教育人工智能应用场景的数据合规要点

随着教育数字化转型持续深化，人工智能技术已从辅助工具演进为驱动教育模式变革的核心支撑，在智慧教学、个性化学习、师生发展评价等典型应用场景中广泛落地。2025年的12月24日，广东省教育厅发布《广东省基础教育人工智能全域场景应用指南》（下称《指南》），将教育人工智能应用场域划分为人工智能基础设施建设、人工智能赋能教与学、人工智能赋能学生成长及人工智能赋能教师专业发展四大类型，并在四大场域下细化课程、教学、学习、评价、教师研修等多维场景，针对不同场景推荐人工智能平台及工具。

上述典型应用场景的实现离不开大量学生个人信息的搜集、传输、使用等处理行为。相较于一般商业场景，教育人工智能未成年用户占比高、用户心智不成熟，且涉及信息敏感性高、存储使用周期长，如信息泄露或处理不当可能造成更严重的影响。因此，教育人工智能所涉及的数据采集边界、授权同意有效性、未满14岁未成年人信息及其他敏感信息的特殊处理、数据出境等重点环节面临更严格的合规检视。本文基于教育领域几类典型应用场景，对所涉数据合规要点予以分析提示。

一、教育人工智能典型应用场景

（一）人工智能+教与学

《指南》提出将人工智能技术融入知识图谱、虚拟实验、个性化助教、成长画像等教育教学场景，对传统课程及评价体系进行革新。例如，通过人工智能技术提升课堂呈现效果，智能分析学生课堂表现、作业、测评等全周期数据并生成画像，个性化诊断学习情况并针对性推送资源、制定提升任务，在口语、编程、实验操作等场景中充当“AI陪练”，对学生个人、小组、班级等进行综合智能评价等。

人工智能技术的引入能显著弥补传统教学个性化不足的弱点，学生画像的精准刻画可能有赖于对学生年龄、学习记录、行为偏好、测评表现等数据的收集分析。如学校、培训机构将人工智能工具与校园管理、教学管理深度结合，可能还涉及学生身份信息、生物识别信息、监护人信息等的收集使用。

（二）人工智能+学生成长发展

《指南》提出通过人工智能辅助学生在“德、智、体、美、劳”五大维度的成长发展，包括通过把考试、作业、日常承诺等量化形成“诚信画像”，通过虚拟德育体验场景提升学生道德判断力，监测学生运动数据并定制锻炼方案，提供智能创作工具协助美学创造等。

为促使以上场景落地，相关应用平台可能需收集学生行为交互数据（如德育场景中的偏好选择）、健康数据（身高、体脂率、疾病史等）、运动行为数据（运动成绩、动作姿态等）、文学艺术创作作品等。

（三）人工智能+教师专业发展

《指南》提出建设智慧教研及个性化研修体系，包括利用人工智能技术测评教学效果，构建教师专业能力可视化图谱，通过推送适配的研修课程、教学案例、技能训练资源支持教师自主开展针对性研修等。

上述功能的实现需要基于对教师专业背景信息（教龄、学历、科研论文等）、教学实践成果（教研获奖情况、教学案例等）、师生互动行为等数据的收集与分析。

二、教育人工智能典型应用场景的数据合规要点

（一）涉及敏感个人信息的处理

身份信息、生物识别信息、医疗健康信息、不满十四周岁未成年人的个人信息均为敏感个人信息。根据《个人信息保护法》第二十八条规定，“敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。”

为提供个性化助学服务，教育人工智能工具可能需要收集分析多项敏感个人信息。例如，为不满十四周岁学生提供服务时收集其测评成绩、所处年级及地区等信息，为确保监护人同意而收集监护人的联系方式，在特定使用情境下（如进行学时认证时）收集学生用户的姓名、证件号码、学籍号等身份信息，以及提供智能体育服务时收集体质测试结果等。处理此类敏感个人信息应关注的合规要求包括：

1. 严格限制信息搜集范围，在使用信息目的范围内遵循“最小必要”原则；

2. 应取得个人单独同意，对于不满十四周岁未成年人个人信息，还应取得其父母或其他监护人的同意；

3. 对于不满十四周岁未成年人的个人信息，应制定专门的信息处理规则及用户协议，并指定专人负责十四周岁以下未成年人的个人信息保护；

4. 向用户收集敏感个人信息时，向其告知处理敏感个人信息的必要性以及对个人权益的影响，并告知平台就该部分信息采取的信息处理及保护政策；

5. 进行个人信息保护影响评估，相关评估报告和处理情况记录应当至少保存三年。

（二）其他个人信息的处理

教育人工智能工具提供者可能需要通过收集个人信息以实现个性化推送，或用于大模型训练以提升决策能力。处理匿名化、去标识化的信息不属于《个人信息保护法》所界定的“个人信息”范畴；而对于具有可识别性的个人信息，除必要个人信息外，其他个人信息处理均应取得个人同意。

必要个人信息的范围根据相关工具提供的服务功能确定，根据《常见类型移动互联网应用程序必要个人信息范围规定》，学习教育类APP“基本服务功能为‘在线辅导、网络课堂等’，必要个人信息为：注册用户移动电话号码”。此外，教育人工智能工具提供者一般会在隐私政策中提示用户各产品模块下为实现基本服务功能而需收集的个人信息，例如“讯飞E听说教师”在隐私政策中告知，当教师用户需要使用创建班级、布置作业等服务时，需提供所在学校及学段信息，否则无法使用对应功能。

我们建议，除用户移动电话号码外，教育人工智能工具提供者在收集其余个人信息前应当以合适方式告知用户信息收集的具体目的和使用范围，向其提供隐私政策说明，并取得用户同意。

（三）数据共享及信息出境

1. 向第三方提供个人信息

向第三方提供所收集的个人信息应取得的当事人同意。根据《个人信息保护法》第二十三条，“个人信息处理者向其他个人信息处理者提供其处理的个人信息的，应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的，应当依照本法规定重新取得个人同意。”实践中，人工智能工具提供方一般会预先在隐私政策中披露可能涉及的向合作方提供数据的情形、合作方名单及所采取的保障措施等，且在后续会根据用户开启的具体模块功能提供对应的数据提供说明及同意选项。

2. 境内个人信息出境

法律法规并未禁止向境外传输境内个人信息，跨境信息传输者需根据出境信息是否包括重要数据、敏感个人信息及信息数量等判断应履行的合规程序。其应关注如下合规要点：

（1）将境外接收方的信息告知个人信息提供者并取得其同意；

（2）进行个人信息保护影响评估，并对处理情况进行记录；

（3）与境外接收方订立个人信息出境标准合同或通过个人信息保护认证，视情况申报数据出境安全评估。

根据《促进和规范数据跨境流动规定》第五条至第八条规定，总结如下：

（四）训练数据质量及算法歧视问题

如用于训练的数据质量参差不齐，有可能导致大模型生成毒害内容、价值观偏差内容及不可靠内容。除此以外，因算法所用训练数据可能存在不完整、带有偏见标签等问题，自动化决策存在算法歧视的风险。基于学生的学习进度及测评情况，利用大模型为其定制学习路径、推送课程及练习、个性化助学助研，一方面有利于因材施教、分层教学，另一方面因算法自身局限性可能导致潜在的不公平，例如因不对称的数据标注和特征提取可能导致算法推荐结果带有地区及群体偏见，部分特殊群体因训练数据中样本缺失导致算法推荐结果未能充分考虑其特殊需求，算法可能将优质资源集中向少数进度领先的学生推送等。

《个人信息保护法》第二十四条第一、二款规定，“个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。通过自动化决策方式向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式。”

因此，教育人工智能领域工具的提供方应当承担数据治理义务，用于大模型训练的数据应严格清洗，禁止设置歧视性标签，定期评估算法歧视风险、及时修正偏见，并为使用者提供非基于其个人特征的资源推送选项。

（五）使用人工智能对学生、教师行为进行评价的限制

人工智能用于学生及教师评价领域，虽能弥补传统模式下评价主观性强、标准不一致等问题，但也可能因算法的局限性引发新的问题。例如，通过学生的日常及在虚拟德育场景的表现进行德育评价，可能会不当地为部分学生打上负面标签。算法生成的评价如未进行人工干预而向学生披露，可能会产生不利于学生成长发展的心理暗示。

《个人信息保护法》第二十四条第三款规定，“通过自动化决策方式作出对个人权益有重大影响的决定，个人有权要求个人信息处理者予以说明，并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。”因此，应限制使用人工智能进行评价的情形，可在量化标准较充足的领域谨慎引入人工智能辅助评价，在评优、升学、选拔、晋升等对当事人权益有较大影响的领域不能直接根据人工智能的评价结果作出决定。

三、对于不同身份主体的合规建议

（一）教育人工智能工具的提供方——科技服务商

1. 告知与获得同意

除法定例外情况，处理个人信息前应获得明示同意；如委托第三方处理个人信息，应再次取得同意，并签署委托处理合同。用户拒绝提供非必要个人信息的，应提供“基础版”服务。

2.  对敏感个人信息的特殊保护措施

处理敏感个人信息应说明必要性并获得单独同意，处理不满十四周岁未成年人个人信息应当取得监护人的同意。工作人员访问未满十四周岁未成年人个人信息应经审批并予以记录。

3. 个人信息保护影响评估、合规审计

定期开展合规审计，具有处理敏感个人信息、利用个人信息自动化决策、个人信息出境等情形的应事先进行个人信息保护影响评估。如被认定为未成年人用户数量巨大或者对未成年人群体具有显著影响的网络平台服务提供者¹，需定期开展未成年人网络保护影响评估。

4. 数据留存期限

除另有规定的，个人信息的保存期限应当为实现处理目的所必要的最短时间。

（二）教育人工智能工具的运营方及使用方——学校、培训机构

学校、培训机构可能委托科技服务商根据其个性化的需求、所掌握的课程资源及教育数据针对性开发教育人工智能工具，以供特定学校、培训机构的学生使用。此时，学校、培训机构不仅是教育人工智能工具的使用方，也是实际运营方、数据处理者。

1. 教育数据分级分类保护

对数据资产进行全面梳理、分类分级管理，核心和重要数据目录报教育部审批，一般目录报上一级教育主管部门备案。

2. 向科技服务商提供学生、教师个人信息需获得事先同意

学校、培训机构向第三方提供师生个人信息，需事先获得信息主体或其监护人明示同意。

3. 限制使用场景，强化教师职责

建立人工智能进校准入机制，根据学生学段特点对人工智能在教学场景的应用进行限制，教师应承担监督与指导学生使用人工智能的职责。

4. 开展未成年人个人信息保护合规审计

涉及处理未成年人个人信息的，应当于每年1月底前，向所在地设区的市级网信部门报送上一年度未成年人个人信息保护合规审计情况。

5. 数据出境需满足合规要求

向境外提供或用境外大模型处理师生个人信息，达到法定出境规模情形需进行出境安全评估；未达门槛则需签署标准合同并备案，同步开展个人信息保护影响评估。

1.认定标准及程序根据《未成年人用户数量巨大和对未成年人群体具有显著影响的网络平台服务提供者认定办法》相关规定

声 明

《君合法律评论》所刊登的文章仅代表作者本人观点，不得视为君合律师事务所或其律师出具的正式法律意见或建议。如需转载或引用该等文章的任何内容，请注明出处。未经本所书面同意，不得转载或使用该等文章中包含的任何图片或影像。如您有意就相关议题进一步交流或探讨，欢迎与本所联系。