文章总结： 为加强教育领域个人信息保护，2026年我国将其列为个人信息保护系列专项行动的重点治理领域之一。治理对象包括各类学校及校外培训机构，重点整治处理未成年人信息未获监护人同意、过度收集位置与家长信息、违规向第三方提供信息、强制使用人脸识别以及安全措施缺失等问题。治理依据《个人信息保护法》等法律法规，并辅以《智慧教育平台个人信息保护通用要求》等行业标准。建议教育机构建立完善的个人信息保护管理制度，遵循最小必要原则，审慎使用人脸识别技术，并采取有效安全措施防范信息泄露风险。 综合评分： 85 文章分类： 政策法规,数据安全,应用安全,网络安全,安全建设

教育领域违法违规收集使用个人信息专项治理

原创

数字安全助手 数字安全助手

数字安全助手

2026年4月11日 11:30 山东

在小说阅读器读本章

去阅读

治理对象：学校（高等教育学校、高中阶段学校、义务教育阶段学校、幼儿园等），以及校外培训机构等教育机构个人信息收集使用活动。

重点治理问题：一是教育机构处理不满十四周岁未成年人个人信息，未制定专门的个人信息处理规则，未取得未成年人父母或其他监护人的同意；二是教育机构运营的网站、App等过度收集位置、学校、学籍，家长身份证号、联系方式、职业等个人信息；三是校外培训机构向合作的第三方机构提供个人信息，但未向个人信息主体告知合作的第三方机构名称、处理个人信息的目的、方式，未取得个人信息主体同意；四是教育机构线下场所以及运营的网站、App等使用非人脸识别技术方式可以实现验证家长、学生身份，将人脸识别技术作为唯一验证方式，未落实人脸识别技术应用安全管理相关要求；五是教育机构未建立个人信息保护管理制度、未采取有效安全保护措施、存在个人信息泄露风险隐患等。

治理背景与政策部署

随着教育信息化进程的深入推进，各类教育机构运营的网站、移动应用程序以及第三方服务平台在教育管理、教学活动和家校沟通中的广泛应用，个人信息收集使用的边界问题日益凸显。部分教育机构在收集学生及家长个人信息时存在过度索权、未充分告知、违规向第三方提供以及安全防护措施缺失等违法违规行为，引发了社会各界的广泛关注。为切实保护公民个人信息安全，《中华人民共和国个人信息保护法》自2021年施行以来，中央网信办会同有关部门持续加大个人信息保护工作力度，查处各类违法违规处理个人信息行为，督促指导个人信息处理者不断提升合规水平，取得了积极成效。在此背景下，2025年，中央网信办、工业和信息化部、公安部、市场监管总局联合发布了关于开展2025年个人信息保护系列专项行动的公告，对App、SDK违法违规收集使用个人信息等问题开展治理。2026年，中央网信办、工业和信息化部、公安部进一步深入治理App、SDK等服务产品以及互联网广告、教育、交通、卫生健康、金融等重点领域违法违规收集使用个人信息典型问题，着力提升人民群众满意度、获得感。三部门联合发布的关于开展2026年个人信息保护系列专项行动的公告，将教育领域违法违规收集使用个人信息专项治理列为七大重点专项治理领域之一，对学校及校外培训机构等教育机构的个人信息收集使用活动进行集中整治。与此同时，教育部还于2025年发布了《智慧教育平台 个人信息保护通用要求》和《中小学教职工基础数据》两项教育行业标准，并正式发布实施了《教育数据分类分级指南》教育行业标准，为全国教育系统的数据安全管理提供了统一、科学的操作规范。

教育领域违法违规收集使用个人信息的主要表现

根据2026年个人信息保护系列专项行动公告的明确规定，教育领域违法违规收集使用个人信息专项治理的治理对象涵盖各类学校，包括高等教育学校、高中阶段学校、义务教育阶段学校、幼儿园等，以及校外培训机构等教育机构的个人信息收集使用活动。重点治理问题聚焦以下五个方面：

一是教育机构处理不满十四周岁未成年人个人信息，未制定专门的个人信息处理规则，未取得未成年人父母或其他监护人的同意。教育机构在日常管理、学籍登记、在线教学等活动中大量接触未成年人个人信息，但部分机构在收集使用不满十四周岁未成年人个人信息时，未能依法制定专门的个人信息处理规则，也未取得监护人明确同意，存在严重法律风险。二是教育机构运营的网站、App等过度收集位置、学校、学籍，家长身份证号、联系方式、职业等个人信息。许多教育类App在用户注册和使用过程中，超出提供服务所必需的范围收集用户个人信息，例如在不需要位置信息的场景下强制获取地理位置权限，在不需要通讯录权限的场景下请求访问通讯录。三是校外培训机构向合作的第三方机构提供个人信息，但未向个人信息主体告知合作的第三方机构名称、处理个人信息的目的、方式，未取得个人信息主体同意。校外培训机构在业务运营中往往与第三方技术平台、数据分析机构等合作，但在向第三方提供个人信息时缺乏充分的告知和同意程序。四是教育机构线下场所以及运营的网站、App等使用非人脸识别技术方式可以实现验证家长、学生身份，将人脸识别技术作为唯一验证方式，未落实人脸识别技术应用安全管理相关要求。部分学校将人脸识别技术作为进出校园的唯一验证方式，但在技术能够以非人脸识别方式实现同样验证功能的情况下，这种做法涉嫌过度依赖生物识别信息，增加了个人信息泄露风险。五是教育机构未建立个人信息保护管理制度、未采取有效安全保护措施、存在个人信息泄露风险隐患等。

此外，在全国范围内针对App、SDK违法违规收集使用个人信息的专项治理中，还存在未经用户同意收集使用个人信息，强制用户同意收集非必要个人信息，以及在无关场景收集位置、通讯录、短信等个人信息，超出最低必要频率调用个人信息权限等问题，这些问题同样广泛存在于教育类App中。

违法违规典型案例分析

在教育领域违法违规收集使用个人信息的实践中，各地已经查处和通报了大量典型案例，这些案例从不同角度揭示了问题的严重性和治理的紧迫性。

在国家层面，国家计算机病毒应急处理中心依据《网络安全法》《个人信息保护法》等法律法规，按照2025年个人信息保护系列专项行动的公告要求，持续开展移动应用违法违规收集使用个人信息的检测和通报工作。2025年，国家计算机病毒应急处理中心检测发现70款移动应用存在违法违规收集使用个人信息情况并予以通报，其中涉及《墨墨背单词》《好分数》《开言英语》等多款教育类应用，主要问题包括在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则，隐私政策难以访问，以及隐私政策未逐一列出App收集使用个人信息的目的、方式、范围等。2025年12月，工业和信息化部信息通信管理局发布通报，经组织第三方检测机构进行抽查，共发现麦田认字、小小学英语、失眠管家、高考志愿决策等24款App及SDK存在侵害用户权益行为，要求上述App及SDK按有关规定进行整改，整改落实不到位的将依法依规组织开展相关处置工作。2026年，国家计算机病毒应急处理中心检测发现71款移动应用存在违法违规收集使用个人信息情况，其中涉及E英语宝、考试宝、搭搭校园等教育类应用，问题类型涵盖隐私政策未逐一列出收集使用个人信息的目的、方式、范围等。2026年2月，国家计算机病毒应急处理中心检测发现71款移动应用存在违法违规收集使用个人信息情况，其中中公网校等教育类应用被通报。北京市通信管理局通过抽测发现本市部分移动互联网应用程序存在“违反必要原则收集个人信息”“未明示收集使用个人信息的目的、方式和范围”等侵害用户权益问题，洋葱学园等6款App存在问题，另有2款App予以全网下架处置。2026年3月，浙江省通信管理局组织第三方检测机构对群众关注的学习教育类、实用工具等类型App、小程序进行检查，书面要求违规App、小程序开发运营者限期整改，经核查复检尚有10款App、小程序未按要求完成整改予以通报，其中包括法询金融、超玥国象、路灯花-幼师的家、象棋教程-象棋入门到精通等学习教育类App，主要问题为违规收集个人信息、App强制频繁过度索取权限以及未建立并公布个人信息安全投诉举报渠道等。

在地方执法层面，各地网信部门、教育部门和公安部门联合开展了大量专项执法行动。湖南省网信部门、教育部门等开展的2025年度“亮剑湖湘·民生领域个人信息权益保护”专项执法行动中，怀化市网信部门对一家企业及九所学校违法收集使用人脸等个人信息的行为进行了立案查处。2025年，陕西省商州区检察院接到“益心为公”志愿者举报称，辖区某小学班主任要求家长在微信群共享文档填写个人信息，文档可查看、可编辑，存在明显泄露风险。商州区检察院立即开展初步调查，于2025年4月25日行政公益诉讼立案，并于2025年9月15日依法向负有监管职责的行政机关发出检察建议，明确提出全面排查辖区中小学收集学生及家长个人信息的情况，立即叫停共享文档等不安全的信息收集行为并通过规范方式替代，压实学校与主管部门责任确保个人信息收集合法、必要、安全。该案例随后入选最高人民检察院个人信息保护领域公益诉讼典型案例。2025年，湖南省衡阳市互联网信息办公室接到省办核查通知称湖南工商职业学院微信小程序存在未公开收集使用规则、未明示收集使用个人信息的目的、方式和范围等问题，信息系统存在安全漏洞、泄露个人信息、未建立全流程数据安全管理制度等问题，依法对相关违规行为进行了行政处罚。2025年，四川省都江堰市对一教培机构违法处理公民个人信息的行为进行了查处。2026年，广东省佛山市南海区石英实验学校在开展校园探访活动期间，擅自安排非本校学生参与心理测评与学科考试，并违规收集学生以往成绩排名、班级等个人信息，同时未按规定提前报备开放日活动方案，严重违反了教育行政部门关于“严禁学校以任何形式提前组织招生，包括以校园开放日、冬（夏）令营等名义组织非本校学生到校参加活动，以面试、评测、接收简历等方式变相收集学生个人信息”的明确要求，被予以全区通报批评，按10%的比例核减2026年招生名额。2026年，山东省烟台市公安局福山分局网安大队在“冬季守护”专项行动中，成功破获一起侵犯公民个人信息案，经查群众举报的教培推销电话来自多家小型教培机构，涵盖学科辅导、兴趣培训等领域，推销人员竟能精准说出群众姓名、联系方式，部分还知晓子女年龄、就读年级等细节，线索直指公民个人信息被批量泄露，最终斩断了教培行业非法获取、贩卖、使用公民个人信息的违法链条。此外，新疆公安机关深入推进“净网”专项行动，成功破获多起涉侵犯公民个人信息案件，有力维护了公民个人信息安全和合法权益。

法律依据与合规要求

教育领域违法违规收集使用个人信息的专项治理具有充分的法律依据。在法律层面，《中华人民共和国个人信息保护法》明确规定了个人信息处理的基本原则，要求处理个人信息应当遵循合法、正当、必要和诚信原则，不得通过误导、欺诈、胁迫等方式处理个人信息，处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式，收集个人信息应当限于实现处理目的的最小范围，不得过度收集个人信息。教育机构在处理不满十四周岁未成年人个人信息时，应当取得未成年人的父母或者其他监护人的同意，并制定专门的个人信息处理规则。《中华人民共和国网络安全法》对网络运营者收集、使用个人信息作出了明确规范，要求网络运营者收集、使用个人信息应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意，不得收集与其提供的服务无关的个人信息，不得泄露、篡改、毁损其收集的个人信息，未经被收集者同意不得向他人提供个人信息。《中华人民共和国数据安全法》要求建立数据分类分级保护制度，对数据实行分类分级保护，并对重要数据的处理活动提出更高的安全保护要求。教育部发布的教育行业标准《教育数据分类分级指南》为全国教育系统的数据安全管理提供了统一的操作规范。在部门规章层面，《电信和互联网用户个人信息保护规定》对电信业务经营者和互联网信息服务提供者的个人信息保护义务作出了具体规定。在规范性文件层面，国家互联网信息办公室起草的《互联网应用程序个人信息收集使用规定（征求意见稿）》围绕“最小必要”原则，从首次启动的告知同意、权限索要的触发条件到拒绝后非骚扰机制、后台访问的边界控制、注销后的处理期限以及匿名化处理等要求，均在强化用户选择权和自主权。征求意见稿对高敏权限提出更严格的调用条件，强调无关场景不得调用、停止使用即停止调用等规则，目的就是减少权限滥用和功能捆绑的情况。

在国家网信办启动的未成年人个人信息保护合规审计工作中，明确要求相关个人信息处理者按年度报送未成年人个人信息保护合规审计情况。2026年2月，由国家网信办联合国家新闻出版署、教育部、工信部、公安部等八部门联合印发的《未成年人用户数量巨大和对未成年人群体具有显著影响的网络平台服务提供者认定办法》正式施行，进一步压实了平台在未成年人网络保护方面的主体责任。

治理路径与合规建议

针对教育领域存在的违法违规收集使用个人信息问题，应当从多个层面协同推进治理工作，构建系统完备的个人信息保护体系。

在政策法规层面，应当进一步完善教育领域个人信息保护的法律法规和标准规范体系。教育部已发布《智慧教育平台 个人信息保护通用要求》和《中小学教职工基础数据》两项教育行业标准，并正式发布实施了《教育数据分类分级指南》教育行业标准。在此基础上，应当进一步细化和完善教育领域个人信息保护的技术标准和操作规范，为各类教育机构提供明确的合规指引。同时，应当推动《互联网应用程序个人信息收集使用规定》尽快出台，使运营者能够在清晰边界内开展数据利用与创新实践，让公众在授权与使用中获得更真实的选择权与更可预期的安全感。

在监管执法层面，应当持续加大教育领域违法违规收集使用个人信息行为的查处力度。中央网信办、工业和信息化部、公安部将会同相关部门有序推进系列专项行动中的各项任务，集中整治各类典型违法违规问题，对情节严重、拒不整改的依法从严处理。地方网信部门、教育部门、通信管理部门和公安部门应当建立联合执法机制，形成监管合力，定期开展对教育机构运营的网站、App等平台的合规检查，重点检查过度收集个人信息、未充分告知、违规向第三方提供以及安全防护措施不到位等问题。同时，应当建立健全个人信息安全投诉举报渠道，鼓励公众积极参与监督，及时发现和处理违法违规行为。

在机构合规层面，各类教育机构应当建立完善的个人信息保护管理制度。学校及校外培训机构等教育机构应当根据法律法规要求，制定专门的个人信息处理规则，特别是在处理不满十四周岁未成年人个人信息时，必须取得监护人同意并制定专门规则。教育机构运营的网站、App等平台应当遵循“最小必要”原则，仅收集提供服务所必需的个人信息，不得过度收集位置、学校、学籍、家长身份证号、联系方式、职业等个人信息。在向第三方机构提供个人信息时，必须向个人信息主体充分告知合作方名称、处理目的和方式，并取得明确同意。在技术应用方面，应当审慎使用人脸识别等生物识别技术，在非人脸识别技术方式可以实现验证功能的情况下，不得将人脸识别技术作为唯一验证方式，且必须落实安全管理相关要求。教育机构还应当采取有效的安全保护措施，建立全流程数据安全管理制度，防范个人信息泄露风险。

在技术应用层面，随着人工智能技术在教育教学中的广泛应用，教育机构在使用AI工具和应用时应当更加注重个人信息保护。2026年4月发布的《AI+教育行动计划》明确提出，要加强人工智能教育培训、应用创新、技术研发、安全保障等方面的制度建设，健全人工智能评估备案、技术监测、风险预警、应急响应机制，建立人工智能教育应用的安全防护体系，分类分级确定安全防护标准，建立人工智能教育应用的安全测评标准，一体保障模型算法、数据资源、基础设施、应用系统等安全。教育机构在使用AI教育工具时，应当建立教育大模型安全审核机制，确保生成内容积极健康，并严格规范数据的收集、存储和使用。

长效机制与展望

教育领域个人信息保护是一项长期而系统的工程，需要建立长效治理机制。首先，应当建立健全教育领域个人信息保护的标准体系。在已发布的《智慧教育平台 个人信息保护通用要求》《教育数据分类分级指南》等行业标准基础上，进一步完善教育数据分类分级保护标准、个人信息安全影响评估标准、个人信息安全事件应急响应标准等配套标准，为教育机构提供全流程的合规指引。其次，应当建立健全教育领域个人信息保护的监督评估机制。网信部门、教育部门、公安部门等应当定期对教育机构进行个人信息保护合规审计，将个人信息保护情况纳入教育机构的考核评价体系，对存在严重问题的机构依法予以处罚。再次，应当加强教育机构从业人员的信息安全培训，提升其个人信息保护意识和能力。教育机构的管理者和教职员工应当充分了解个人信息保护的法律法规要求，掌握个人信息收集、使用、存储、传输等环节的安全操作规范，确保在日常工作中能够依法依规处理个人信息。最后，应当加强对学生和家长的个人信息保护宣传教育，提高其个人信息安全意识和风险防范能力，使其能够主动维护自身个人信息权益。

随着数字教育的发展和教育信息化的深入推进，教育领域个人信息保护面临的挑战将更加复杂。教育机构在利用大数据、人工智能等新技术提升教育质量和管理效率的同时，必须始终将个人信息保护放在重要位置，在技术创新与权利保障之间寻求平衡。从信息收集的“最小必要”原则，到存储的加密标准，再到使用的权限控制、共享的合规审查，直至删除的彻底性，每一个环节都需有明确规范与动态监测。教育、医疗等敏感领域更应建立专项数据保护标准，防止“高价值数据”成为泄露重灾区。只有在法治框架下规范教育领域个人信息的收集使用活动，才能真正实现教育信息化与个人信息安全的协调发展，让广大师生和家长在享受数字教育便利的同时，其个人信息权益得到充分保障。

数据安全建设方案（PPTX）加入星球获取

扫码下载全部

数据安全、个人信息保护

PPT 制度 政策 标准 报告 白皮书

加入数据安全群

数据安全证书

■

责编：梓玥

审核：晓洁2

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：数字安全助手 数字安全助手 数字安全助手《教育领域违法违规收集使用个人信息专项治理》