第一章 总则

第一条 根据《教育部等八部门关于引导规范教育移动互联网应用有序健康发展的意见》（教技函〔2019〕55号）和《教育部办公厅关于印发教育移动互联网应用程序备案管理办法》（教技厅〔2019〕3号）及相关专项治理行动文件精神，为规范学校教育移动互联网应用（以下简称教育移动应用）管理，特制定本制度。

第二条 本办法所指的教育移动应用是以教职工、学生为主要用户，以教育、学习为主要应用场景，服务于学校教学与管理、学生学习与生活等方面的互联网移动应用程序。包括：学校自研自用、自主开发、自主选用和上级部门要求使用的App、小程序、公众号等移动应用。

第三条 严格落实主体责任。各单位应按照“谁主管谁负责、谁开发谁负责、谁选用谁负责”的原则，建立健全教育移动应用管理责任体系，将移动应用统一纳入学校教育信息化工作予以管理。

第二章 责任划分

第四条 学校网络安全和信息化领导小组是教育移动应用重大事项的领导决策机构，负责对涉及统一使用和大范围采集个人信息，采集或使用人脸、虹膜等生物信息等教育移动应用的重大事项进行决策。

第五条 学校信息化办公室是教育移动应用相关工作的归口管理部门，负责教育移动应用的统筹规划、应用备案管理和一般事项的审核工作；负责提供移动应用整合方案和日常管理。

第六条 学校各单位对教育移动应用的选用或开发负有主体责任，应严格落实论证、备案等相关工作。

第三章 管理规范

第七条 建立教育移动应用的决策机制。各单位选用或开发教育移动应用，应开展合理性和科学性论证后，报学校信息化办公室审核、测评、备案；涉及大范围采集个人信息、生物信息等重大事项，除关系到国家安全、社会稳定、学校和师生的人身安全以外，应在履行立项流程和审核程序的原有基础上充分征求师生用户群体的意见，并经学校网络安全和信息化领导小组审定同意后方能实施。同时，大范围采集个人信息的教育移动应用要通过移动应用个人信息安全认证（即获得中央网信办的App安全认证号）。

第八条 建立教育移动应用论证制度。各单位规划自行开发或选用的教育移动应用前，应经由信息化办公室组织立项、审核、论证通过后再进行开发或选用工作。对于要求统一使用和大范围采集个人信息的教育移动应用，应在决策制度要求的基础上组织科学性、伦理性、安全性等多个方面的论证。

第九条 建立教育移动应用选用制度。选用教育移动应用时应在国家数字教育资源公共体系（网址：http://app.eduyun.cn，以下简称公共服务体系）中选择，不得选用未完成提供者备案的教育移动应用。教育移动应用未经学校批准，不得要求学生使用。选用教育移动应用应填写《北京语言大学教育移动应用申请表》（附件1）和《北京语言大学教育移动应用使用者备案信息表》（附件2）。

第十条 建立教育移动应用开发制度。公共服务体系中没有符合条件的移动应用，且现有移动应用半年内难以满足需求时，可以进行自主开发。各单位开发教育移动应用前应提供《北京语言大学教育移动应用申请表》、《北京语言大学教育移动应用使用者备案信息表》和《北京语言大学教育移动应用提供者备案信息表》（附件3）给信息化办公室予以审核、立项。各单位内设机构及下属部门不得擅自开发未经审核、立项的教育移动应用。教育移动应用的开发应符合国家、教育部、行业、学校等制定的相关标准和制度，开发完成后必须通过等保测评和安全评估后方可上线。

第十一条 推进教育移动应用整合共享。学校严格控制教育移动应用的数量，统筹规划App、小程序、公众号等应用。各单位在选用或开发教育移动应用时，应向信息化办公室数据中心提供全量数据接口以及数据库详细文档（包括表名、字段含义、表间关系等）,同时应满足《北京语言大学信息编码标准》要求，所有教育移动应用使用的个人基本信息应从数据中心基础数据库中共享获取，不得向用户重复采集。

第十二条 建立移动应用退出机制。超过半年未更新的移动应用予以整合、关停。建立教育移动白名单制度，每年更新移动应用名录。

第十三条 落实教育移动应用备案制度。学校使用的教育移动应用均应进行使用者备案，填写《北京语言大学教育移动应用使用者备案信息表》；本单位开发的移动应用还应提交提供者备案信息，填写《北京语言大学教育移动应用提供者备案信息表》；相关备案工作由学校信息化办公室负责指导或填报。

各单位备案信息发生变化的，应在7个工作日内报学校信息化办公室。 

第十四条 学校将移动应用备案情况纳入网络安全责任制等相关考核评价，定期开展教育移动应用安全检测；对发现的教育移动应用高危漏洞、越权获取信息等问题限期整改,对于未按期完成整改工作的单位和个人给予批评追责。

第四章 用户信息安全

第十五条 各单位自行开发或选用的教育移动应用，应用提供者必须履行下列信息保护义务：

（一）对教育移动应用运营过程中的数据严格保密，建立健全用户信息保护制度；

（二）不得违反法律、行政法规的规定，以及与选用方或用户的约定，收集、使用和处理其保存的个人信息；

（三）不得泄露、篡改、毁损平台上的个人信息；未经用户同意，不得向任何组织或个人提供用户个人信息。但下述二种情形除外：第一、经过处理无法识别特定个人且不能复原的；第二、根据法律、法规和规范性文件的强制性规定，或应司法或行政机关要求提供用户个人信息的。

（四）应当采取技术措施和其他必要措施，确保平台上的个人信息安全，防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，并按照规定及时告知用户、选用方和向有关主管部门报告；

（五）若发现被选用的教育移动应用不当收集、使用用户信息或业务信息，或者发现收集、存储的相关信息有错误的，学校有权要求乙方予以删除或更正，应用提供者应予立即删除或更正。

第五章 附则

第十六条 本办法自发布之日起执行。

第十七条 本办法由信息化办公室负责解释。

信息化办公室

2020年6月