为深入贯彻落实《教育部等八部门关于引导规范教育移动互联网应用有序健康发展的意见》(教技函〔2019〕55号)和《教育部办公厅关于印发教育移动互联网应用程序备案管理办法》(教技厅〔2019〕3号)部署要求,扎实做好河南大学教育移动互联网应用程序(以下简称教育移动应用)备案和管理工作,特制定本制度。
1.教育移动应用是指服务于学校教育教学和广大师生工作生活的管理服务类教育移动应用,包括:各单位自主开发、自主选用和上级部门要求使用的教育移动应用(基于Android系统和iOS系统的独立APP应用,以及小程序和公众号、企业号)。
2.河南大学教育移动应用归口管理部门为河南大学信息化管理办公室,其它各单位应按照“谁主管谁负责、谁开发谁负责、谁选用谁负责”的原则,建立健全教育移动应用管理责任体系,切实维护广大师生、家长和其他用户切身利益。
各单位在开发、选用教育移动应用时应首先遵从整合共享制度。
原则上面向全校学生提供办事服务的整合成一个应用,面向教职工提供管理服务的整合成一个应用,面向校友及社会公众提供服务的整合成一个应用。鼓励各单位积极提供移动端服务,以整合的形式将移动端应用作为服务整合到学校的统一移动应用,对于不满足或不支持对接的移动应用,归口管理部门原则上不予以立项和验收。各单位在选用或开发教育移动应用时,应向信息化管理办公室数据中心提供全量数据接口以及数据库详细文档(包括表名、字段含义、表间关系等),同时应满足《河南大学信息系统集成标准规范》要求,所有教育移动应用使用个人基本信息应从数据中心基础数据库中共享,不得向用户重复采集个人基本信息。
信息化管理办公室负责在教育部、省教育厅关于教育移动应用治理的相关精神指导下,结合学校实际情况,对各单位管理服务类教育移动应用和小程序、公众号的数量进行深度治理和整合。
各单位规划自行开发或选用的教育移动应用前,应经由信息化管理办公室组织立项、审核、论证通过后再进行开发或选用工作。
对于要求统一使用和大范围采集个人信息的教育移动应用,应在决策制度要求的基础上组织科学性、伦理性、安全性等多个方面的论证。
各单位开发教育移动应用前应经由信息化管理办公室立项。各单位内设机构及下属部门不得擅自开发未经审核、立项的教育移动应用。
教育移动应用的开发应符合国家、教育部、行业、学校等制定的相关标准和制度。对于各单位自主开发的教育移动应用,应按照《网络安全法》和网络安全等级保护2.0的要求,完成所有自主开发教育移动应用的定级备案和测评整改。
各单位应规范教育移动应用的选用管理。
教育移动应用的选用应符合国家、教育部、行业、学校等制定的相关标准和制度。对于选用的教育移动应用,教育应用提供者应严格按照ICP备案标准和等级保护备案标准,对教育移动应用进行ICP备案和等级保护备案,并及时在公共服务体系上传、更新信息。
各单位选用教育移动应用应报由信息化管理办公室审核备案。单位内设机构及下属单位不得擅自选用未经审核、立项的教育移动应用,不得选用未完成提供者备案的教育移动应用。
各单位应建立教育移动应用的决策机制。各单位要建立教育移动应用重大事项的决策机制,具体实施办法参照信息化建设项目立项决策机制。
对要求统一使用和大范围采集个人信息的教育移动应用,除关系到国家安全、社会稳定、学校和师生的人身安全以外,应在履行立项流程和审核程序的原有基础上充分征求师生用户群的意见,并经河南大学信息化网络安全和信息化工作领导小组审定同意。
超过半年未更新的教育移动应用,不满足《河南大学教育移动应用管理制度》管理要求的教育移动应用,应予以整合、关停。
对于各单位自主开发的教育移动应用,应对个人信息收集行为进行规范和管理,制定内部个人信息安全管理制度和操作规程,设置专门安全负责人,并对该负责人和关键岗位的人员进行安全背景审查,落实网络安全保护责任。原则上大范围采集个人信息的教育移动应用应通过移动应用个人信息安全认证,规范数据安全生命周期的管理。
对于选用的教育移动应用,应用提供者必须履行下列信息保护义务:
(1)对教育移动应用运营过程的数据严格保密,建立健全用户信息保护制度;
(2)不得违反法律、行政法规的规定,以及与选用方或用户的约定,收集、使用和处理其保存的个人信息;
(3)不得泄露、篡改、毁损平台上的个人信息;未经用户同意,不得向任何组织或个人提供用户个人信息。但下述二种情形除外:第一、经过处理无法识别特定个人且不能复原的;第二、根据法律、法规和规范性文件的强制性规定,或应司法或行政机关要求提供用户个人信息的。
(4)应当采取技术措施和其他必要措施,确保平台上的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,并按照规定及时告知用户、选用方和向有关主管部门报告;
(5)若发现被选用的教育移动应用不当收集、使用用户信息或业务信息,或者发现收集、存储的相关信息有错误的,学校有权要求乙方予以删除或更正,应用提供者应予立即删除或更正。
本制度由河南大学信息化管理办公室负责解释。
本制度自印发之日起开始实施。