近日，教育部發(fā)布《直播類在線教學(xué)平臺(tái)安全保障要求》教育行業(yè)標(biāo)準(zhǔn)的通知。為深入貫徹落實(shí)黨的二十大精神，扎實(shí)推進(jìn)國家教育數(shù)字化戰(zhàn)略行動(dòng)，完善教育信息化標(biāo)準(zhǔn)體系，保障直播教學(xué)正常開展，提升直播類在線教學(xué)平臺(tái)的安全保障能力，教育部研究制定了《直播類在線教學(xué)平臺(tái)安全保障要求》，作為教育行業(yè)標(biāo)準(zhǔn)予以發(fā)布，并自發(fā)布之日起施行。

　　根據(jù)文件，直播類在線教學(xué)平臺(tái)是指支撐學(xué)校直播教學(xué)活動(dòng)的技術(shù)平臺(tái)，主要包括三類：第一類是專門針對(duì)學(xué)校直播教學(xué)活動(dòng)開發(fā)的技術(shù)平臺(tái)，如各級(jí)教育行政部門、各級(jí)各類學(xué)校自建的技術(shù)平臺(tái);第二類是社會(huì)第三方為教育開發(fā)的技術(shù)平臺(tái)，具備直播教學(xué)的功能;第三類是社會(huì)第三方為視頻會(huì)議、直播等場(chǎng)景開發(fā)的技術(shù)平臺(tái)，可以支持直播教學(xué)活動(dòng)。

　　文件共分為六部分，給出了適用范圍、規(guī)范性引用文件、術(shù)語和定義，規(guī)定了直播教學(xué)平臺(tái)安全合規(guī)要求、直播教學(xué)模式安全功能要求以及直播教學(xué)平臺(tái)數(shù)據(jù)安全要求。文件適用于直播類在線教學(xué)平臺(tái)安全功能的開發(fā)、管理和使用，也適用于主管監(jiān)管部門、第三方評(píng)估機(jī)構(gòu)等組織對(duì)直播類在線教學(xué)平臺(tái)安全保障工作進(jìn)行監(jiān)督、管理和評(píng)估。

　　文件由中華人民共和國教育部科學(xué)技術(shù)與信息化司提出并歸口。起草單位為：教育部科學(xué)技術(shù)與信息化司、教育部教育管理信息中心、清華大學(xué)、騰訊云計(jì)算(北京)有限責(zé)任公司、阿里云計(jì)算有限公司、北京慕華信息科技有限公司、北京世紀(jì)好未來教育科技有限公司、北京猿力教育科技有限公司、深信服科技股份有限公司、北京眾思高遠(yuǎn)科技有限公司、北京翼鷗教育科技有限公司。

　　文件全文如下：

直播類在線教學(xué)平臺(tái)安全保障要求

　　1　范圍

　　本文件規(guī)定了直播類在線教學(xué)平臺(tái)的安全合規(guī)要求、安全功能要求及數(shù)據(jù)安全要求。

　　本文件適用于直播類在線教學(xué)平臺(tái)安全功能的開發(fā)、管理和使用，也適用于主管監(jiān)管部門、第三方評(píng)估機(jī)構(gòu)等組織對(duì)直播類在線教學(xué)平臺(tái)安全保障工作進(jìn)行監(jiān)督、管理和評(píng)估。

　　2　規(guī)范性引用文件

　　下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件;不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。

　　GB/T 20984-2022 信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估方法

　　GB/T 22239-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求

　　GB/T 35273-2020 信息安全技術(shù) 個(gè)人信息安全規(guī)范

　　GB/T 39335-2020 信息安全技術(shù) 個(gè)人信息安全影響評(píng)估指南

　　GB/T 39786-2021 信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用基本要求

　　互聯(lián)網(wǎng)用戶賬號(hào)信息管理規(guī)定(國家互聯(lián)網(wǎng)信息辦公室令 2022 第10號(hào))

　　兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定(國家互聯(lián)網(wǎng)信息辦公室令 2019 第4號(hào))

　　教育移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序備案管理辦法(教技廳〔2019〕3號(hào))

　　3　術(shù)語和定義

　　下列術(shù)語和定義適用于本文件。

　　3.1

　　直播類在線教學(xué)平臺(tái) online streaming instruction platform

　　直播類在線教學(xué)平臺(tái)(以下簡(jiǎn)稱直播教學(xué)平臺(tái))是指支撐學(xué)校直播教學(xué)活動(dòng)的技術(shù)平臺(tái)，主要包括三類：第一類是專門針對(duì)學(xué)校直播教學(xué)活動(dòng)開發(fā)的技術(shù)平臺(tái)，如各級(jí)教育行政部門、各級(jí)各類學(xué)校自建的技術(shù)平臺(tái);第二類是社會(huì)第三方為教育開發(fā)的技術(shù)平臺(tái)，具備直播教學(xué)的功能;第三類是社會(huì)第三方為視頻會(huì)議、直播等場(chǎng)景開發(fā)的技術(shù)平臺(tái)，可以支持直播教學(xué)活動(dòng)。

　　3.2

　　直播教學(xué)模式 online streaming instruction mode

　　直播教學(xué)模式是指直播教學(xué)平臺(tái)提供的，專門針對(duì)學(xué)校直播教學(xué)活動(dòng)開發(fā)的默認(rèn)功能選項(xiàng)組合，具有基本教學(xué)功能、較高易用性和較強(qiáng)安全保障能力。

　　3.3

　　幫助中心 help center

　　幫助中心是指通過實(shí)用簡(jiǎn)單的文字說明、示意配圖或視頻講解等方式，幫助用戶迅速了解直播教學(xué)平臺(tái)并解決問題的功能模塊，包括平臺(tái)介紹、入門和使用、常見問題等。

　　4　直播教學(xué)平臺(tái)安全合規(guī)要求

　　4.1　網(wǎng)絡(luò)安全等級(jí)保護(hù)

　　直播教學(xué)平臺(tái)應(yīng)按照《中華人民共和國網(wǎng)絡(luò)安全法》《教育部 公安部關(guān)于全面推進(jìn)教育行業(yè)信息安全等級(jí)保護(hù)工作的通知》等法律法規(guī)和政策要求，進(jìn)行信息系統(tǒng)(含App)等級(jí)保護(hù)定級(jí)備案。

　　直播教學(xué)平臺(tái)應(yīng)委托專業(yè)等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)定期開展測(cè)評(píng)，并提供網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)報(bào)告。

　　4.2　應(yīng)用程序(App)安全認(rèn)證

　　直播教學(xué)平臺(tái)應(yīng)依據(jù)GB/T 35273-2020的要求及《教育移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序備案管理辦法》等文件，委托專業(yè)機(jī)構(gòu)規(guī)范開展App安全認(rèn)證，提供移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序(App)安全認(rèn)證證書。

　　直播教學(xué)平臺(tái)移動(dòng)端應(yīng)按照《教育部等八部門關(guān)于引導(dǎo)規(guī)范教育移動(dòng)互聯(lián)網(wǎng)應(yīng)用有序健康發(fā)展的意見》，完成教育移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序(App)備案。

　　4.3　信息安全風(fēng)險(xiǎn)評(píng)估

　　直播教學(xué)平臺(tái)應(yīng)依據(jù)GB/T 20984-2022的要求，開展信息安全風(fēng)險(xiǎn)評(píng)估，確保對(duì)檢查中發(fā)現(xiàn)的風(fēng)險(xiǎn)項(xiàng)修復(fù)整改完成，并提供信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告。

　　4.4　商用密碼應(yīng)用

　　直播教學(xué)平臺(tái)應(yīng)依據(jù)GB/T 39786-2021及《商用密碼應(yīng)用安全性評(píng)估管理辦法(試行)》等標(biāo)準(zhǔn)和政策文件的要求，使用商用密碼進(jìn)行保護(hù)，定期委托檢測(cè)機(jī)構(gòu)開展密碼應(yīng)用安全性評(píng)估，并提供密碼應(yīng)用安全性評(píng)估報(bào)告。

　　5　直播教學(xué)模式安全功能要求

　　5.1　用戶注冊(cè)和管理

　　直播教學(xué)平臺(tái)應(yīng)具備完善的身份認(rèn)證功能，應(yīng)支持雙因子認(rèn)證、設(shè)備認(rèn)證和實(shí)名認(rèn)證。賬號(hào)信息的注冊(cè)、使用和管理應(yīng)符合《互聯(lián)網(wǎng)用戶賬號(hào)信息管理規(guī)定》的要求。

　　直播教學(xué)平臺(tái)應(yīng)支持對(duì)違規(guī)賬號(hào)實(shí)行權(quán)限限制;應(yīng)支持直播教學(xué)活動(dòng)管理者創(chuàng)建黑名單，并將特定用戶拉入黑名單。

　　直播教學(xué)平臺(tái)應(yīng)支持與用戶提供的統(tǒng)一身份認(rèn)證平臺(tái)對(duì)接，實(shí)現(xiàn)用戶身份的動(dòng)態(tài)同步。

　　5.2　教學(xué)組織管理

　　用戶首次進(jìn)行直播教學(xué)活動(dòng)時(shí)，平臺(tái)應(yīng)及時(shí)彈出"幫助中心"，幫助用戶了解教學(xué)功能和安全功能。

　　直播教學(xué)平臺(tái)應(yīng)具備以下教學(xué)秩序保障功能：

　　——支持教學(xué)班級(jí)成員管理功能;

　　——支持指定成員進(jìn)入直播教學(xué)活動(dòng)的功能;

　　——支持鎖定功能，防止外部人員或游客進(jìn)入;

　　——支持設(shè)置多種輔助教學(xué)角色，并分配不同的權(quán)限以協(xié)助教師維持正常直播教學(xué)秩序;

　　——支持直播教學(xué)活動(dòng)管理者根據(jù)需要?jiǎng)h除他人共享文件等內(nèi)容;

　　——支持快速舉報(bào)功能。

　　5.3　教學(xué)互動(dòng)管理

　　直播教學(xué)平臺(tái)應(yīng)具備對(duì)開啟視頻、開啟語音、手寫批注、屏幕共享、文件共享、文字輸入等教學(xué)互動(dòng)權(quán)限進(jìn)行單獨(dú)控制的功能。

　　直播教學(xué)平臺(tái)應(yīng)至少具備以下一鍵控制功能：

　　——一鍵暫停功能，一鍵禁止所有教學(xué)互動(dòng)權(quán)限功能，且禁止后學(xué)生無法自主開啟;

　　——一鍵關(guān)停功能，發(fā)生網(wǎng)課安全事件且不可控時(shí)，一鍵結(jié)束直播教學(xué)活動(dòng)，在用戶授權(quán)后同步獲取文字、圖像、音視頻等有效證據(jù)并向平臺(tái)舉報(bào)。

　　直播教學(xué)平臺(tái)應(yīng)將"一鍵暫停"功能始終保持在直播教學(xué)界面的顯眼位置。

　　5.4　教學(xué)內(nèi)容管理

　　5.4.1　教學(xué)內(nèi)容審核與管理要求

　　直播教學(xué)平臺(tái)應(yīng)支持對(duì)教學(xué)內(nèi)容的文字、圖像和音視頻進(jìn)行以下審核和管理：

　　——基于AI技術(shù)的自動(dòng)檢測(cè)，支持對(duì)違法和不良信息進(jìn)行自動(dòng)檢測(cè)及過濾;

　　——結(jié)合人工檢測(cè)，實(shí)現(xiàn)對(duì)違法和不良信息進(jìn)行人工審核。

　　直播教學(xué)平臺(tái)應(yīng)支持針對(duì)直播教學(xué)活動(dòng)的自動(dòng)巡護(hù)，保證及時(shí)發(fā)現(xiàn)和處置安全問題。

　　5.4.2　教學(xué)內(nèi)容使用與保存要求

　　直播教學(xué)平臺(tái)提供直播教學(xué)內(nèi)容使用與保存功能，應(yīng)符合以下要求：

　　——支持教師實(shí)現(xiàn)直播教學(xué)活動(dòng)過程的本地和平臺(tái)端錄制和保存;

　　——支持教師設(shè)置查看與下載權(quán)限，控制直播教學(xué)內(nèi)容傳播范圍;

　　——支持教師在平臺(tái)端設(shè)置直播教學(xué)內(nèi)容保存期限;

　　——支持用戶對(duì)直播教學(xué)數(shù)據(jù)進(jìn)行管理與應(yīng)用，支撐教育大數(shù)據(jù)分析。

　　5.5　用戶教育與培訓(xùn)

　　直播教學(xué)平臺(tái)應(yīng)制定安全功能操作指南，包括但不限于操作手冊(cè)、視頻教程。

　　直播教學(xué)平臺(tái)應(yīng)提供安全應(yīng)急指南，支撐用戶開展直播教學(xué)安全事件的應(yīng)急演練。

　　6　直播教學(xué)平臺(tái)數(shù)據(jù)安全要求

　　6.1　數(shù)據(jù)分類分級(jí)

　　直播教學(xué)平臺(tái)應(yīng)識(shí)別教學(xué)相關(guān)的數(shù)據(jù)，落實(shí)以下教育數(shù)據(jù)分類分級(jí)措施：

　　——識(shí)別直播教學(xué)活動(dòng)各階段所產(chǎn)生的數(shù)據(jù)，包括用戶個(gè)人信息、直播教學(xué)數(shù)據(jù)和其他數(shù)據(jù)，形成數(shù)據(jù)資源目錄并持續(xù)更新;

　　——制定數(shù)據(jù)分類分級(jí)管理制度，根據(jù)國家和教育行業(yè)標(biāo)準(zhǔn)，對(duì)所識(shí)別的數(shù)據(jù)進(jìn)行分類分級(jí)，形成重要數(shù)據(jù)目錄并對(duì)列入目錄的數(shù)據(jù)進(jìn)行重點(diǎn)保護(hù)。

　　6.2　數(shù)據(jù)安全風(fēng)險(xiǎn)防控

　　直播教學(xué)平臺(tái)應(yīng)開展以下數(shù)據(jù)安全風(fēng)險(xiǎn)防控工作：

　　——采取入侵檢測(cè)與防御、防信息泄露、異常流量監(jiān)測(cè)、賬號(hào)管理和安全審計(jì)等技術(shù)手段，防止數(shù)據(jù)篡改、假冒、泄漏、竊取、未授權(quán)訪問等安全事件發(fā)生;

　　——在數(shù)據(jù)采集、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)使用加工、數(shù)據(jù)傳輸、數(shù)據(jù)公開、數(shù)據(jù)銷毀等數(shù)據(jù)處理環(huán)節(jié)中采取安全保障措施;

　　——對(duì)重要數(shù)據(jù)和敏感個(gè)人信息的關(guān)鍵操作設(shè)置并嚴(yán)格執(zhí)行內(nèi)部審批和審計(jì)流程;

　　注：重要數(shù)據(jù)和敏感個(gè)人信息的關(guān)鍵操作包括但不限于：批量修改、拷貝、刪除、下載等。

　　——加強(qiáng)數(shù)據(jù)處理活動(dòng)風(fēng)險(xiǎn)監(jiān)測(cè)，定期開展數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估，涉及處理敏感個(gè)人信息的，應(yīng)開展個(gè)人信息保護(hù)影響評(píng)估;

　　——對(duì)安全缺陷、漏洞等風(fēng)險(xiǎn)采取即時(shí)補(bǔ)救措施;對(duì)數(shù)據(jù)安全事件采取即時(shí)處置措施，并及時(shí)告知用戶和向有關(guān)主管部門報(bào)告;

　　——與用戶單位簽署數(shù)據(jù)安全保障協(xié)議，保證平臺(tái)用戶對(duì)其個(gè)人信息、直播教學(xué)數(shù)據(jù)及其他數(shù)據(jù)的處理享有知情權(quán)與決定權(quán)，保護(hù)教育數(shù)據(jù)主權(quán)。

　　注：數(shù)據(jù)處理的知情權(quán)與決定權(quán)包括但不限于：查閱、更正、補(bǔ)充、復(fù)制、刪除、改變授權(quán)范圍等。

　　6.3　個(gè)人信息保護(hù)

　　6.3.1　隱私政策要求

　　直播教學(xué)平臺(tái)應(yīng)制定用戶隱私政策，采取技術(shù)措施，引導(dǎo)用戶查閱隱私政策。

　　直播教學(xué)平臺(tái)在采集個(gè)人信息時(shí)，應(yīng)確保個(gè)人信息主體的同意，不得以默認(rèn)授權(quán)、功能捆綁等方式誤導(dǎo)強(qiáng)迫用戶提供個(gè)人信息。

　　直播教學(xué)平臺(tái)在收集年滿14周歲未成年人的個(gè)人信息前，應(yīng)征得未成年人或其監(jiān)護(hù)人同意。

　　直播教學(xué)平臺(tái)在收集兒童個(gè)人信息前，應(yīng)當(dāng)征得其監(jiān)護(hù)人同意。

　　注：直播教學(xué)平臺(tái)可采用彈窗、明顯位置提示、URL鏈接等技術(shù)措施，設(shè)置查閱時(shí)間，引導(dǎo)用戶查閱隱私政策。

　　6.3.2　處理要求

　　直播教學(xué)平臺(tái)在處理個(gè)人信息時(shí)，按照"最小必要"的原則，依法依規(guī)處理個(gè)人信息。

　　直播教學(xué)平臺(tái)應(yīng)將用戶個(gè)人生物識(shí)別信息與個(gè)人身份信息分開存儲(chǔ)。

　　直播教學(xué)平臺(tái)傳輸和存儲(chǔ)敏感個(gè)人信息時(shí)，應(yīng)采用加密等安全措施。

　　直播教學(xué)平臺(tái)未經(jīng)用戶同意，不得公開或向第三方提供個(gè)人信息。

　　注：符合GB/T 35273-2020的5.6情形下，直播教學(xué)平臺(tái)收集、使用個(gè)人信息不必征得個(gè)人信息主體的授權(quán)同意。

　　直播教學(xué)平臺(tái)應(yīng)對(duì)確需公開的數(shù)據(jù)采取去標(biāo)識(shí)化、匿名化等方式對(duì)個(gè)人信息進(jìn)行必要的脫敏處理，準(zhǔn)確記錄和保存用戶個(gè)人信息的公開情況，包括公開的日期、規(guī)模、目的、內(nèi)容和范圍等。