2026-05-11 05:57:51 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 《教育数据分类分级指南》(JY/T0661-2025)于2026年2月18日实施，为教育数据建立分类分级体系。核心采用‘分类+分级’两步法：数据先按归属部门分为4-6类，再根据泄露后对国家安全、公共利益、个人权益的危害程度划分为L1-L5五级，并明确以个人信息数量阈值作为量化定级标准。指南要求学校遵循‘就高从严’原则，通过摸清家底、分类分级、编制目录、报批备案、动态更新五步流程落实合规，影响教育行政部门、各类学校及教育信息化服务商，强调制度管理优先于技术手段，推动教育数据精细化管理。 综合评分： 85 文章分类： 数据安全,政策法规,安全建设,应用安全,网络安全

来说明权限问题）。

后来有个学生的隐私莫名其妙跑到了校外（不然你以为教培机构哪来的联系人信息，还不是花钱买的，行业潜规则罢了），某个家长炸了锅，直接把学校举报了。教育局上门就问老王：“你们对学生信息做了保护措施吗？知不知道这东西很重要？”

老王直接傻眼😵：啥？这玩意儿还分个三六九等？现在不少学校就这样，数据随手扔，没人管也没人疼。但这套裸奔的日子，马上就要到头了🛑。

《📖指南》来了：教育数据有”身份证”了

2025年12月，教育部正式发布了一本”武功秘籍”——《教育数据分类分级指南》（标准号JY/T 0661-2025），2026年2月18日起正式实施。

这本秘籍的核心任务就一个：给教育领域的数据定规⚖️矩。怎么定？分两步走：

第一步：分类，看看这个数据是什么”👤人”

就好比学校里有人、有桌子、有课本，教育数据也得先认认脸，教育行政部门的数据，分成四大📊类：

学校的数据，分成六大📊类：

第二步：分级——看看这个数据有多重📏要

光分类还不够，还得看”级别”，《指南》设计了一套五级体系：L5⛔是核心数据、L4🔴是重要数据、L3🟠是一般数据（较高）、L2🟡是一般数据（较低）、L1🟢是一般数据（最低）。

分级依据是 ⚖️：数据遭到泄露、篡改、破坏、非法使用后，对以下影响对象造成的危害程度：

国家安全🇨🇳&nbsp;经济运行💰&nbsp;社会秩序🏛️公共利益🤝&nbsp;组织权益 / 个人权益👥

打个比💡方：

L5⛔核心数据=&nbsp;可能对国家安全造成特别严重或严重危害的数据；L4🔴重要数据=&nbsp;可能对国家安全造成一般危害，或对经济运行/社会秩序/公共利益造成严重危害的数据；L3🟠一般数据=&nbsp;可能对公共利益造成一般危害，或对组织/个人权益造成特别严重危害的数据；L2🟡一般数据=&nbsp;可能对组织/个人权益造成严重危害的数据；L1🟢一般数据=&nbsp;可能对组织/个人权益造成一般危害的数据。

怎么判断一个数据是哪个级别❓ 数字说话！这是最核心的问题。《指南》给了具体的”数字门槛”：

个人信息数量阈值🧑‍💻：

| | | | | — | — | — | | 级别 | 个人信息规模 | 敏感个人信息规模 | | L5 ⛔核心数据 | 1.1亿人以上 | 1000万人以上 | | L4🔴 重要数据 | 1000万~1.1亿人 | 100万~1000万人 | | L3 🟠一般数据（较高） | 100万~1000万人 | 10万~100万人 | | L2 🟡一般数据（较低） | 10万~100万人 | 1万~10万人 | | L1🟢 一般数据（最低） | 10万人以下 | 1万人以下 |

什么是敏感个人信息？ 《指南》明确指出，未满十四👶周岁未成年人的个人信息属于敏感个人信息。此外，🆔 身份证号、💳银行卡号、🏥健康档案、🙏宗教信仰、👁️ 生物识别等也都属于敏感个人信息。

📍按覆盖范围和机构类型判断，教育行政部门的数据：

| | | | | | — | — | — | — | | 数据类别 | 全国范围 | 省级范围 | 地市区县级范围 | | 教育基础数据 | L4 | L4 | L3 | | 教育业务管理数据 | L5 | L4 | L3 | | 教育行政管理数据 | L4 | L4 | L3 | | 其他数据 | L3 | L3 | L2 |

学校的数据（高等学校）：

| | | | — | — | | 数据类别 | 定级 | | 学生数据 | L2 | | 教职工数据 | L2 | | 教学管理数据 | L2 | | 科研管理数据 | L2 | | 校务管理数据 | L1 |

学校的数据（其他类学校：中职、中小学、幼儿园）：

| | | | — | — | | 数据类别 | 定级 | | 学生数据 | L2 | | 教职工数据 | L2 | | 教学管理数据 | L2 | | 科研管理数据 | L2 | | 校务管理数据 | L1 |

⚠️ 终极原则：就高从严；当定性（覆盖范围）和定量（人数规模）两把尺子量出来不一样怎么办？

《指南》的答案是：取高的那个；这就是”就高从严原则”，宁可多保护一层，也不能漏掉一个。

#

📝实操案例：

两个学校的”定级考试”，光看理论不过瘾，咱们来做两道应用题。

📘题目一：某省中小学学籍信息

数据内容：全省中小学学生的姓名、性别、学籍号、民族、出生日期、籍贯、政治面貌、户口所在地等，大约1000万人，其中大部分是十四岁以下未成年人。

解题过程：

第一步分类：这是教育基础数据—人员基础数据第二步定性（覆盖范围）：省级 → L4重要数据第三步定量（人数规模）：👥1000万人个人信息 + 大规模未成年人敏感个人信息 → 触达L5阈值第四步取最高：L4 vs L5 → 最终定级：L5核心数据🚨

答案：这道题得✅满分，必须按最严标准保护。

📘题目二：某高校本科生基本信息

数据内容：学校3万名本科生的学号、姓名、性别、身份证号、学院、专业、出生日期、民族、政治面貌等。

解题过程：

1️⃣第一步分类：这是学生数据—学生基础数据2️⃣第二步定性（覆盖范围）：高等学校全校范围 → L3一般数据3️⃣第三步定量（人数规模）：3万个人信息，低于L2阈值 → L2或以下4️⃣第四步取最高：L3 vs L2 → 最终定级：L3一般数据（⚠️较高）

答案：这道题得👍良好，虽然人数不多，但高校学生数据起步就是L3，不能掉以轻心。

📘题目三：某县幼儿园学生信息

数据内容：某县幼儿园500名幼儿的姓名、出生日期、家长联系方式、健康信息等。

解题过程：

1️⃣第一步分类：这是学生数据—学生基础数据2️⃣第二步定性（覆盖范围）：其他类学校全校范围 → L23️⃣第三步定量（人数规模）：500人，远低于L2阈值；但含有未成年人健康信息等敏感数据4️⃣第四步取最高：最终定级：L2一般数据（较低）

答案：虽然是🧸幼儿园，但规模较小，最终定级为L2。但注意：健康信息属于敏感个人信息，在实际管理中要特别注意保护。

🏫学校该怎么做？

别急，五步走，面对《指南》，很多学校可能一脸😵茫然：这么多数据，我该从哪下手？别慌，《指南》给了一个五步闭环流程：

🔍第一步：摸清家底

先把学校有哪些数据梳理一遍。可以用表格列出来：数据名称、存储位置、包含内容、产生部门、谁在用。

这一步最笨但最有效的方法是：让各部门自己🗣️报。 让教务处、财务处、后勤处、德育处各自把本部门的数据报上来，拼在一起就是”学校数据全景图”。

🏷️第二步：分类分级

有了清单之后，按照《指南》的分类规则给数据贴标签——这是学生数据、那是教职工数据、这是教学管理数据……

然后再按照分级规则定级别——这个是L4重要数据，那个是L3一般数据……

记得”就高从严”原则！

📚第三步：编制目录

把分类分级的结果整理成册，形成《学校数据分类分级目录》。

📤第四步：报批备案

这是关键一步，不同级别的数据走不同的审批流程：

一般数据（L1-L3）目录：学校自己管，报上级教育主管部门备案就行📁重要数据（L4）目录：要报送教育部审批，教育部会组织专家统一评审📋核心数据（L5）目录：教育部提出建议，报国家数据安全工作协调机制办公室确定🚨

🔄第五步：动态更新

数据不是一次性定级就完事了。《指南》特别强调”动态更新”原则：当数据业务属性、使用场景、公开范围等发生变化时，必须重新开展分类分级🔄。****

比如，学校新上线了一个学生心理健康监测系统🧠，里面包含学生的心理评估记录，那这套数据就得重新走一遍分类分级流程，因为它可能比原来的学生数据更敏感。

这件事对谁影响最大👥？

👤第一类：各级教育行政部门

省厅、市局、区县教育局，手里掌握着区域性的大规模教育数据。《指南》一出，全国级数据可能是L5，省级数据可能是L4。

以前”粗放式”管理不行了，得把数据安全当成头等大事来抓。

👤第二类：各类学校

不管是大学还是中小学，只要涉及学生和教职工个人信息，都得按照《指南》来。

📌特别注意：

🎓高等学校的学生数据起步就是L3🎒中小学/幼儿园的学生数据起步是L2⚠️涉及未成年人的敏感数据要格外小心

#

👤第三类：教育信息化服务商💻

做智慧校园、教育SaaS、教育大数据产品的公司要注意了：你们的客户（学校和教育部门）现在有了合规要求，你们的产品也得跟着升级。

数据怎么存、怎么加密、怎么访问控制、怎么审计日志——都得符合《指南》的要求。

#

👤第四类：教育培训机构📚

虽然《指南》主要针对的学校和教育行政部门，但培训机构手里的学生数据也不少。道理是相通的，建议也按照这个框架💡来。

合规路上，有几个坑要避开🚧

坑一：把分类和分级搞混❌

分类是回答”这是什么数据”，分级是回答”这个数据有多重要”，很多学校一上来就问”学生成绩是L几”，但其实要看具体情况：

成绩单本身 → 可能是L2或L3成绩单上有学生身份证号 → 可能升级全省中考成绩（1000万人）→ 可能是L4或L5

所以要先分类、再分级，分开两步🚶‍♂️走。

坑二：以为一次性做好就万事大⏳吉

数据是会”变🔄”的。一套数据今年是L3，明年业务升级了、场景扩展了，可能就变成L4了，《指南》特别强调”动态更新”，要建立定期复核机制，至少每年📅review一次。

坑三：重技术轻管理🛡️

很多学校觉得数据安全就是买防火墙、买加密软件💻。但《指南》强调的是制度和管理，谁有权访问数据、数据怎么流转、出了事故怎么处置。

技术只是工具，制度才是根本，执行最困难。🏗️

结语

如果我们把眼光放远一点，你会发现这个《指南》不是孤零零的文件，它是现在”分门别类管数据”这个大潮流里的一块重要拼图。🧩

早在 2021年，国家就立了个规矩（也就是《数据安全法》），核心意思就一条：数据不能一锅炖，得分级分类对待。 ⚖️

到了 2024年，国家又发了本”通用字典”（国标 GB/T 43697），教大家怎么给数据贴标签。但这本字典说的是“普通话”，各行各业的情况不一样，还得说自己的“方言”才行。🗣️

那教育行业有啥特殊的呢？👉 未成年人多 🧒、隐私敏感信息多 🔍、牵扯面特别广、社会关注度极高 💥。这就决定了：学校不能照搬银行或者工厂的那套办法，得有自己的“独家秘笈”。这本《指南》，就是在这个“量身定做”的时代背景下出炉的。🔍

往后看，这股风肯定会刮到各个角落：

🏥 医院要有医疗数据的护身符、💰 银行要有金融数据的防火墙、🏭 工厂要有工业数据的保险箱……

每个行业兜里都有点不想被人知道的“老底”，也都得赶紧给自己配上一本保命的“武功秘籍”了。📖

回到开头那个故事；后来，那个大学的校长老王，在教育局的督促下，花了6个月时间，把学校的数据全部梳理了一遍、分类分级了一遍、建立了制度流程了一遍。

小李老师也被安排去参加了一次数据安全培训，回来之后感慨：没想到啊，管数据比管学生还复杂😅。

老王笑了笑：数据也是学生嘛，只是不会叫家长😏。

当然，这只是玩笑，真正的情况是：数据不会叫家长，但数据会”泄密”。与其等到泄密之后手忙脚乱🏃‍♂️，不如现在就把分类分级搞起来。毕竟，教育数据的安全，不是选择题，是必✅答题。《教育数据分类分级指南》后台回复008就好自行获取。

深圳

注释：如有失误，望批评指正！

后面会写下Windows和liunx的应急响应技巧、容器、还有一些网络安全、数据安全。

后台输入“Windows应急响应手册、linux应急响应手册、数据安全政策、数据安全治理、电力、工业、金融、0731、0830、0911、2026、007”有相关资料可供下载！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：老登的安全观 iconic iconic《教育数据分类分级指南落地：数据合规的”行业精细化”时代来了》