近日,为贯彻落实中共中央办公厅、国务院办公厅印发的《关于进一步减轻义务教育阶段学生作业负担和校外培训负担的意见》,教育部办公厅等六部门发布《关于做好现有线上学科类培训机构由备案改为审批工作的通知》,要求强化教育App网络与数据安全监管,为个人隐私和信息安全筑起保护屏障。

通知中的部分摘录如下:

关于实施审批制度中的统一设置要求

基本条件。第(5)条:服务器。具备自有或租用的性能可靠的服务器,且服务器必须设置在中国内地。第(7)条:网络安全标准。严格落实《中华人民共和国网络安全法》和《中华人民共和国数据安全法》等法律法规要求,达到网络安全保护三级(含)以上防护标准。第(8)条:教育移动互联网应用程序(教育APP)管理。教育移动应用提供者应当建立覆盖个人信息收集、储存、传输、使用等环节的数据保障机制,储存100万人以上个人信息的线上校外培训APP,应通过个人信息保护影响评估、认证或合规审计。

培训规定。第(4)条:平台可控。培训机构需向主管教育行政部门提供具备相应权限的内容审查账号。校外线上培训平台应当具备护眼功能和家长监管功能,且平台上的培训内容及相关数据信息须留存1年以上(其中直播教学的影像须留存至少6个月)。

从上述规定可看出,教育部办公厅多部门提出了涉及等保、数据信息收集、储存、传输、使用、评估等多项要求,教育培训机构必须做好教育App网络与数据安全监管工作,保护好用户信息安全。

如何落实教育App网络与数据安全要求?

根据以上通知,给出了几条建议供教育App提供者参考学习:

1、教育App提供者应当在取得ICP备案(涉及经营电信业务的,还应当申请电信业务经营许可)、网络安全等级保护定级备案的证明、等级测评报告后,向机构住所地的省级教育行政部门进行教育业务备案,登记单位基本信息和所开发的教育App信息。

2、教育App提供者应当落实网络安全主体责任,采取有效措施,防范应对网络攻击,保障系统的平稳、安全运行。教育App和后台系统应当统一落实网络安全等级保护要求。例如,教育App在上线前应使用代码签名证书做好数字签名,附上可信身份证明并保护代码完整性,保护用户不被病毒、恶意软件所攻击。后台系统或教育网站部署SSL证书保证网络数据传输的安全性,防止用户信息泄露、篡改。

3、教育App提供者应当建立覆盖个人信息收集、储存、传输、使用等环节的数据保障机制,保护用户隐私。比如,按照“后台实名、前台自愿”的原则,对注册用户进行身份信息认证。对个人信息传输采用HTTPS方式进行,保证对内对外的传输通道安全。同时,对收集的数据进行加密存储,做好数据备份工作,并设置数据调取权限,控制访问端口,采取日志管理措施,全面有效地保障用户信息的安全。

总的来说,教育App提供者应根据教育部相关通知、国家网络安全法、数据安全法等法律法规要求,定期进行自纠自查,严格落实教育网络与数据安全的要求,为用户信息安全做好保驾护航工作。


沃通CA
9 声望10 粉丝

从事互联网安全领域,专注PKI/CA技术体系的研究,对SSL证书应用及HTTPS加密技术应用有深入了解。