2026年个人信息保护系列专项行动: 教育行业数据合规整改指南(二)
作者:王良 2026-05-212026年4月2日,中央网信办、工业和信息化部、公安部联合发布《关于开展2026年个人信息保护系列专项行动的公告》,明确2026年将会同相关部门进一步深入治理App、SDK等服务产品以及互联网广告、教育、交通、卫生健康、金融等重点领域违法违规收集使用个人信息典型问题。专项行动针对教育领域的治理对象为学校(高等教育学校、高中阶段学校、义务教育阶段学校、幼儿园等)以及校外培训机构等教育机构的个人信息收集使用活动。
专项行动采取三部门联合推进的跨部门协作治理机制,聚焦五大重点问题,包括:未成年人个人信息处理规则缺失及监护人同意缺失;网站/App过度收集个人信息;向第三方提供个人信息未履行告知及同意义务;人脸识别技术滥用;个人信息保护管理制度与安全措施缺失。教育领域列为本次专项行动的重点行业之一,反映出监管部门对学生和家长个人信息安全的高度重视,也体现了当前教育行业个人信息保护问题的普遍性与严重性。
一、专项行动执法依据和规范体系
(一)教育行业数据保护现状
教育领域所涉及的个人信息具有高度的特殊性与敏感性,具体体现在以下方面:
第一,处理对象以未成年人为主体。 教育机构的核心服务对象为未成年人,特别是义务教育阶段的学生,年龄普遍在6至15周岁之间。根据《个人信息保护法》第28条的规定,不满十四周岁未成年人的个人信息属于敏感个人信息,处理时须具有特定的目的和充分的必要性,并采取严格保护措施。这一特殊性意味着教育机构在个人信息处理活动中承担着比一般机构更为严格的法律义务和更高的保护标准。第二,处理数据体量巨大且持续积累。 教育机构在日常管理中需要收集、存储和处理大量学生及家长的个人信息,包括但不限于姓名、身份证号、家庭住址、联系方式、学籍信息、考试成绩、健康状况等。随着教育信息化的深入推进,智慧教育平台、在线学习系统、家校沟通工具等数字化应用广泛普及,教育数据的体量和种类不断扩展。第三,数据泄露风险高、危害后果严重。 教育领域个人信息一旦泄露,不仅可能给学生及家长带来骚扰电话、精准诈骗等直接侵害,还可能导致未成年人长期面临人身安全隐患。近年来,多地频频曝光教育机构个人信息泄露事件,教育行业个人信息保护工作形势严峻,系统性合规整改刻不容缓。
(二)规范体系
《个人信息保护法》确立个人信息处理的核心规则,将不满十四周岁未成年人个人信息列为敏感个人信息,要求处理须取得监护人同意并制定专门规则;《网络安全法》要求教育机构作为网络运营者履行网络安全等级保护义务,对所收集的用户信息严格保密。《数据安全法》确立数据分类分级保护制度,要求教育行业确定重要数据具体目录并开展数据分类分级工作。《未成年人保护法》设“网络保护”专章,规定处理不满十四周岁未成年人个人信息须取得监护人同意。《教育法》规定学校对学生及其家庭信息负有管理、保密义务,不得非法披露、传播、买卖。
教育行业法规涵盖了从行政法规到部门工作文件的多层次规范体系,包括:《未成年人网络保护条例》,该条例规定个人信息处理者不得强制要求未成年人或其监护人同意非必要的个人信息处理行为,并明确要求每年对处理未成年人个人信息的情况进行合规审计。《儿童个人信息网络保护规定》,该规定要求网络运营者设置专门的儿童个人信息保护规则和用户协议并指定专人负责,同时规定委托第三方处理儿童个人信息须进行安全评估并签署协议。《未成年人学校保护规定》,该规定明确学生的考试成绩、名次等学业信息不得公开,并规定学生个人信息采集应告知家长,学校对所获得的学生及其家庭信息负有管理、保密义务。《教育数据分类分级指南》(JY/T 0661-2025) ,该标准构建了教育数据的分类框架和分级规则,明确了不同类别、不同级别数据在采集、存储、共享、使用和开放等环节的安全管理要求。《教育行业数据安全管理办法(征求意见稿)》 ,目前仍处于征求意见阶段,该办法对教育数据处理活动进行系统规范,明确适用范围涵盖各级各类学校、教育行政部门以及经教育行政部门批准或备案开展教育教学活动的其他教育机构在开展教育教学、管理服务、科研创新等活动中产生、收集、存储、使用、共享、删除教育数据的全过程安全管理。
二、法律分析与合规操作指引
【问题一】教育机构处理不满十四周岁未成年人个人信息,未制定专门的个人信息处理规则,未取得未成年人父母或其他监护人的同意
不满十四周岁未成年人个人信息被《个人信息保护法》明确列为敏感个人信息,处理时须同时满足“具有特定目的和充分必要性”和“取得监护人同意”两个条件。教育机构在日常教学管理、家校沟通、课外活动中处理大量未成年人个人信息,若未制定专门处理规则或未征得监护人同意,将构成违法处理敏感个人信息。
(一)法律分析
《个人信息保护法》将不满十四周岁未成年人的个人信息列为敏感个人信息,处理敏感个人信息须具有特定目的和充分必要性,并采取严格保护措施。《未成年人网络保护条例》进一步明确,个人信息处理者不得强制要求未成年人或其监护人同意非必要的个人信息处理行为,不得因不同意非必要信息处理而拒绝提供基本功能服务。教育机构在收集未成年人个人信息前,必须制定并公示专门的处理规则,内容应涵盖处理目的、方式、范围及安全保障措施,并以显著方式提示监护人阅读。同时,处理不满十四周岁未成年人个人信息须取得监护人的单独同意,同意记录应妥善保存。《儿童个人信息网络保护规定》还要求设置专门的儿童个人信息保护规则和用户协议,并指定专人负责。此外,《未成年人网络保护条例》要求个人信息处理者每年对其处理未成年人个人信息的情况进行合规审计,教育机构须通过网信部门指定的线上系统向所在地市级网信部门报送审计情况。
(二)排查重点清单
(三)整改要求
制定儿童隐私政策:制定并公示专门的未成年人个人信息处理规则,语言通俗易懂,内容涵盖处理目的、方式、范围、存储地点、存储期限、安全保障措施、监护人权利及行使方式等。
建立监护人同意机制:在网站、App、小程序等各渠道入口嵌入监护人同意机制,确保处理不满十四周岁未成年人个人信息前取得监护人单独同意(不得与其他同意事项捆绑)。同意记录保存至未成年人年满十四周岁后三年,或依法律法规要求。
落实最小必要原则:将收集信息区分为“必要”与“非必要”,对非必要信息设置“拒绝”选项,确保不因拒绝而影响基本功能服务使用。
完成年度合规审计与报送:每年1月底前通过“个人信息保护业务系统”完成未成年人个人信息保护合规审计情况的线上报送。
建立年龄识别机制:在用户注册或信息采集环节设置年龄验证机制,识别并区分未成年人与成年人用户。
【问题二】教育机构运营的网站、App等过度收集位置、学校、学籍,家长身份证号、联系方式、职业等个人信息
教育机构运营的网站、App等服务平台在提供服务过程中,应在实现服务功能所必需的范围内收集信息。过度收集位置、学校、学籍、家长身份证号、联系方式、职业等个人信息,超出了最小必要原则,构成违法。
(一)法律分析
《个人信息保护法》明确要求,处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息应当限于实现处理目的的最小范围,不得过度收集。《未成年人网络保护条例》要求个人信息处理者严格遵守国家关于网络产品和服务必要个人信息范围的规定。根据《常见类型移动互联网应用程序必要个人信息范围规定》,学习教育类App的基本功能服务为“在线辅导、网络课堂”,必要个人信息仅为注册用户的移动电话号码。非必要信息如职业、学龄阶段、英语水平等用户画像信息的收集需要用户同意,不得以“履行合同所必需”为由强制收集。
(二)排查重点清单
(三)整改要求
开展“必要性”全面审查:对网站/App收集的每一类个人信息进行“最小必要”评估,对超出必要范围的信息类型立即停止收集并删除已收集数据。
优化App权限设置:对非必要信息设置“跳过”“拒绝”选项,不得将填写非必要信息作为使用服务的条件。用户画像信息须经用户同意后方可收集。
规范招生入学信息采集:严格遵守教育部招生入学工作要求,按照“材料非必要不提供、信息非必要不采集”原则,不得采集家长职务、收入信息等非必要信息。
优化学业信息公开方式:学生的考试成绩、名次等学业信息,应便利学生本人和家长知晓(如通过个人账户、私密渠道提供),不得通过公告栏、微信群等公开方式传播。
完善隐私政策:确保隐私政策中完整准确说明个人信息收集使用的目的、方式、范围,首次运行时须以弹窗等显著方式提示用户阅读。
(四)典型案例
某科技有限公司运营某英语学习网站及两款App,该科技公司在未征得用户同意的情况下,通过线下合作体验店收集用户手机号码创建账号。用户登录后,App界面要求用户填写“职业”“学习目的”“学龄阶段”“英语水平”等内容,不填写则无法继续,且无“跳过”“拒绝”选项。审理法院认为,根据《常见类型移动互联网应用程序必要个人信息范围规定》,学习教育类App基本功能服务为“在线辅导、网络课堂”,必要个人信息仅为注册用户的移动电话号码。收集用户画像信息并非“履行合同所必需”,公司以自动化决策推送为由收集用户画像信息的行为不构成无需取得个人同意的法定例外情形,构成侵权。法院判决该公司删除相关个人信息并赔偿损失。[来源:最高人民法院指导性案例265号“罗某诉某科技公司隐私权、个人信息保护纠纷案”,2025年发布]
【问题三】校外培训机构向合作的第三方机构提供个人信息,但未向个人信息主体告知合作的第三方机构名称、处理个人信息的目的、方式,未取得个人信息主体同意
校外培训机构向合作的第三方机构(如技术供应商、广告平台、合作方)提供个人信息时,须向个人信息主体告知第三方名称、处理目的和方式,并取得单独同意。以初次收集时的概括同意替代对外提供行为的单独同意,或未告知第三方信息,均构成违法。
(一)法律分析
《个人信息保护法》规定,向其他个人信息处理者提供个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。接收方应当在上述范围内处理个人信息。对于儿童个人信息,《儿童个人信息网络保护规定》进一步要求,收集、使用、转移、披露儿童个人信息,应当以显著、清晰的方式告知儿童监护人,并征得儿童监护人的同意;因业务需要超出约定目的和范围使用的,应当再次征得同意;委托第三方处理的,应对受委托方及委托行为进行安全评估,签署委托协议,明确双方责任,委托行为不得超出授权范围。教育机构在与第三方合作时,必须在隐私政策中逐一列明所有第三方合作方的名称、收集信息种类、目的、方式,不得使用“合作伙伴”“第三方服务商”等模糊表述。对于每项对外提供行为,均应取得个人信息主体的单独同意,不得以初次注册时的概括同意替代。
(二)排查重点清单
(三)整改要求
全面梳理对外提供场景:系统梳理教育机构所有向第三方提供个人信息的业务场景,形成对外提供信息清单。
完善隐私政策透明度:确保隐私政策中逐一列明所有第三方合作方名称、收集信息种类、处理目的和处理方式,不得以“合作伙伴”“第三方服务商”等模糊表述笼统概括。
建立单独同意机制:每项向第三方提供个人信息的行为均需取得个人信息主体的单独同意,通过弹窗、勾选框等机制清晰说明并提供选择。
开展第三方安全评估:在委托第三方处理个人信息前,对受委托方及委托行为进行安全评估,签署委托协议,明确双方责任、处理事项、处理期限等。
建立持续监督机制:定期对第三方数据处理活动进行检查,发现违规行为及时制止、终止合作并报告监管部门。
(五)典型案例
2026年5月,媒体曝光教培行业已成为学生信息泄露高发领域,在黑市流通的学生数据超过千万条,涉及江苏、广东、浙江等多地中小学生,单条信息售价0.5元至十余元不等。部分大型教培机构联合教育信息平台维护商违规获取学生数据,既用于外呼招生,也通过倒卖数据牟利。泄露信息涵盖学生姓名、出生日期、家长联系方式、家庭住址,部分包含身份证号、在读班级等敏感内容。江浙沪皖四地相关部门已介入核查侦办,已有两名涉案人员被抓获。[来源:上游新闻:《起底数据黑市:上千万条学生信息被疯狂倒卖》,2026年5月]
【问题四】教育机构线下场所以及运营的网站、App等使用非人脸识别技术方式可以实现验证家长、学生身份,将人脸识别技术作为唯一验证方式,未落实人脸识别技术应用安全管理相关要求
教育机构在线下场所(如校园出入、考试身份核验等)以及运营的网站、App中使用人脸识别技术时,若存在其他非人脸识别方式(如刷卡、扫码、密码、短信验证码等)可实现同等目的,不得将人脸识别作为唯一验证方式。强制使用人脸识别、未落实安全管理要求均构成违法。
(一)法律分析
《人脸识别技术应用安全管理办法》确立了“非唯一验证原则”:实现相同目的或者达到同等业务要求,存在其他非人脸识别技术方式的,不得将人脸识别技术作为唯一验证方式。处理不满十四周岁未成年人人脸信息的,应当取得其父母或者其他监护人的同意。在公共场所安装人脸识别设备,应当为维护公共安全所必需,依法合理确定采集区域,并设置显著提示标识,不得在私密空间内部安装。人脸信息属于《个人信息保护法》规定的敏感个人信息,处理时须具有特定的目的和充分的必要性,并采取严格保护措施。《儿童个人信息网络保护规定》也强调不得收集与提供服务无关的儿童个人信息。教育机构在使用人脸识别技术时,必须提供替代验证方式,并以个人意愿为基础自愿开通,不得强制要求。
(二)排查重点清单
(三)整改要求
提供替代验证方式:存在其他非人脸识别技术方式(刷卡、扫码、密码、短信验证码)可实现相同目的的场景,不得将人脸识别作为唯一验证方式。
坚持自愿使用原则:人脸识别功能以个人意愿为基础自愿开通,不得强制要求。对于不同意使用的用户,提供合理且便捷的替代身份验证方式。
严格限制人脸信息采集范围:仅采集实现目标所必需的最少特征信息,不得存储完整人脸图像。
落实安全管理措施:采取数据加密、访问控制、操作审计等技术措施。人脸信息存储数量达到10万人时,须在30个工作日内向所在地省级以上网信部门备案。
取得监护人同意:处理不满十四周岁未成年人人脸信息,须在监护人知情同意后方可进行。
建立信息定期清理机制:人脸信息仅保存为实现目的所必需的最短期限,到期后及时删除。
【问题五】教育机构未建立个人信息保护管理制度、未采取有效安全保护措施、存在个人信息泄露风险隐患
教育机构应当建立健全个人信息保护内部管理制度,采取有效的安全保护技术措施,防止个人信息泄露、篡改、丢失。通过微信群共享文档等不安全渠道收集和传输敏感个人信息,或未建立数据分类分级管理,构成违法。
(一)法律分析
《个人信息保护法》要求个人信息处理者根据处理目的、方式、种类以及对个人权益的影响、安全风险等,采取包括制定内部管理制度和操作规程、对个人信息实行分类管理、采取加密和去标识化等安全技术措施、合理确定操作权限并定期开展安全教育和培训、制定并组织实施安全事件应急预案等措施。对于儿童个人信息,《儿童个人信息网络保护规定》要求采取加密等措施存储,对工作人员以最小授权为原则设定访问权限,访问须经审批并记录。《未成年人网络保护条例》要求每年开展合规审计。《教育数据分类分级指南》为教育机构提供了数据分类分级的操作标准。实践中,通过微信群共享文档等不安全渠道收集敏感信息,是最常见的安全隐患,教育机构必须杜绝此类行为,转向安全的加密表单或学校信息管理系统。
(二)排查重点清单
(三)整改要求
建立数据分类分级制度:参照《教育数据分类分级指南》(JY/T 0661-2025),根据单位类型和业务逻辑开展数据分类工作,确定重要数据目录并实施重点保护。
规范信息收集方式:立即叫停通过微信群共享文档等不安全渠道收集敏感个人信息的行为,改用安全的加密表单、学校信息管理系统或经安全评估的第三方平台。
建立最小授权机制:对工作人员以最小授权为原则设定信息访问权限。访问敏感个人信息的,须经审批并记录访问情况。
采取技术保护措施:部署数据加密、去标识化、访问控制、安全审计等技术措施。
制定安全事件应急预案:制定并组织实施个人信息安全事件应急预案,建立监测、报告和处置机制,定期开展应急演练。
设立个人信息保护负责人:指定专人负责个人信息保护工作,明确其职责和权限。
开展年度合规审计:处理未成年人个人信息的教育机构应每年开展一次合规审计,并于每年1月底前通过“个人信息保护业务系统”完成报送。
(四)典型案例
2025年4月,陕西省商洛市商州区某小学班主任在家长微信群中使用在线共享文档收集家长个人信息,文档处于“可查看、可编辑”状态。检察院调查发现,辖区部分中小学为图方便,多次采用在线共享文档、群内接龙等方式收集学生及家长个人信息,部分问卷存在“过度收集”问题,如要求家长提供职务、工作单位等与教学管理无直接关系的信息。商州区检察院于2025年4月25日行政公益诉讼立案,2025年9月依法向行政机关发出检察建议,要求全面排查辖区中小学收集学生及家长个人信息的情况,立即叫停共享文档等不安全的信息收集行为。行政机关成立专项工作组,责令违规学校立即整改,并下发《关于规范学校收集学生及家长信息的通知》至全区所有中小学,明确信息收集的范围、方式与安全底线。[来源:最高人民检察院官方网站,最高人民检察院第八检察厅个人信息保护领域公益诉讼典型案例,2026年4月发布]
