查看原文
其他

高校如何升级个人数据隐私保护?

CERNET 中国教育网络 2022-11-21

执行数据隐私保护可能会有部分师生用户不同意对于相关数据的授权,进而影响到高校对数据服务的提供,但面对此类实际存在的问题,不能逃避也无法回避,最好的方式就是面对。

宋式斌

■ 北京大学医学部网络安全

   与信息化技术中心副主任

数据,已经渗透到当今每一个行业和业务职能领域,成为重要的生产因素。对海量数据的挖掘和运用,已经成为生产力提升的重要标志。

近年来,随着高校信息化的发展,数字校园、智慧校园的建设过程中产生和积淀了大量的数据。越来越多的高校重视信息化之后所产出的数据“资产”,并将其视为高校现代化治理的基础条件,启动了基于数据资产的高校治理,相当多的高校忽视了数据使用中的数据安全问题,在数据收集、存储、传输和使用过程中往往缺乏必要的防护和处理措施,使得大量敏感信息、个人信息的安全性无法得到有效保障。

2020年,在互联网及信息安全领域,有两个重要文件公示,进入了法律制定的意见征求环节。一是《中华人民共和国数据安全法(草案)》,二是《中华人民共和国个人信息保护法(草案)》,这两个文件其一指向数据安全,其二指向数据安全领域更专业的个人数据保护。

在2020年的疫情防控中,社会各界进一步认识到了数据特别是大数据的力量。在国家疫情防控的过程中,个人数据的汇聚与应用无疑起到了关键性作用。人们一方面认识到了大数据应用的巨大作用,而也正因为这种力量的巨大,进一步引发了公众对大数据的关注,审视对个人隐私数据的保护。

对个人隐私数据的界定

对于个人数据隐私保护这一话题,未来无论是对于社会,还是高校,都是一个无法回避的问题,这固然是一个棘手的问题,但也只有在厘清这个话题后,学校信息化部门才能没有后顾之忧地提供数据服务。

做好高校个人隐私数据的保护,高校首先要有一套完整的数据安全顶层规划,要对个人隐私信息进行界定,清楚保护什么内容以及如何保护等基本问题。

其次,需要厘清对于高校而言,什么是隐私数据?对于此问题,目前还没有官方的完整、明确的定义,各个学校一般是在自己的认识上初步对个人隐私数据进行了界定。

实际上,对隐私数据的界定应当是在参考法律法规的基础上得出。根据《个人信息保护法(草案)》第29条第2款,对敏感个人信息,也即隐私数据的界定为:一旦泄露或者非法使用,可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息,包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账号、个人行踪等信息。

那么,具体到高校,学校为师生提供的信息服务、网络服务、安全服务等涉及民族、生物特征、金融、个人行踪等隐私信息,都属于个人隐私数据。

再次,在界定清晰个人隐私数据的基础上,要依据数据安全管理办法,确定本地区、本部门、本行业重要的数据保护目录,对列入目录的数据进行重点保护。

根据国家相关管理规定和潜在立法,制定高校数据安全管理办法,编制重要及敏感数据保护目录,对其中体现种族、民族、宗教信仰、个人生物特征、医疗健康、金融账号、个人行踪等关键信息需严格关注。

最后,在具体工作中,有一点需要特别注意。即对个人数据的收集上,用户首先要拥有知情权和同意权。在业务或服务需要收集个人数据时,应当得到用户授权,征求其是否同意对相关数据的采集,并且明确告知用户数据的使用范围和方式,以及潜在的安全风险。

隐私保护和数据服务两条腿走路

个人数据保护是要在数据保护的基础上把数据用起来。这有点类似于信息化与网络安全的关系,也就是要在保证安全的基础上两条腿走路。

隐私数据的保护,首先是有据可依。从机制上而言,信息化部门要做好数据的顶层设计,制定学校数据安全和个人数据应用的管理办法,对于隐私数据要有明确的界定和边界,否则一片混沌状态,不利于管理。

在管理上,要明确数据安全管理要求和隐私数据的范畴,明确数据使用的申请和审批权限,明确安全风险的提醒,落实数据使用的安全责任。学校要明确:数据的管理部门、数据使用的审批程序、数据申请的基本原则、数据安全保障的基本要求等,数据使用部门需要确认数据使用的安全风险和使用要求,做好数据安全工作。

在具体的工作上,信息化部门要和业务部门紧密合作,仅仅信息化部门自身清楚个人隐私数据的重要性还远远不够,一定要提升全校师生用户的个人隐私数据保护意识。业务部门每天和各种数据打交道,要对数据使用有敬畏,谨慎使用数据。

在技术上,信息化部门要注意三件事:

第一,关键数据在存储上要加密。这件事的目的是提高关键数据被拿走的门槛。

第二,数据的开放溯源。关键数据在交付中需要解决数据可溯源的问题。理论上,可为数据规划标签,当数据被泄露时,通过对标签的追溯可找出数据泄露的源头。

第三,分析数据要脱敏。对数据的脱敏是目前大家普遍提倡的方法,脱敏的数据,打破数据与具体社会人的对应,不再具有个人隐私属性,使用才能较为自由。

数据隐私与使用一直是一个争议性话题,无论是在国内还是国外。EDUCAUSE刚发布的高校信息安全报告指出,高校可从三方面开展学生数据隐私保护和治理工作首先是认识到位,并且在此基础上对相关政策条例规章制度检查。

其次是要满足学生的知情权。院校应向学生披露数据收集内容,数据使用和共享方式等,其目的是增加透明度,并允许学生随时选择不让高校收集其数据。第三,增强个人信息安全意识教育。

总的来说,学校对隐私数据的保护需要在规划周密的基础上进行充分使用,执行数据隐私保护可能会有部分师生用户不同意对于相关数据的授权,进而影响到高校对数据服务的提供,但面对此类实际存在的问题,不能逃避也无法回避,最好的方式就是面对,宣传引导和规范管理制度一起抓,利用数据为师生提供更多有价值、有意义的服务,让师生自愿授权。在做好数据保护的基础上,不断挖掘数据的价值,持续提供具有价值的数据服务。

作者:宋式斌(北京大学医学部网络安全与信息化技术中心副主任)

责编:郑艺龙

投稿、转载或合作,请联系:eduinfo@cernet.com

往期推荐

● 高校数据治理挑战与对策

● 众议:如何让高校数据治理走向成熟?

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存