等保2.0背景下教育行业涉及个人信息等级保护对象的定级研究

　　2019年5月13日，国家市场监督管理总局正式发布《信息安全技术网络安全等级保护基本要求》2.0版本(简称等保2.0)，并于2019年12月1日正式施行。2021年，《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》正式施行，可见法律角度对个人信息进行安全保护的要求愈发明确。随着国务院颁布的《未成年人网络保护条例》2024年1月1日正式施行，针对存储大量涉及未成年人个人信息的教育行业等级保护对象，准确确定其等级保护级别，依据级别开展有效的网络安全保护，具有十分重要的现实意义。

　　等级保护对象，是网络安全等级保护工作直接作用的对象，同样适用于教育行业的信息系统、通信网络设施和数据资源等。相比等保1.0仅针对信息系统开展定级，等保2.0还增加了针对云计算、移动互联、物联网、工业控制和大数据等新技术新应用的应用场景。

　　教育行业等级保护对象，是由各级教育行政部门及其所属单位、各级各类学校，以及提供信息化产品服务的供应商，开发、建设、维护的服务师生和保障教育教学的信息系统或者平台。从功能上可分为：政务管理类、学校管理类、学生管理类、教师管理类、校务管理类、综合服务类、教学科研类、招生就业类，在架构上属于典型的信息系统。本文重点阐述的是涉及个人信息存储、处理的信息系统。

　　从信息系统功能分类中可以看出，教育行业的信息系统大概率涉及学生、家长、教职员工的个人信息存储或处理，特别是敏感个人信息的存储。在等保1.0阶段，根据2014年教育部印发的《教育行业信息系统安全等级保护定级工作指南(试行)》，针对教育部、省级、地市级、“双一流”高校存储或处理个人信息的等级保护对象，建议定为等级保护第三级，其他建议定为等级保护第二级。随着等保2.0的正式实施，以及相关法律法规的逐步完善，教育行业的等级保护对象的保护等级也应随之调整。

　　个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。个人信息的处理包括个人信息的采集、存储、使用、加工、传输、提供、公开、删除等。敏感个人信息是指一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括但不限于生物识别信息、宗教信仰、特定身份、医疗健康信息、金融账户信息、行动轨迹信息、不满14周岁的未成年人的个人信息，以及其他敏感个人信息。

　　在教育行业的等级保护对象中，例如学生管理类、教师管理类，均会采集、存储大量个人信息；政务管理类、综合服务类、校务管理类会使用大量个人信息；招生就业类除了采集还有可能公开个人信息，其他工作场景中也会涉及加工、传输、提供等个人信息的处理方式。教育行业的等级保护对象中因业务需要会存储或处理敏感个人信息，特别是服务中小学校的等级保护对象中涉及的是不满14周岁的未成年人的敏感个人信息。

　　等级保护相关标准中并未明确个人信息、敏感个人信息量级对网络安全等级的确定。虽然等级保护定级中无法套用民事、刑事案件的标准，但在教育行业中，建议借鉴采用50人、500人、5000人、100000人、1000000人的量化标准，参考依据参见表1。

表1　个人信息量级参考表

　　网络安全等级保护的内核和目标是将等级保护对象划分等级，按相应的等级标准进行建设、管理和监督。根据教育行业等级保护对象在教育教学工作中的重要程度，以及一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后，其对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法利益的侵害程度等因素，划分为五个级别，安全保护等级依次递增，相应的安全要求逐级提高。要确定等级保护对象的安全等级，应综合分析其受到破坏时所侵害的社会关系和遭受的侵害程度。

　　等级保护对象的安全主要包括业务信息安全和系统服务安全，在教育行业的定级过程中，参照定级要素与安全保护等级关系表，分别进行教育行业相关的业务信息安全保护等级和系统服务安全保护等级的确定，以两者的最高级别判定作为等级保护对象的安全保护等级。本文重点阐述个人信息量级和重要程度在定级过程中的级别建议，并与之对应，对业务信息安全等级进行讨论。系统服务安全保护等级应参考等级保护对象所承载的业务连续性要求、服务对象的需求、硬件设施的承载能力等因素来确定。

　　影响教育系统等级保护级别的因素还应有：对业务信息安全定级有影响的其他因素，例如系统服务影响范围(国际、全国、全省、全市等地域空间因素)、系统是否为国家关键信息基础设施(可参考国务院颁布的《关键信息基础设施安全保护条例》，具体实施可分为国家关键信息基础设施、教育系统关键信息基础设施)等因素。针对系统服务安全定级影响的其他因素，例如系统服务对象(面向组织内部服务、面向公众服务等)、基础设施保护级别(云计算服务、托管机房、数据中心等)、系统服务周期(全年服务、教育行业特色的学期制服务、特殊业务周期等)、灾备情况(数据备份与恢复、冗余与容错、灾备中心建设等)等因素。其他因素应按照《信息安全技术 网络安全等级保护定级指南》(GB/T 22240—2020)进行确定。

　　在等级保护对象定级过程中，应参照国家互联网信息办公室2021年发布的《网络数据安全管理条例(征求意见稿)》，为采集、存储、使用、加工、传输大量公民个人信息的等级保护对象确定较高的安全等级，其中涉及未成年人个人信息的等级保护对象，应给予高安全等级保护。

　　进入等保2.0时代后，随着相关法律法规的逐步完善，教育行业等级保护定级指南也应随之调整。本文将结合《信息安全技术 网络安全等级保护定级指南》(GB/T 22240—2020)，对教育行业的定级对象级别进行阐述。

4.1　等级保护对象的定级要素

　　一是受侵害的客体。受侵害的客体一般是业务系统、业务系统所属单位，教育行业中还有一个特点，就是受侵害的客体可能是家长、学生、教职员工、教育机构或者单位。当等级保护对象受到破坏时，受侵害的就会是公民、法人或其他组织的合法权益。当一个存储了大量个人信息的教育行业的等级保护对象受到破坏时，极易造成负面社会舆情，引发网络讨论，成为质疑教育工作公正、公平、公开的导火索，这将侵害社会秩序、公共利益。

　　二是对客体的侵害程度。对客体的侵害程度由客观发生确有一定联系的不同外在表现综合决定。损害一般分为三种：一般损害、严重损害、特别严重损害。在教育行业涉及个人信息的客体损害程度中，一般损害指涉及泄露一定量的个人信息，造成一定量的学生、家长等公民的敏感个人信息泄露，或引发等级保护对象非正常下线，影响业务正常开展；严重损害指涉及泄露一定量的敏感个人信息，会给信息泄露的学生、家长等公民造成人身、财产安全等损失，或导致教育机构或单位无法正常行使行政职能等；特别严重损害指涉及泄露大量的敏感个人信息，产生严重舆情，影响正常教育教学秩序，影响社会稳定。

4.2　教育行业涉及个人信息的业务信息安全级别的建议

　　业务信息安全，需要确保等级保护对象的信息安全三大要素，即信息的保密性、完整性和可用性，结合《信息安全技术 个人信息安全规范》(GB/T 35273—2020)中关于如何定义个人信息、敏感个人信息及保护个人信息的内容，教育行业需要对应标准开展等级保护级别的确定(见表2)。

表2　涉及个人信息业务的信息安全级别矩阵

　　确定保护等级的因素还包括等级保护对象所属单位的行政级别、等级保护对象的社会影响力、服务对象的特定情况、存储个人信息是否涉密或者涉政等，最终定级应参考拟定级别的较高者进行确定。

4.3　教育行业系统服务安全级别的建议

　　系统服务安全，需要确定等级保护对象可以及时、有效地提供服务，确保完成预定的业务目标。教育行业等级保护对象部署环境的特点在于，部分等级保护对象部署于教育专网、校园网络环境。与部署于托管机房、云计算服务相比，教育专网、校园网的网络环境设有防火墙、统一威胁管理等安全边界设备；智慧校园依据《智慧校园总体框架》(GB/T 36342—2018)建设，数据中心或者云数据中心依据符合《数据中心设计规范》(GB 50174—2017)B级标准建设；部分等级保护对象仅限校园网内或者VPN账号访问，加上对用户身份认证、权限控制等手段的综合利用，既保证了部分应用仅面向授权用户访问，也确保了教育专网、校园网环境下的等级保护对象的安全性得到一定提升(见表3)。

表3　教育行业系统服务安全级别矩阵

　　系统服务安全的第五级本文不做讨论，可参考《信息安全技术 网络安全等级保护定级指南》(GB/T 22240—2020)进行确定。

4.4　教育行业等级保护对象级别的确定

　　等级保护对象的安全保护等级由业务信息安全保护等级和系统服务安全保护等级所定级别的较高级别决定。涉及大量公民(学生、家长、教职员工等)个人信息以及为公民(学生、家长、教职员工等)提供公共服务的大数据平台/系统，原则上其安全保护等级不低于第三级。教育行业在涉及个人信息等级保护定级的情况下，应充分考虑对未成年人个人信息的重点保护。

　　随着教育行业部分涉及个人信息的数据安全典型案例的出现，教育单位也应根据数字教育的需求以及单位信息化建设的规划进行设计，逐步调整等级保护对象的保护等级，同时对等级保护对象进行安全加固，或者等级保护对象建设应与其安全技术措施实现“三同步”原则，即同步规划、同步建设、同步使用。

5.1　涉及个人信息等级保护对象的管理措施

　　在定级的过程中，应按照“谁管业务、谁管数据；谁管数据、谁管数据安全”的原则，明确涉及个人信息等级保护对象的主责单位或机构。在明确等级保护对象的等级后，根据不同级别的管理要求，制订个人信息数据管理各环节的管理要求与管理办法。

5.2　等级保护对象数据的分类分级要求

　　等级保护对象应形成个人信息的数据资源目录，准确掌握数据基本情况，建立本单位的数据分类分级管理办法，特别是针对个人信息及敏感个人信息的数据。结合各业务系统实际情况，按照重要性、精度、规模、安全风险等数据分级要素，数据分为一般、重要和核心三级。根据个人信息数据分级开展针对性的保护措施。

5.3　规范个人信息数据生命周期管理

　　等级保护对象应按照“一数一源、最小必要”的原则，按照业务需要的个人信息收集和使用范围，面向学生、家长、教职员工等采集信息，应公开采集使用规则，明示采集使用目的、方式、范围和存储期限。应制订个人信息数据存储、传输、备份、恢复的安全策略。对未成年人个人信息实施特殊保障，严格保护敏感个人信息。存储传输敏感个人信息时，应采取加密措施，确保数据在传输和存储过程中不被非法获取或篡改；在数据共享之前，应对敏感信息进行脱敏处理，去除其中的个人身份信息；公开个人信息时，应采取去标识化处理；实施严格的数据访问控制策略，确保只有经过授权的人员才能访问和使用数据；对数据的访问和使用应进行审计和监控，以发现潜在的安全风险。

　　《未成年人网络保护条例》中对未成年人个人信息网络保护、网络素养促进、网络信息内容规范、网络防沉迷做出了具体规定，作为网络产品和服务提供者，需要为未成年人营造身心健康的网络环境，保障未成年人的合法权益。《网络数据安全管理条例(征求意见稿)》指出，收集14周岁以下未成年人信息时，应征得其监护人的同意。法律法规对于未成年人个人信息处理的法律责任界定愈发清晰明确。等保1.0阶段，网络安全等级保护工作在教育行业得到了有效的落实；等保2.0阶段，涉及个人信息保护的法律法规日趋完善，教育行业应及时跟进政策要求、跟进技术标准，进一步完善等级保护工作，确保教育行业个人信息的数据安全。