂數(shù)據(jù)安全承諾書(shū)，建立清晰的責(zé)任邊界。通過(guò)強(qiáng)化制度約束與法律追責(zé)，可以有效規(guī)范教育數(shù)據(jù)市場(chǎng)的秩序。

(3)提升教育參與人員的數(shù)據(jù)素養(yǎng)與維權(quán)意識(shí)

教育數(shù)據(jù)素養(yǎng)培養(yǎng)需要構(gòu)建“知行融合”的實(shí)踐路徑，將數(shù)據(jù)倫理課程深度嵌入社會(huì)活動(dòng)，推動(dòng)師生在參與式學(xué)習(xí)中提升安全意識(shí)與維權(quán)能力。將數(shù)據(jù)安全領(lǐng)域的法律法規(guī)納人學(xué)校必修課程，構(gòu)建“必修課程 + 主題研修”雙軌制數(shù)據(jù)素養(yǎng)培養(yǎng)體系，開(kāi)設(shè)“數(shù)據(jù)安全知識(shí)\"課程，增強(qiáng)學(xué)生的數(shù)據(jù)安全意識(shí)，同時(shí)將數(shù)據(jù)安全案例教學(xué)納入教師考核體系，并通過(guò)模擬“釣魚(yú)郵件攻擊”場(chǎng)景開(kāi)展實(shí)戰(zhàn)演練，幫助教師、學(xué)生掌握數(shù)據(jù)安全防范基本技能。同時(shí)在課程設(shè)計(jì)上，依托“教學(xué)做合一\"理念突出社會(huì)實(shí)踐內(nèi)容，在掌握數(shù)據(jù)安全知識(shí)的基礎(chǔ)上，積極推動(dòng)引導(dǎo)學(xué)生參與數(shù)據(jù)安全實(shí)踐。例如，組織學(xué)生走進(jìn)社區(qū)調(diào)研中小學(xué)在線(xiàn)教育平臺(tái)隱私政策，從數(shù)據(jù)收集范圍、知情同意規(guī)則等維度撰寫(xiě)《隱私政策評(píng)估報(bào)告》，提出改進(jìn)建議。通過(guò)生活教育理論指導(dǎo)下的社會(huì)化實(shí)踐，師生得以在數(shù)據(jù)治理場(chǎng)景中實(shí)現(xiàn)“知行情信”的統(tǒng)一，這既是對(duì)傳統(tǒng)教育思想的時(shí)代詮釋?zhuān)矠榻逃龜?shù)據(jù)安全治理注入了內(nèi)生動(dòng)力。

參考文獻(xiàn)

[1]閆伊喬.國(guó)家中小學(xué)智慧教育平臺(tái)注冊(cè)用戶(hù)達(dá)1億[N].人民日?qǐng)?bào)，2024-01-29(011).

[2]丁繼紅.教育數(shù)據(jù)挖掘技術(shù)與應(yīng)用[M].北京：電子工業(yè)出版社，2021:3.

[3]肖君.教育大數(shù)據(jù)[M].上海：上?？茖W(xué)技術(shù)出版社，2020：7.

[4]熊菲，肖玉賢.跨境數(shù)據(jù)流動(dòng)治理：框架、實(shí)踐困境與啟示Ⅲ].中國(guó)信息安全，2023(10):66-70.

[5]陳思，馬其家.數(shù)據(jù)跨境流動(dòng)監(jiān)管協(xié)調(diào)的中國(guó)路徑].中國(guó)流通經(jīng)濟(jì)，2022，36(09):116-126.

[6]中國(guó)軟件評(píng)測(cè)中心·網(wǎng)絡(luò)空間安全測(cè)評(píng)工程技術(shù)中心.教育行業(yè)網(wǎng)絡(luò)安全白皮書(shū)(2020 年)[R/OL].(2020-09-10)[2025-05-08].https://basic.nmg.smartedu.cn/player/data2/2021/3/31/8/38/637EDD2D1FB49E44E053F2C8A8C03764/f0d46b8a227db2aca462bb7f623c6c44.pdf.

[7]國(guó)家互聯(lián)網(wǎng)應(yīng)急中心.2022年中國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報(bào)告[M].北京：人民郵電出版社，2023：45.

[8]王某某侵犯公民個(gè)人信息案，(2021)浙0105刑初123號(hào)判決書(shū).

[9] ELearning Infographics.State of Privacy and Security Awareness inEducation Infographic [R/OL].(2017-09-02)[2025-05-08].https://elearninginfographics.com/privacy-security-awareness-education-infographic/.

[10]郭正熙.預(yù)防及處理外泄事故提升教育界的數(shù)據(jù)安全措施研討會(huì)[R/OL].(2024-12-16)[2025-05-08].htps://www.pcpd.org.hk/english/whatsnew/files/PCPD.pdf.

[11]北京市海淀區(qū)人民法院.海淀法院發(fā)布涉數(shù)字經(jīng)濟(jì)知識(shí)產(chǎn)權(quán)糾紛十件典型案例[EB/OL].(2024-04-26)[2025-02-16].https://bjhdfy.bjcourt.gov.cn/article/detail/2024/04/id/7917936.shtml.

[12]熊丙奇.“套號(hào)學(xué)歷”克隆得再真，也是偽造的假文憑[EB/OL].(2021-02-09)[2025-02-20].htps://www.chinanews.com/sh/2021/02-09/9408284.shtml.

[13]公安部網(wǎng)安局.上海網(wǎng)安部門(mén)對(duì)教育類(lèi)APP開(kāi)展專(zhuān)項(xiàng)檢查，多家違規(guī)企業(yè)受到處罰 [EB/OL].(2020-11-12)[2025-05-09].https://mp.weixin.qq.com/s?__biz B:= MzA4OTI3MTY1OQ%3D%3Dmid=2650567512idx 3sI L₁= 940bc5202130b5b9ada00cead9a24c18chksm 1=1 8815af5cbf62264a8f53bfc35bc9799e8703bb0b9385523f2221e468ed4ca0e4d80701fe2339scene=27.

[14] ILIA S. Protecting Sensitive Education Data in the Cloud [EB/OL](2021-08-17)[2025-05-09].https://www.devprojournal.com/te-chnology-trends/cloud/protecting-sensitive-education-data-in-the-cloud/.

[15]黃光東，李長(zhǎng)兵．以切實(shí)行動(dòng)加強(qiáng)教育數(shù)據(jù)安全保障[EB/OL](2022-07-08)[2025-02-20].htps://m.gmw.cn/baijia/2022-07/08/35870786.html.

[16]新華網(wǎng).3名黑客篡改300多名考生成績(jī)獲利逾17萬(wàn)元被逮捕[EB/OL].(2016-08-23)[2025-02-20].http://edu.cnr.cn/list/20160823/t20160823_523060528.shtml.

[17]深圳新聞網(wǎng).一高校3萬(wàn)余條師生敏感信息泄露，被罰80萬(wàn)元！3人被抓 [EB/OL].(2023-08-17)[2025-02-21].https://www.shenzhenshizhi.cn/a/56439.html.