教育领域个人信息保护合规治理的典型案例观察

一、前言

2026年4月2日，中央网信办、工信部、公安部联合发布《关于开展2026年个人信息保护系列专项行动的公告》¹（下称“《专项行动公告》”），其中明确将互联网广告、教育、交通、卫生健康、金融列为重点领域，着力治理违法违规收集使用个人信息行为。此次专项行动对象覆盖学校（高等教育学校、高中阶段学校、义务教育阶段学校、幼儿园等）以及校外培训机构。《专项行动公告》的发布，既彰显了国家对教育领域个人信息保护的高度重视，也反映出当前教育领域个人信息保护违法违规问题的普遍性与严重性。学校等教育机构收集处理的个人信息数量巨大且内容敏感，近年来，多地频频曝光了教育机构在个人信息方面违法违规的案例，教育机构采取合规治理措施已是刻不容缓。我们将在下文对这些典型案件分类梳理，为教育机构加强和完善个人信息保护提供参考。

二、教育机构违法违规收集使用个人信息的典型情形

教育机构作为个人信息处理者的义务有多个层面，其中核心的方面包括：（1）告知同意义务，解决处理行为的合法性来源；（2）目的限制与最小必要义务，限定处理行为的范围边界；（3）安全保障义务，确保处理全过程的风险可控。前述三方面均属于教育机构应予重点关注的方面，一旦违反，均将面临民事、行政乃至刑事风险。

（一）非法收集型——违反“告知—同意”与“最小必要”原则

《个人信息保护法》第十三条和第十七条规定，个人信息处理者在处理个人信息前，应当履行告知义务并取得个人同意。第二十八条和三十一条进一步规定，不满十四周岁未成年人个人信息为敏感个人信息，要求处理时必须具有特定目的和充分必要性，并取得其父母或其他监护人同意。然而，大量教育机构忽视了该等信息收集环节的法律法规要求，例如：2025年都江堰某教培机构通过线下地推等方式违法收集公民个人信息，警方现场搜出十余本记录未成年人及家长个人信息的笔记本，该机构随后被公安机关处以行政处罚²。

《个人信息保护法》第六条规定了“最小必要”原则，即处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式且限于实现处理目的的最小范围，不得过度收集。相比未经同意收集个人信息，过度收集而违反“最小必要”原则的违法违规情形更为隐蔽。早在2022年，教育部办公厅《关于进一步做好普通中小学招生入学工作的通知》（教基厅〔2022〕1号）中已强调中小学生入学登记按照材料非必要不提供、信息非必要不采集原则，严禁采集学生家长职务和收入信息，不得利用各类App、小程序随意反复采集学生相关信息。2025年8月28日，最高人民法院发布指导性案例265号“罗某诉某科技有限公司隐私权、个人信息保护纠纷案”，对于此类行为的认定具有典型意义。该案中，被告某在线教育软件在软件注册阶段强制要求用户填写“职业”“学习目的”“学龄阶段”“英语水平”等内容，未设置“跳过”或“拒绝”选项，亦无授权同意提示。被告抗辩称，收集上述信息是为“履行合同所必需”，构成无需取得个人同意的法定例外情形。但法院认定，收集用户画像信息并非“履行合同所必需”，因为学习教育类App的基本功能服务为“在线辅导、网络课堂”，其必要个人信息仅为注册用户的移动电话号码，用户画像信息不在此列。该案确立了“履行合同所必需”的严格认定标准，对教育机构合规收集个人信息具有重要指引意义。2025年12月，工信部通报24款存在侵害用户权益行为的App及SDK，其中多款涉教育类App被点名，涉及违规收集个人信息、超范围索取权限等问题³。

（二）非法使用型——违反目的限制原则

教育机构基于特定教育目的合法收集的学生及家长个人信息，一旦用于与原收集目的无关的场景，将违反目的限制原则。

《个人信息保护法》第二十三条规定，向第三方提供信息须取得其单独同意，即针对对外提供这一特定行为取得专门、明确的同意，而不能以初次收集时的概括同意替代。根据湖南省网信办、省教育厅等部门开展的2025年度“亮剑湖湘·民生领域个人信息权益保护”专项执法行动工作部署，2025年9月湖南省怀化市网信部门对一家企业及九所学校违法收集使用人脸等个人信息的行为进行立案查处，九所学校在使用某云科技公司开发的“智慧校园系统”时，将学生姓名、人脸图像、家长联系方式等数据，在未经本人及监护人同意的情况下违规提供给该公司，网信部门依据《个人信息保护法》对九所学校处以警告，责令撤回相关个人信息⁴。

除民事和行政风险之外，对于非法出售、交换、购买信息的行为，情节严重者还将触犯《刑法》第二百五十三条之一规定的侵犯公民个人信息罪。其中交换信息并不以获利作为入罪条件，例如，在江苏省南京市某法院公布的典型案例中，两名教培机构员工为实现“客源共享”，通过微信互相传送客户信息2.2万余条用于招生，即便未直接获利，法院依然认定其构成侵犯公民个人信息罪，对交换信息的二人分别判处有期徒刑一年二个月和一年（缓刑）⁵。

（三）未履行安全保障义务型

收集发生在个人信息处理的前端，使用涉及个人信息收集之后的处理环节，而安全保障义务则贯穿信息存储和管理的全过程，这对教育机构提出了更高的要求。尤其是，个人信息依托于数据的载体形式，因此教育机构个人信息保护与数据安全问题密不可分。

一方面，教育机构自身必须采取合理技术措施、建立内部制度以防范个人信息/数据泄露、篡改、丢失风险。我国现已有多部法律法规提出了采取技术措施、建立内部制度保护个人信息/数据安全的义务：（1）《个人信息保护法》第五十一条要求个人信息处理者采取加密、去标识化、访问控制、制定内部管理制度和操作规程等措施防止信息泄露、篡改、丢失；（2）《数据安全法》第二十七条要求数据处理者采取技术措施、建立健全全流程数据安全管理制度并组织开展安全教育培训防范数据泄露等风险；（3）《网络安全法》第二十三条要求网络运营者按照等级保护制度采取防范网络攻击的技术措施。教育机构必须遵循这些法律法规立体要求。否则，若教育机构未能遵循前述法律法规，一旦事发，将造成不可估量的后果。2025年9月，衡阳市网信部门发现该学院微信小程序存在未公开收集使用规则、信息系统安全漏洞，且未建立健全全流程数据安全管理制度，未采取相应技术措施。经核查，该小程序存在敏感信息泄露漏洞，有通过接口泄露322条个人信息的风险。衡阳市网信办依据《数据安全法》和《湖南省网络安全和信息化条例》对该学院作出警告行政处罚。⁶

另一方面，教育机构若受限于技术措施的要求而转向委托第三方处理个人信息，也不能做“甩手掌柜”，而必须对受托方进行有效监督。《个人信息保护法》第二十一条规定，委托处理个人信息应当与受托人约定处理目的、期限、处理方式、信息种类、保护措施等，并对受托人的处理活动进行监督；第五十五条规定，委托处理须事前进行个人信息保护影响评估。2025年9月18日，公安部公布“护网—2025”专项工作6起行政执法典型案例⁷，其中“案例三、河南公安机关侦办的某学校系统遭攻击导致数据泄露案”显示：2025年3月，不法分子在境外网上兜售舞钢市某学校个人信息数据。河南公安机关网安部门查明，相关数据泄露源头为该校智慧刷卡计费系统。由于该系统存在高危漏洞且数据未采取加密存储，系统未设置访问控制、安全认证等技术措施，导致系统数据被犯罪嫌疑人网络攻击窃取，且该校在委托第三方公司处理业务数据和个人信息时，未在合同中明确接收方的数据安全保护义务并监督其履约。当地公安机关已依法对该校予以行政处罚并责令限期改正。犯罪嫌疑人已依法另案处理。

三、结语

教育领域个人信息保护涉及亿万学生及其家庭的切身权益，不容忽视。上文的各类型实务案例表明，从非法收集、非法使用到安全保障义务缺失，相关教育机构在个人信息处理各环节均存在合规风险，应当警惕重视。

中央网信办、工信部、公安部2026年个人信息保护系列专项行动的启动，已吹响教育领域个人信息合规治理的号角，《专项公告》涉及的五大重点治理问题包括：一是教育机构处理不满十四周岁未成年人个人信息，未制定专门的个人信息处理规则，未取得未成年人父母或其他监护人的同意；二是教育机构运营的网站、App等过度收集位置、学校、学籍，家长身份证号、联系方式、职业等个人信息；三是校外培训机构向合作的第三方机构提供个人信息，但未向个人信息主体告知合作的第三方机构名称、处理个人信息的目的、方式，未取得个人信息主体同意；四是教育机构线下场所以及运营的网站、App等使用非人脸识别技术方式可以实现验证家长、学生身份，将人脸识别技术作为唯一验证方式，未落实人脸识别技术应用安全管理相关要求；五是教育机构未建立个人信息保护管理制度、未采取有效安全保护措施、存在个人信息泄露风险隐患等。结合此次《专项公告》的风向指引，以及参考本文所述的典型案例情形，教育机构必须将“告知—同意”“最小必要”“目的限制”等法律原则内化为日常管理机制，在个人信息的收集、处理过程谨记法律法规的合规红线要求，并采取必要的技术防护措施、建立完善的内部管理制度以及切实履行委托方的监督义务等，筑牢教育领域个人信息安全的法律屏障。

1.中央网络安全和信息化委员会办公室、中华人民共和国国家互联网信息办公室官网：2026年4月2日，https://www.cac.gov.cn/2026-04/02/c_1776867645836849.htm

2.四川法治报：《违法处理公民个人信息，都江堰一教培机构被查处》，2025年11月25日，https://www.scfzbs.com/sz/202511/83163254.html。

3.工业和信息化部信息通信管理局：《关于侵害用户权益行为的APP（SDK）通报（2025年第8批，总第53批）》，2025年12月9日，https://www.miit.gov.cn/xwfb/gxdt/sjdt/art/2025/art_0bbaf7d930424be7aa1fcd3baaca8469.html。

4.湖南日报：《怀化网信部门查处一企业及九所学校违法收集使用人脸等个人信息》，2025年9月29日，https://m.voc.com.cn/portal/news/show?id=30569167

5.南京市鼓楼区人民法院官网：《接到教培机构“精准营销电话”，竟是因为……》，2024年10月23日，http://www.njglfy.gov.cn/News/xwdt-2/e80a1809-1d1f-4bb4-b14f-c74e5768ba77。

6.衡阳市人民政府门户网站：衡阳市互联网信息办公室《行政处罚决定书》（衡网信决字〔2025〕第02号），2025年12月3日，https://www.hengyang.gov.cn/xxgk/dtxx/tzgg/gsgg/20251203/i3827721.html。

7.中华人民共和国公安部官网：2025年9月18日，https://www.mps.gov.cn/n2254098/n4904352/c10237071/content.html

声 明

《君合法律评论》所刊登的文章仅代表作者本人观点，不得视为君合律师事务所或其律师出具的正式法律意见或建议。如需转载或引用该等文章的任何内容，请注明出处。未经本所书面同意，不得转载或使用该等文章中包含的任何图片或影像。如您有意就相关议题进一步交流或探讨，欢迎与本所联系。