高校个人信息保护的“审”与“查”

李先毅 

大连理工大学网络与信息化中心网络安全部部长

我校于2019年出台了《大连理工大学信息化个人信息保护管理办法（试行）》，主要是规范了学校信息化建设中个人信息保护相关工作，管理办法实施一年以来，主要是在落实相关配套的业务流程，目前主要从“审”和“查”两方面来落实管理办法。

“审”是指在信息化数据管理的申请流程中，增加了个人信息保护相关的审核环节，对各信息化项目建设中从学校公共数据平台交换共享的数据进行审核，涉及到个人信息的要按照管理办法进行管理。

“查”目前包括两方面，一方面是每年开展个人信息保护的专项检查，一般是在每年公示信息比较集中的时间，比如年底各类评审进行时，针对校内各网站公开信息进行个人信息泄露情况检查；另一方面是在校内日常的网络安全检测中，增加了数据库内容检查，检查各信息系统（特别是在个人信息保护工作开展前建的系统）是否超范围或不规范使用了个人信息。对于检查中发现的问题都按照校内网络安全事件处置流程，规范处理。

大连理工大学

高校信息化建设中个人信息保护工作遇到的困难集中体现在技术和人员上。

个人信息保护由于涉及到很多内容安全的问题，目前缺乏高质量的技术手段和相关设备、工具进行处理，能提供相关服务的安全厂商也不多，大连理工大学在实际工作中也主要依靠人工辅助一些简单的技术手段进行处理，效率和效果都不是很理想。

还有就是人员队伍，目前高校网络安全人员本身比较缺乏，专门的个人信息保护相关职能单位及人员更是如此。个人信息保护又需要很多人工参与，所以在这方面人力不足的问题更为突出，直接影响该工作的全面深入开展。

建议高校对照法律法规尽早开展相关工作，预防与补漏结合，加强宣传培训，让更多的师生能自觉自愿的参与进来，在现有条件下尽可能多的解决相关问题。

来源：《中国教育网络》8月刊

责编：郑艺龙     版式：建乐乐

投稿、转载或合作，请联系：eduinfo@cernet.com

往期推荐