从法治视角看高校个人信息保护(下)
编者按
法律法规是网络信息安全建设的重要依据和有力抓手,随着近日国家《数据安全法》和《个人信息保护法》两项法案提交二审,我国将建立更加完善的个人信息保护体系。
本文系统总结了当前我国个人信息保护体系,提出了个人信息保护的数据治理建议,我们分两期刊载,上期总结了个人信息的定义与内涵以及我国个人信息保护的法律体系,本期对个人信息保护数据治理的常见问题、法律责任和治理建议等进行分析。
01
个人信息保护之
数据治理的几个常见问题
目前,各个学校基本都已完成基础平台的建设,校内各个业务系统都采用统一身份认证登录方式,采用统一身份认证带来的便利与好处不言而喻,但是安全隐患也不容忽视。
个人信息中账户密码保护
密码是保障网络与信息安全的核心技术和基础支撑,是解决网络与信息安全问题最有效、最可靠、最经济的手段。
法律层面上,2020年1月1日正式生效的《中华人民共和国密码法》(以下简称《密码法》)与上篇提到的法律共同作为信息安全的法律依据。
按《密码法》的规定,密码分为三类,核心密码、普通密码和商用密码。
其中商用密码用于保护不属于国家秘密的信息,公民、法人和其他组织可以依法使用商用密码保护网络与信息安全。学校里个人账户密码应归属于商用密码范畴。
一个账号密码的背后,往往涉及大量的个人信息。目前,各个学校基本都已完成基础平台的建设,校内各个业务系统都采用统一身份认证登录方式。采用统一身份认证带来的便利与好处不言而喻,但是安全隐患也不容忽视。
首先师生的密码问题情况比较复杂,尤其是教师统一身份认证账号密码,很多依然是弱密码,密码被盗带来的安全隐患很大,如通过邮箱发送大量垃圾邮件,造成正常邮件收发异常等。
其次,借用和共享统一身份认证账号的情况也屡见不鲜。此外,一次认证,校内所有系统畅通无阻,身份管理角色权限有可能缺位,进入业务系统下载重要数据信息等等。因此双因素认证势在必行。
另外,如对教师员工离职后账户如何管理,账户是否冻结,谁有权冻结,是永久冻结还是基于特定条件的冻结,账户下的个人数据是存档还是永久删除,个人数据是属于学校资产还是属于员工个人资产等,也是一个需要面对的问题。
服务外包中的个人信息保护
目前很多学校主要安全维护管理、系统建设采用外包形式,如何做到在外包服务的同时保护个人信息是迫切需要解决的问题。
2009年中华人民共和国商务部、中华人民共和国工业和信息化部发布的《关于境内企业承接服务外包业务信息保护的若干规定》,该外包措施于2010年2月1日生效,要求信息技术与信息业务外包服务提供者建立具体的数据保护组织或者任命特定的个人作为数据保护官,建立内部规则以保护业务过程中的保密信息。
但该外包措施只是规定了发包方有权依据合同的约定在承包方违约时追究其违约责任,但是并未规定承包方违反上述规定应承担的具体责任,该措施只意识到了发挥内生机制的作用但配套机制构建不足,指引欠清晰。
人脸识别技术
应用中的个人信息保护
与公共场所安装大量智能监控的问题类似,近几年随着人工智能的进步,各种写字楼、办公刷脸门禁等快速扩张的人脸识别技术同样引发人们对个人隐私泄露的担忧,此次突发的新冠疫情更是加速了各地人脸识别设备的落地,并激化了一些矛盾。
“人脸”作为用户的生物信息,属于个人信息中的敏感信息,该信息一旦泄露或者被非法使用,可能导致人脸的主体受到歧视或者人身、财产安全受到严重威胁。
因此在实践中,对于法律法规已有明确要求的“强认证”场景(如公共安全、金融支付),使用人脸识别完成精确的身份比对和验证,通常有其必要性和合理性,但也需要注意对人脸数据进行妥善保管,不得泄露、滥用。
而对于一些没有明确法律规定的场景,特别是服务于维护公共安全以外目的的,通常不宜使用人脸识别作为唯一的验证方式。同时,根据《个人信息保护法(草案)》的规定,此时还应当告知用户并且取得个人的单独同意。
学校内“人脸”一般常见应用于校园门禁、学生公寓门禁、自助机和食堂餐饮消费等地方,“人脸”作为生物信息,人脸信息的滥用、泄露和安全问题不容忽视。
以GB/T 37036.3-2019《信息技术移动设备生物特征识别第3部分:人脸》以及GB/T 35273-2020《信息安全技术个人信息安全规范》和JR/T 0171-2020《个人金融信息技术安全规范》为例,我国从法律法规层面对于人脸作为个人生物识别信息的收集和使用是规定了严格的要求。
同时4月23日,《信息安全技术人脸识别数据安全要求》国家标准的征求意见稿面向社会公开征求意见。
按该意见稿要求,收集人脸识别数据时应征得数据主体明示同意,不得利用人脸识别数据评估或预测数据主体工作表现、经济状况、健康状况、偏好、兴趣等情况。
同时,应提供除人脸识别外的其他身份识别方式供用户选择,不应因用户不同意收集人脸识别数据而拒绝数据主体使用基本业务功能等。
此外,还对进行人脸识别的开发商提出了技术资质门槛,要求其具备相应的数据安全防护和个人信息保护能力,以防范人脸识别被“活照片”等非法破解。在使用时,需明示同意,只用于身份识别。因此根据上述规定可以作为我们在实际工作中的指引。
02
个人信息之法律责任
随着国家对个人信息的保护力度不断加强,学校及其员工也应进一步提高对侵害个人信息相关行政责任甚至刑事责任风险的警觉性。
刑事责任
对于侵犯个人信息情节严重,构成犯罪的,会面临最为严苛的刑事处罚,包括《刑法修正案九》和《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》中均作了详细的规定。
2009年,通过《刑法修正案(七)》,在《刑法》253条中增设了出售、非法提供公民个人信息罪和非法获取公民个人信息罪。
2015年,通过《刑法修正案(九)》,将“出售、非法提供公民个人信息罪”“非法获取公民个人信息罪”调整为“侵犯公民个人信息罪”,并对其规定进行系统的完善,将犯罪主体扩大至一般主体,修改了犯罪的特定条件,对于特殊主体予以加重处罚,并提高了刑罚处罚区间。
根据《刑法》第253条(侵犯公民个人信息罪),违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
就个人信息数量而言,最高人民法院和最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释中第5条规定为
非法获取、出售或者提供公民个人信息,具有下列情形之一的,应当认定为刑法第二百五十三条之一规定的“情节严重”:
(三)非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息50条以上的;
(四)非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息500条以上的;
(五)非法获取、出售或者提供第三项、第四项规定以外的公民个人信息5000条以上的;
(六)数量未达到第三项至第五项规定标准,但是按相应比例合计达到有关数量标准的;
(八)将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人,数量或者数额达到第三项至第七项规定标准一半以上的;
第11条非法获取公民个人信息后又出售或者提供的,公民个人信息的条数不重复计算。向不同单位或者个人分别出售、提供同一公民个人信息的,公民个人信息的条数累计计算。对批量公民个人信息的条数,根据查获的数量直接认定,但是有证据证明信息不真实或者重复的除外。
民事责任
侵害个人信息相关民事诉讼已非罕见,但由于侵害个人信息的事件往往具有受侵害主体过于广泛和分散,个人所受侵害较小,但群体利益所受侵害严重等特征,使得个人提起民事诉讼的意愿较小,目前以民事责任为主要导向型的个人信息保护路径始终未能畅通。
当然目前也在积极探讨建立公益诉讼制度对于更好地发挥民事诉讼在个人信息保护中的作用,维护社会公众的个人信息权益,乃至惩戒企业的违法行为都具有重要意义。
民事责任之例外,根据《民法典》第1036条的规定,处理个人信息,有下列情形之一的,行为人不承担民事责任:
一是在该自然人或者其监护人同意的范围内合理实施的行为;
二是合理处理该自然人自行公开的或者其他已经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外;
三是为维护公共利益或者该自然人合法权益,合理实施的其他行为。
行政责任
从行政责任的角度来看,《网络安全法》规定的行政处罚包括警告、没收违法所得、罚款,甚至吊销营业执照等。
03
个人信息保护之治理建议
高度重视数据治理,以个人信息保护为核心贯穿数据治理始终。数据治理工作对学校信息化长远高质量发展重要性不言而喻,加强顶层设计与统筹协调是数据治理的基础。
根据《中华人民共和国网络安全法》等相关法律,严格规范个人信息在收集、存储、使用、共享、转让与公开披露等信息处理环节中的相关行为,旨在遏制个人信息非法收集、滥用、泄露等乱象,最大程度地保护个人的合法权益和社会公众利益。
高度重视数据治理,以个人信息保护为核心贯穿数据治理始终。数据治理工作对学校信息化长远高质量发展重要性不言而喻,而加强顶层设计与统筹协调是数据治理的基础。
把好数据源头治理关
1.数据处理的基本内涵
《民法典》第1035条明确了“个人信息处理”的内涵,即“个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等”,并在处理个人信息应当“遵循合法、正当、必要原则”的基础上,强制性要求“不得过度处理”个人信息。
同时还附加了处理个人信息的四个条件,一是征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;二是公开处理信息的规则;三是明示处理信息的目的、方式和范围;四是不违反法律、行政法规的规定和双方的约定。
从“个人信息的处理”的定义看,不同于《网络安全法》对个人信息不同环节提出分散要求,《个人信息保护法(草案)》基本沿用了《民法典》第1035条第二款的规定,将个人信息全生命周期的活动纳入个人信息的处理范围,意味着个人信息全生命周期的处理活动均受本法规制。
此外,《数据安全法(草案)》第四章专门规定了“数据处理者的数据安全保护义务”,其中第29条明确规定任何组织、个人收集数据,必须采取合法、正当的方式,不得窃取或者以其他非法方式获取数据,不得超过法律、行政法规规定的必要限度。
此规定与《网络安全法》第42条关于“网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息”之规定的立法思路一脉相承。
将数据安全与数据利用视为一体之两翼、驱动之双轮,坚持安全与发展并重,规定支持、促进数据安全与发展的措施,提升数据安全治理和数据开发利用水平,促进以数据为关键要素的数字经济发展。
2.个人信息处理的必要性原则
在《网络安全法》第41条第1款要求收集使用个人信息应遵循必要性原则的基础上,《个人信息保护法(草案)》与《民法典》第1035条第1款的做出了类似的规定,要求包括收集、使用个人信息等在内的个人信息处理活动均需要遵循必要性的要求,不得超出处理目的所必须的范围处理个人信息。
3.具体数据处理
首先是教师员工与学生数据的处理与保护。与个人信息保护相关的典型业务场景之一便是“员工数据”,一般分散存放于人事系统、财务系统、科研系统和资产系统紧密相关。
高校与学生相关的数据存放包括日常教学、学生管理、住宿安排、考勤、就业指导、心理辅导、健康咨询、奖励补助发放等多个由不同部分管理的业务系统。数据量大,包含的个人信息多,尤其含有大量个人敏感信息,处理时需严格依法律法规。
在信息收集方面,对用户的知情权有一系列详细的要求,即数据类型、使用、共享、转让等情况都应该明确告知用户,并得到用户的明确授权,这也是《网络安全法》中第41条的规定,《个人信息安全规范》中给出了具体根据要求。
标准落地关键点有两个,第一是用户隐私政策中告知用户相关信息,第二是App等应用中实现用户授权,信息处理等选项,提供用户自行选择权。
在含有个人信息公示方面,早在2017年教育部办公厅就发布了《关于全面清理和规范学生资助公示信息的紧急通知》,明确要求对于公示期内的学生资助信息,必须将公示信息中含有的学生身份证件号码、家庭住址、电话号码、出生日期、银行卡号等个人敏感信息全部删除。
同时公示受助学生姓名、学校、院系、年级、专业、班级等基本信息,不得将学生身份证件号码、家庭住址、电话号码、出生日期等个人敏感信息进行公示。
发挥数据的经济价值和决策价值
2020年2月,中央网信办发布了《关于做好个人信息保护利用大数据支撑联防联控工作的通知》,明确要求对疫情需要而收集的个人信息,要合理公布和使用、强化技术防护。
有效地实现保护个人利益和促进数据流转的平衡,《民法典》第1036条还新增了个人信息处理的三项免责事由,在保护个人利益的同时,兼顾了大数据时代下对于个人信息的合理使用需求。
其第二项免责事由中,将“该自然人明确拒绝或者处理该信息侵害其重大利益”规定为合理处理公开信息的例外。
2020年3月《中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见》首次明确了“数据”作为重要的新型生产要素的地位。
在此背景下,《数据安全法(草案)》第八条明确提出了“建立健全数据交易管理制度,规范数据交易行为,培育数据交易市场”。
数据经济时代,数据有其独特的重要经济价值。在数据利用上主要侧重表现为数据共享、大数据交易,对个人信息保护而言,最重要的是脱敏处理。
数据脱敏技术,是一种实现匿名化处理十分有效的方式。数据脱敏技术的主要目标是按照脱敏规则通过变形、转换等方式降低数据的敏感程度,在数据的采集、传输、使用等环节中最小化敏感数据的暴露。
数据脱敏技术主要用于保护个人隐私数据,因此广泛应用于政务、金融、电信、互联网等大量存储、使用个人信息的行业领域中。但是数据脱敏技术需与规范相结合,在依法依规情况下使用脱敏数据。
从法律与管理角度:
1.适时设立个人信息保护专门岗位,完善个人信息保护,提高信息安全治理
数据合规体系是动态的有机体,需要静态的制度框架,更需要合规人员的动态推动,将制度融入学校数据治理决策中。对提高学校治理能力和治理体系现代化有着积极的促进作用。
个人信息保护负责人是指全面实施统筹组织学校个人信息保护工作、对个人信息安全负直接责任的人员。设立个人信息保护负责人对学校落地数据合规制度至关重要。
具体而言,科学有效的个人信息保护负责人制度既可提高学校法律风险防御能力,亦可增强其核心竞争力。
《网络安全法》规定网络运营者应确定网络安全负责人,关键信息基础设施运营者应设置专门的安全管理机构和安全管理负责人。
网络安全事关国家安全,而隐私权保护原本侧重私法益的保护,延展为个人信息保护后则具备更多的公共利益属性,但与网络安全相较仍更突出自主性。
2.加大培训尤其是相关人员的技术和法律意识培训,进一步提升数据治理安全
信息安全意识就是人们头脑中建立起来的信息化工作必须安全的观念,也就是人们在信息化工作中对各种各样有可能对信息本身或信息所处的介质造成损害的外在条件的一种戒备和警觉的心理状态。
推进互联网化战略进程中,全面加强信息安全建设,进一步将信息保护和安全建设纳入学校数据治理体系之中。员工只有具备信息安全意识,才会有好的信息安全行为,才能有效保障学校和相关组织的安全,所以开展信息安全意识培训对于学校至关重要。
3.强化制度意识严格制度执行
“有法可依,有法必依,执纪必严,违法必究”,制度是人类社会得以正常运转和发展的必要条件。没有制度管理就没有约束,没有了制度作保障,一切都无从谈起。制度的制定是基础,制度的落实是关键,但如果缺乏制度意识,那么再好的制度也是摆设。
数据安全已成为事关国家安全与经济社会发展的重大问题,党中央高度重视。高校数据治理正在进行之中,虽然各个高校的实际情况不太一样,但是以个人信息保护为主线的数据治理标准将是统一的,有据可依的。
因为个人信息保护具有深远意义。一方面,个人信息在网络与信息时代面临着前所未有的被侵害风险。另一方面,数据(包括个人信息)又是信息科学、人工智能等前沿领域发展的关键要素。
作者:范江波(西南财经大学信息与教育技术中心)
责编:郑艺龙
投稿、转载或合作,请联系:eduinfo@cernet.com
往期推荐
● 如何建设数据安全管理机制?
● 案例分享丨数据安全保护从数据分级做起