1、范圍

　　本文件規(guī)定了直播類在線教學平臺的安全合規(guī)要求、安全功能要求及數(shù)據(jù)安全要求。

　　本文件適用于直播類在線教學平臺安全功能的開發(fā)、管理和使用，也適用于主管監(jiān)管部門、第三方評估機構等組織對直播類在線教學平臺安全保障工作進行監(jiān)督、管理和評估。

　 2、規(guī)范性引用文件

　　下列文件中的內(nèi)容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件;不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。

　　GB/T 20984-2022 信息安全技術 信息安全風險評估方法

　　GB/T 22239-2019 信息安全技術 網(wǎng)絡安全等級保護基本要求

　　GB/T 35273-2020 信息安全技術 個人信息安全規(guī)范

　　GB/T 39335-2020 信息安全技術 個人信息安全影響評估指南

　　GB/T 39786-2021 信息安全技術 信息系統(tǒng)密碼應用基本要求

　　互聯(lián)網(wǎng)用戶賬號信息管理規(guī)定(國家互聯(lián)網(wǎng)信息辦公室令 2022 第10號)

　　兒童個人信息網(wǎng)絡保護規(guī)定(國家互聯(lián)網(wǎng)信息辦公室令 2019 第4號)

　　教育移動互聯(lián)網(wǎng)應用程序備案管理辦法(教技廳〔2019〕3號)

　 3、術語和定義

　　下列術語和定義適用于本文件。

　　3.1

　　直播類在線教學平臺 online streaming instruction platform

　　直播類在線教學平臺(以下簡稱直播教學平臺)是指支撐學校直播教學活動的技術平臺，主要包括三類：第一類是專門針對學校直播教學活動開發(fā)的技術平臺，如各級教育行政部門、各級各類學校自建的技術平臺;第二類是社會第三方為教育開發(fā)的技術平臺，具備直播教學的功能;第三類是社會第三方為視頻會議、直播等場景開發(fā)的技術平臺，可以支持直播教學活動。

　　3.2

　　直播教學模式 online streaming instruction mode

　　直播教學模式是指直播教學平臺提供的，專門針對學校直播教學活動開發(fā)的默認功能選項組合，具有基本教學功能、較高易用性和較強安全保障能力。

　　3.3

　　幫助中心 help center

　　幫助中心是指通過實用簡單的文字說明、示意配圖或視頻講解等方式，幫助用戶迅速了解直播教學平臺并解決問題的功能模塊，包括平臺介紹、入門和使用、常見問題等。

　 4、直播教學平臺安全合規(guī)要求

　　4.1　網(wǎng)絡安全等級保護

　　直播教學平臺應按照《中華人民共和國網(wǎng)絡安全法》《教育部 公安部關于全面推進教育行業(yè)信息安全等級保護工作的通知》等法律法規(guī)和政策要求，進行信息系統(tǒng)(含App)等級保護定級備案。

　　直播教學平臺應委托專業(yè)等級保護測評機構定期開展測評，并提供網(wǎng)絡安全等級保護測評報告。

　　4.2　應用程序(App)安全認證

　　直播教學平臺應依據(jù)GB/T 35273-2020的要求及《教育移動互聯(lián)網(wǎng)應用程序備案管理辦法》等文件，委托專業(yè)機構規(guī)范開展App安全認證，提供移動互聯(lián)網(wǎng)應用程序(App)安全認證證書。

　　直播教學平臺移動端應按照《教育部等八部門關于引導規(guī)范教育移動互聯(lián)網(wǎng)應用有序健康發(fā)展的意見》，完成教育移動互聯(lián)網(wǎng)應用程序(App)備案。

　　4.3　信息安全風險評估

　　直播教學平臺應依據(jù)GB/T 20984-2022的要求，開展信息安全風險評估，確保對檢查中發(fā)現(xiàn)的風險項修復整改完成，并提供信息安全風險評估報告。

　　4.4　商用密碼應用

　　直播教學平臺應依據(jù)GB/T 39786-2021及《商用密碼應用安全性評估管理辦法(試行)》等標準和政策文件的要求，使用商用密碼進行保護，定期委托檢測機構開展密碼應用安全性評估，并提供密碼應用安全性評估報告。

　　5、直播教學模式安全功能要求

　　5.1　用戶注冊和管理

　　直播教學平臺應具備完善的身份認證功能，應支持雙因子認證、設備認證和實名認證。賬號信息的注冊、使用和管理應符合《互聯(lián)網(wǎng)用戶賬號信息管理規(guī)定》的要求。

　　直播教學平臺應支持對違規(guī)賬號實行權限限制;應支持直播教學活動管理者創(chuàng)建黑名單，并將特定用戶拉入黑名單。

　　直播教學平臺應支持與用戶提供的統(tǒng)一身份認證平臺對接，實現(xiàn)用戶身份的動態(tài)同步。

　　5.2　教學組織管理

　　用戶首次進行直播教學活動時，平臺應及時彈出"幫助中心"，幫助用戶了解教學功能和安全功能。

　　直播教學平臺應具備以下教學秩序保障功能：

　　——支持教學班級成員管理功能;

　　——支持指定成員進入直播教學活動的功能;

　　——支持鎖定功能，防止外部人員或游客進入;

　　——支持設置多種輔助教學角色，并分配不同的權限以協(xié)助教師維持正常直播教學秩序;

　　——支持直播教學活動管理者根據(jù)需要刪除他人共享文件等內(nèi)容;

　　——支持快速舉報功能。

　　5.3　教學互動管理

　　直播教學平臺應具備對開啟視頻、開啟語音、手寫批注、屏幕共享、文件共享、文字輸入等教學互動權限進行單獨控制的功能。

　　直播教學平臺應至少具備以下一鍵控制功能：

　　——一鍵暫停功能，一鍵禁止所有教學互動權限功能，且禁止后學生無法自主開啟;

　　——一鍵關停功能，發(fā)生網(wǎng)課安全事件且不可控時，一鍵結束直播教學活動，在用戶授權后同步獲取文字、圖像、音視頻等有效證據(jù)并向平臺舉報。

　　直播教學平臺應將"一鍵暫停"功能始終保持在直播教學界面的顯眼位置。

　　5.4　教學內(nèi)容管理

　　5.4.1　教學內(nèi)容審核與管理要求

　　直播教學平臺應支持對教學內(nèi)容的文字、圖像和音視頻進行以下審核和管理：

　　——基于AI技術的自動檢測，支持對違法和不良信息進行自動檢測及過濾;

　　——結合人工檢測，實現(xiàn)對違法和不良信息進行人工審核。

　　直播教學平臺應支持針對直播教學活動的自動巡護，保證及時發(fā)現(xiàn)和處置安全問題。

　　5.4.2　教學內(nèi)容使用與保存要求

　　直播教學平臺提供直播教學內(nèi)容使用與保存功能，應符合以下要求：

　　——支持教師實現(xiàn)直播教學活動過程的本地和平臺端錄制和保存;

　　——支持教師設置查看與下載權限，控制直播教學內(nèi)容傳播范圍;

　　——支持教師在平臺端設置直播教學內(nèi)容保存期限;

　　——支持用戶對直播教學數(shù)據(jù)進行管理與應用，支撐教育大數(shù)據(jù)分析。

　　5.5　用戶教育與培訓

　　直播教學平臺應制定安全功能操作指南，包括但不限于操作手冊、視頻教程。

　　直播教學平臺應提供安全應急指南，支撐用戶開展直播教學安全事件的應急演練。

　　6、直播教學平臺數(shù)據(jù)安全要求

　　6.1　數(shù)據(jù)分類分級

　　直播教學平臺應識別教學相關的數(shù)據(jù)，落實以下教育數(shù)據(jù)分類分級措施：

　　——識別直播教學活動各階段所產(chǎn)生的數(shù)據(jù)，包括用戶個人信息、直播教學數(shù)據(jù)和其他數(shù)據(jù)，形成數(shù)據(jù)資源目錄并持續(xù)更新;

　　——制定數(shù)據(jù)分類分級管理制度，根據(jù)國家和教育行業(yè)標準，對所識別的數(shù)據(jù)進行分類分級，形成重要數(shù)據(jù)目錄并對列入目錄的數(shù)據(jù)進行重點保護。

　　6.2　數(shù)據(jù)安全風險防控

　　直播教學平臺應開展以下數(shù)據(jù)安全風險防控工作：

　　——采取入侵檢測與防御、防信息泄露、異常流量監(jiān)測、賬號管理和安全審計等技術手段，防止數(shù)據(jù)篡改、假冒、泄漏、竊取、未授權訪問等安全事件發(fā)生;

　　——在數(shù)據(jù)采集、數(shù)據(jù)存儲、數(shù)據(jù)使用加工、數(shù)據(jù)傳輸、數(shù)據(jù)公開、數(shù)據(jù)銷毀等數(shù)據(jù)處理環(huán)節(jié)中采取安全保障措施;

　　——對重要數(shù)據(jù)和敏感個人信息的關鍵操作設置并嚴格執(zhí)行內(nèi)部審批和審計流程;

　　注：重要數(shù)據(jù)和敏感個人信息的關鍵操作包括但不限于：批量修改、拷貝、刪除、下載等。

　　——加強數(shù)據(jù)處理活動風險監(jiān)測，定期開展數(shù)據(jù)安全風險評估，涉及處理敏感個人信息的，應開展個人信息保護影響評估;

　　——對安全缺陷、漏洞等風險采取即時補救措施;對數(shù)據(jù)安全事件采取即時處置措施，并及時告知用戶和向有關主管部門報告;

　　——與用戶單位簽署數(shù)據(jù)安全保障協(xié)議，保證平臺用戶對其個人信息、直播教學數(shù)據(jù)及其他數(shù)據(jù)的處理享有知情權與決定權，保護教育數(shù)據(jù)主權。

　　注：數(shù)據(jù)處理的知情權與決定權包括但不限于：查閱、更正、補充、復制、刪除、改變授權范圍等。

　　6.3　個人信息保護

　　6.3.1　隱私政策要求

　　直播教學平臺應制定用戶隱私政策，采取技術措施，引導用戶查閱隱私政策。

　　直播教學平臺在采集個人信息時，應確保個人信息主體的同意，不得以默認授權、功能捆綁等方式誤導強迫用戶提供個人信息。

　　直播教學平臺在收集年滿14周歲未成年人的個人信息前，應征得未成年人或其監(jiān)護人同意。

　　直播教學平臺在收集兒童個人信息前，應當征得其監(jiān)護人同意。

　　注：直播教學平臺可采用彈窗、明顯位置提示、URL鏈接等技術措施，設置查閱時間，引導用戶查閱隱私政策。

　　6.3.2　處理要求

　　直播教學平臺在處理個人信息時，按照"最小必要"的原則，依法依規(guī)處理個人信息。

　　直播教學平臺應將用戶個人生物識別信息與個人身份信息分開存儲。

　　直播教學平臺傳輸和存儲敏感個人信息時，應采用加密等安全措施。

　　直播教學平臺未經(jīng)用戶同意，不得公開或向第三方提供個人信息。

　　注：符合GB/T 35273-2020的5.6情形下，直播教學平臺收集、使用個人信息不必征得個人信息主體的授權同意。

　　直播教學平臺應對確需公開的數(shù)據(jù)采取去標識化、匿名化等方式對個人信息進行必要的脫敏處理，準確記錄和保存用戶個人信息的公開情況，包括公開的日期、規(guī)模、目的、內(nèi)容和范圍等。