在全面发力建设教育强国、纵深推进国家教育数字化战略的时代背景下,教育部于2025年12月正式发布行业标准《教育数据分类分级指南》(JY/T 0661-2025)。该标准的出台,是教育行业落实《中华人民共和国数据安全法》关于数据分类分级保护制度等法定要求的核心举措,为教育机构开展数据分类分级工作提供了科学合理的逻辑框架和实施路径。本文旨在深度解读该标准的体系架构、核心规则与内在逻辑,剖析其差异化分类标准、定性定量双维度分级模型以及闭环管理流程,提出可执行、可复制的操作案例,为教育机构落实数据分类分级工作提供参考,为后续教育系统全面加强数据安全保护奠定基础。
引言:教育数据分类分级的必要性
开展教育数据分类分级是法定义务
2021年9月,《中华人民共和国数据安全法》[1]正式施行,确定数据分类分级保护制度是数据安全保护基本制度之一,明确要求“各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护”。教育作为数据安全法确定的八大重点行业领域之一,应加快开展数据分类分级工作,实现数据的合法合规保护与高效有序应用。
开展教育数据分类分级是行业急需
随着教育数字化的持续推进,尤其是国家教育数字化战略行动的实施,数字技术全面融入教学、科研、管理、服务等全流程各方面,积累了大量业务数据和个人信息,数据共享和数据应用也在持续深化,为教育行政部门和学校推进教育数字化提供了有力支撑。与此同时,面临的数据安全威胁也在持续加大,教育系统数据安全方面仍存在底数台账不清、防护能力失衡、合规压力大、隐私泄露突出等风险。数据安全事件一旦发生,其影响范围也可能从一地一校扩大到教育系统,甚至影响国家安全、经济运行和社会稳定。随着《“人工智能+教育”行动计划》的纵深推进,教育数据形态已从传统的单一结构化业务数据,拓展至多源异构的多模态数据。此类数据集的爆发式增长在精准赋能教育的同时,也面临着隐私泄露、数据滥用等前所未有的安全挑战。因此,在教育系统内全面开展科学、规范的数据分类分级工作已势在必行。
开展教育数据分类分级是保护开端
2025年12月,《教育数据分类分级指南》[2](以下简称《指南》)正式印发施行。该标准是教育行业数据安全保护的“里程碑”,为教育数据安全保护标准体系建设打下坚实基础,用以指导教育行政部门和学校合理开展教育数据安全保护工作,有效落实教育数据全生命周期安全保护,进一步提升教育数据管理和安全防护水平。该标准的发布,标志着教育数据安全治理进入了标准化新阶段,是教育数字化转型发展的底线要求与必然选择。
教育数据分类分级的规则与流程
数据分类:
基于单位类型和业务逻辑的资产梳理
《指南》遵循“界限明确原则”提出教育数据分类规则。根据国家标准《数据安全技术 数据分类分级规则》[3],按照不同的分类维度,对教育行政部门数据(以下简称部门数据)和学校数据进行差异化分类。对于教育行政部门而言,因为其行政管理职能,掌握大量的业务类数据和行政类数据,数据描述对象不同、数据边界清晰,因此考虑采用描述对象维度开展数据分类,分为教育基础数据、教育业务管理数据、教育行政管理数据及其他数据四大类。而对于学校来说,核心职能围绕教学和科研开展,同时存储大量师生个人信息,数据主要为个人信息类、教学类数据和科研类数据,因此考虑采用业务领域和数据主体两个维度来开展数据分类,分为学生数据、教职工数据、教学管理数据、科研管理数据、校务管理数据及其他数据六类。这种基于单位类型和业务逻辑的分类方法,为教育机构建立清晰的数据分类目录提供了结构化框架。
同时,有两点需要特殊说明:一是其他数据,在标准编制的试点验证过程中,部门数据的前三类和学校数据的前五类,基本可以覆盖所有数据,但考虑到实际情况中,仍有部分单位存在特殊数据不属于前三大分类,因此保留了“其他数据”类。二是科研管理数据,此处提到的科研管理数据,仅包含在开展科研管理活动过程中产生的数据,比如学校建设的项目管理系统产生的业务数据等,并不包含科研数据本身。《指南》的适用范围已经明确,不包含涉及卫生健康、科技等行业领域的数据,这些数据遵照相关行业领域的标准规范执行。
数据分级:
包含定性和定量双重维度的定级判断
教育数据分类分级工作有明确的先后顺序,应该在完成数据分类之后,再对数据集进行分级。而《指南》给出的分级规则,包含定性和定量双重维度的判断依据。
从定性的角度来看,教育行政部门有不同的行政级别,因此部门数据也有对应行政级别的覆盖范围,比如省级教育行政部门可能掌握覆盖省级范围的部门数据,在此处引入覆盖范围的区别,分为覆盖全国范围、覆盖省级范围、覆盖地市级及区县级范围三个级别。数据分类和覆盖范围两者叠加,就形成部门数据的定性规则,如图1所示,从左到右、从上到下存在递减逻辑,需特别说明的是,覆盖省级范围的教育业务管理数据定为重要数据L4。该特殊点主要考虑到,从实际情况来看,省厅的业务数据覆盖范围较大、影响范围较广,应按照重要数据L4的级别进行保护,更符合国家数据安全治理体系的要求,所以定级为重要数据L4。
图1 部门数据的定性规则
从定性的角度来看,虽然学校没有行政级别的区分,但高等学校的数据和其他学校的数量级也有很大差别。因此类比部门数据的覆盖范围,引入覆盖高等学校全校范围和覆盖其他类学校全校范围的区别,形成了学校数据的定性规则,如图2。
图2 学校数据的定性规则
除上述定性维度以外,考虑到教育数据包含大量个人信息尤其是敏感个人信息,需要重点关注,因此在分级规则中专门针对个人信息引入定量考虑,形成如图3的数据阶梯。
图3 定量维度的数据阶梯
《指南》遵循“就高从严原则”提出教育数据分级规则,当按照定性和定量两种分级规则导致同一数据集出现不同级别时,应以最高级别为准。
实施流程:
规范化的闭环管理机制
《指南》提出开展教育数据分类分级工作的五个步骤:数据资产梳理、数据分类分级、数据目录报批、数据目录审定、动态更新管理,形成规范化的闭环管理机制。各单位可自主编制一般数据目录,报上一级教育主管部门备案即可;如有拟定的重要数据和核心数据,需报送至教育部审批。教育部统一组织对拟定的重要数据进行评审,确定教育系统重要数据目录;同时提出教育系统核心数据建议报国家数据安全工作协调机制办公室,由国家数据安全工作协调机制办公室确定教育系统核心数据目录。审定后的重要数据和核心数据目录将逐级反馈至申报的教育机构,完成闭环管理。
《指南》遵循“动态更新原则”提出数据分类分级流程,当数据业务属性、使用场景、公开范围等发生变化时,教育机构应按照该标准重新开展数据分类分级并按流程报批审核确定。
教育数据分类分级的实践实施路径
实际开展数据分类分级时,可参照“四步法”执行:先分类,再定性分级,之后定量分级,最后就高从严确定分级。
以某省中小学学籍信息为例,该数据集可能包含姓名、性别、学籍号、民族、出生日期、籍贯、政治面貌、户口所在地等信息。第一步分类。按照《指南》附录1中的示例,应判断出该数据集为教育基础数据-人员基础数据。第二步定性分级。按照图1定性规则,覆盖省级范围的教育基础数据,应初步判定为重要数据L4。第三步定量分级。首先判断该数据集包含个人信息,因此需要考虑定量分级规则。假定该省为人口大省,该数据集内包含1000万未满十四周岁未成年人个人信息,均属于敏感个人信息,则按照图3的定量规则,应考虑判定为核心数据L5。第四步就高从严原则确定最终分级,将该数据集确定为核心数据L5。至此,四步流程闭环,完成该数据集的分类分级定级工作。
再以某高校本科生基本信息为例,该数据集中可能包含学号、姓名、性别、身份证件号、所属学院、专业、出生日期、民族、政治面貌、生源省市等信息。第一步分类。按照《指南》附录2中的示例,应判断出该数据集为学生数据-学生基础数据。第二步定性分级。按照图2定性规则,覆盖高等学校范围的学生数据,应初步判定为一般数据L3。第三步定量分级。首先判断该数据集包含个人信息,因此需要考虑定量分级规则。假定该数据集包含3万学生数据,且身份证号等信息属于敏感个人信息,则按照图3的定量规则,应考虑判定为一般数据L2。第四步就高从严原则确定最终分级,将该数据集确定为一般数据L3。至此,四步流程闭环,完成该数据集的分类分级定级工作。
结论:《指南》的实践意义与未来展望
《指南》的发布施行,填补了教育行业数据分类分级在落地实施层面的标准空白[4],是构建“以分类分级为基础、以保护要求为底线、以风险评估为抓手”的教育数据安全标准体系的第一步,标志着教育数据安全保护迈入标准化新阶段。该标准提出的差异化分类标准、定性定量双维度分级模型以及闭环管理流程,将宏观的法律要求转化为微观的管理动作,形成了“操作手册”,为后续教育系统全面加强数据安全保护提供了制度保障与实践指引。
参考文献:
[1]全国人民代表大会.《中华人民共和国数据安全法》[OL].
[2]JY/T 0661-2025,教育数据分类分级指南[S].
[3]GB/T 43697-2024,数据安全技术 数据分类分级规则[S].
[4]杨伟平,曾德华,段婷婷,赵昱.数字化转型背景下的教育数据分类分级研究[J].现代教育技术,2025,(1):89-97.
作者:杨伟平,段婷婷(教育部教育管理信息中心);姜开达(上海交通大学信息化推进办公室)
声明:本文来自中国教育网络,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
