李瑞华|高等教育机构数据风险的合规纾解
摘 要:高等教育机构的数据运行过程中存在着泄漏、滥用等风险,虽然当前初具规模的数据类法律规范可在一定程度上应对,但仍具有不成体系之诟病。为此,在高校数据安全管理中引入数据合规机制具有积极意义,既能形成体系化的数据保护模式,又能由“被动式”数据管理迈向“主动式”的数据合规,在提升内部管理效能的同时,保障数据运行的法治化。具体可通过数据合规机制纾解高等教育机构的数据风险:一是基于风险评估确定高校合规制度的体系性之基本内容;二是在数据运行全生命周期中,以分段评估保障高校数据合规制度运行的有效性。最终型塑高等教育机构数据治理的体系性合规方案,确保其数据风险的有效化解。
关键词:高校数据安全;数据保护合规;风险评估;体系性
数字化转型时代,数据正逐步塑造个人的行为,并在社会各领域发挥作用。高等教育机构也借助数据推动教育发展,但数据安全威胁呈指数级增长,给高等教育机构带来沉重负担,如数据泄露、网络攻击、意外披露等,由此引发一系列风险。高等教育机构的开放、协作环境往往与数据处理的封闭性、匿名性相悖,使其数据风险难以得到妥当的应对。
目前,对于高校数据治理的优化路径,形成了如下几种观点:一是共同应对论,即通过顶层设计、技术制约、校企联防、伦理教育共同应对风险;二是要素模型优化,从数据全生命周期型塑高校数据治理框架,以体制机制、统一数据平台、优化数据采集与执行机制、多元协同的互动机制等要素推动高校数据治理的模型优化;三是数据治理构成要素具体化,高校数据治理体系的构成要素包括治理主体、治理客体、治理方式、治理工具等,这一定程度上为控制、协调、管理高校数据提供了构成要素及内容支撑,促进数据治理能力的提升;四是以整体性思维应对“碎片化”风险,这需要从规则维度、运行维度、观念维度解决高校大数据治理制度“碎片化”问题,构建高校大数据技术风险防范机制。上述对策性建议或从多元协作角度或以整体性思维方式,对当前高校数据安全风险提出了因应之道,一定程度上回应了当前高校数据治理之缺漏。
然而,对策性建议虽然有一定的针对性,却因松散性、片面性、时限性等原因而难以应对多变的数据安全风险。贯彻各项数据治理规范、提升高校数据治理水平,需要构建系统性的高校数据合规机制。所谓数据合规,指的是为防范数据合规风险所建立的一套治理体系,包括数据合规政策与数据合规管理流程两个要素。对此,高校数据合规既可融合法律规范的稳定性因素,奠定数据治理的规范性基础,又兼具政策性文件的灵活性要求,使数据合规具有开放性。目前,我国高校已在一些领域建立起了必要的、具有合规性功能的具体工作机制,然而,整体上来说,我国高校合规建设尚处于初步阶段,暂未形成体系性的合规机制。
在高等教育机构中体系化地建立健全数据合规机制,有助于提升风险防控效能,主动适应法律规范、政策性文件的同时,阻断潜在、新型的数据泄漏、病毒软件勒索等风险,并防止合理预期的安全威胁。为此,本研究首先阐明高校数据治理过程中遇到的风险类型,再引入高校数据合规性建设,说明其必要性与可行性,力求优化高校数据风险合规治理。
一、高校数据运行的潜在风险与保护缺憾
高等教育机构由于储存了大量师生、工作人员、访客的(敏感)个人信息,如姓名、住址、研究资料以及其他有价值的数据,而成为被经常恶意网络攻击的目标,使数据安全风险呈扩大化趋势。因此,有必要对数据安全风险进行类型化分析,厘清当前相关法律规范是否足以应对,为引入数据合规机制奠定现实基础。
(一)风险类型之识别
在当今快速发展的数字世界中,高校数据安全风险的类型具体包括数据泄露、数据丢失、财务欺诈、可用性损失、滥用和对数据完整性的攻击等。这可能导致高等教育机构的专有研究信息(如具有战略意义的数据)、知识产权、在线学习网站、运营数据等受损,中断学习流程;师生员工个人学术信息、财务信息等(敏感)信息泄漏,导致财产欺诈、名誉受损等关联损害;利益相关方在收集、分析、应用高校数据的过程中,也面临信息暴露等危机。
其一,学生个人记录、敏感研究数据和有价值的知识产权数据等多种具有高校特色的数据泄漏,成为高等教育机构网络安全的常见风险。这种风险源于高等教育机构庞大的用户群、有价值的数据库、数据运营过程中缺乏实质的网络安全政策,以及高校数据系统(物理系统)配置薄弱等因素。这使数据泄漏的形式多样化,如黑客或恶意软件攻击、内部泄漏、物理文件丢失、便携式设备泄露等,这些数据泄漏的形式对高校数据系统构成巨大威胁,将对机构及其利益相关者产生负面影响,使教职工、学生以及访客等人员的个人信息处于危险之中。
其二,针对高等教育机构中的数据实施网络攻击,使不可恢复的数据丢失,对大学的声誉和学生的安全构成严重威胁。网络攻击者通常使用勒索软件、网站漏洞等加密数据,要求高等教育机构支付赎金。如美国某大学遭受黑客攻击事件,其中119000名学生和教职员工的个人信息处于危险之中。这说明,高等教育机构庞大且经常变化的学生群体形成了大量的个人信息,成为网络攻击的主要目标。当高校的数据未进行备份或备份数据未得到充分保护时,就可能导致数据的丢失。而这些数据的缺失,可能对学校的信用评级、声誉评价等造成负面的影响。
其三,高等教育机构中的数据资源丰富,但管理的“碎片化”使其成为滥用的对象,导致数据资源被损害,甚至成为违法犯罪的“原材料”。一方面,行为人利用“受损”的大学账户滥用研究类数据,如论文、电子书等,产生诸如侵犯版权、泄漏商业秘密等风险。如中国某大学在校生滥用下载权限,违规下载2578篇文献,导致IP遭数据库商封禁。另一方面,高校中的个人信息类等数字资源可能成为其他违法犯罪活动的“原材料”。如郑州某学院近两万学生的个人信息被泄露,被用于企业偷税逃税或电信诈骗等违法犯罪行为。而且,与商业公司相比,许多高校的计算机信息系统往往具有分散结构的特点,即在不同的技术需求下,各个院系、部门的网站往往按照自身的发展需求设定运作逻辑,呈现“碎片化”现象,这种零碎的设置可能会形成被攻击者利用的明显安全漏洞。
总之,高等教育机构中数据管理存在如下缺陷:有限的管理等级、数据管理的不合规;师生的数据自我保护意识较低;高度去中心化的数据环境、缺乏数据合规官等,导致安全性松懈等。这导致高等教育机构的数据系统成为有吸引力的攻击目标。然而,大多数高等教育机构没有足够的资源提供数据安全解决方案,保护高校拥有的各种数据之责任分散在各个部门,这种分散化使数据安全管理复杂化,也可能扩大了机构的数据安全隐患。
(二)体系化保护不足
对于高校数据安全风险的治理,一种可行的方案是以技术手段防范风险。在数据分析和数据科学的推动下,近年来的网络安全领域发生了重大变化,人们可以应用机器学习模型(如回归模型)对特定的网络攻击进行分类和预测,在给定的范围内分析攻击的参数与特征等。智能检测、预防网络攻击的模型在不断开发中,通过技术手段预测高等教育中的网络攻击等,很大程度上能够以技术手段保障数据安全。
然而,以技术手段预防高等教育机构中的网络安全风险,普及性不足,且以算法为主的预防措施带有算法本身的僵硬性和封闭性。这需要体系化地发挥法律规范在预防高等教育机构数据安全风险中的作用。因而需审视当前有关数据保护规范是否能够体系性地适用于高等教育机构的数据治理之中。
在法律规范方面,《教育法》《职业教育法》等教育类法律规范明确规定要推动教育信息化,强化对教育数据的管理。当然,对于教育数据的规范处理,还需借助《数据安全法》等专门的数据处理法律规范。《数据安全法》要求建立数据分类分级保护制度;《网络安全法》规定了网络安全等级保护制度;《个人信息保护法》则是处理个人信息的基本法,明确了个人信息的权益、处理原则与规则、法律责任等。同时,民法典规定了个人信息保护的基本原则与处理要求;刑法典则对严重侵犯个人信息、侵入计算机信息系统非法获取数据等行为予以刑罚处罚。由此可见,对于教育数据的管理,我国基本形成了教育法律的信息化建设指引,数据类专门法、民事法、刑事法等法律规范的一体化保护架构。
在政策性文件方面,既有中央层面的部门规章,也有地方规范性文件。《“十四五”国家信息化规划》《中国教育现代化2035》等中央层面的政策性文件强调,要通过信息化手段服务教育教学、加快教育信息化。《上海教育数据管理办法(试行)》《陕西省教育数据管理办法》等地方规范性文件也指出,要建立健全教育数据管理的组织架构与原则,并对数据处理作出了具体要求。(见表1)当然,还有高等教育机构的内部文件,如各大高校所建立的信息化办公室(信息中心)发布相应“规章制度”,以完善信息技术安全事件报告和处置流程,一定程度上形成了符合自身发展特点的网络管理制度。
上述法律规范、政策性文件以及高校内部的网络安全管理规章制度虽然能够在高校数据管理中发挥很大的作用,但法律规范、政策性文件等数据保护规范是一种“松散耦合系统”,可能在实践中存在一定的不适应性。因为这些规范具有较强的原则性、普遍性,使其在应对高等教育机构的数据安全风险时,存在程序性、具体化等不足,需要提高适切性。
在数字化转型时期,对于数据保护的范围越来越广,数据呈现指数级增长、爆炸式生成和聚合等趋势,以至于提供最完整保护的良好意图可能在不久的将来适得其反。信息过载导致保护失衡,可能呈现一种保护混乱的局面。旨在实践中保护数据的各项法律可能因体系性不足而无法遵守,反倒成为高校数据滥用的肇因。
二、高等教育机构数据合规的积极性价值
当前,一项研究结果显示,大学用户对拟议的信息安全政策(Information Security Policies,ISP)缺乏合规性。这说明,在高等教育机构中构建数据合规机制成为必要,而当前的企业合规实践为高校数据合规治理提供了可行性借鉴。
(一)必要性:通过合规推动体系化之保护
目前,合规管理主要应用于企业,是通过控制企业活动来避免非法行为的手段,能够形成企业的治理理念、风险评估模式与自我监管机制。这种合规理念可以引入高校治理之中,有学者指出,对于高校整体的合规体系建设,其必要性在于,合规建设是高校预防和控制风险的有力手段、依法治校的有力抓手、完善高校内部治理的有力措施。就高校数据合规机制构建而言,其必要性主要集中于如下几点。
其一,由“被动式”数据管理走向“主动式”数据合规,建构具备自我检视能力的数据合规制度,最大限度避免违反法律规范、政策性文件的风险发生,并形成内部自治与外部法律治理的“共治”格局。首先,建立高校数据合规制度,助推高校设置权责明确的数据管理机构。优化高校数据合规中心,各部门、各学院需向数据管理机构报告合规遵循情况,并检查数据合规制度的有效性。其次,有助于建立一套完整涵盖数据安全风险辨识、评估、控制、衡量、监控及独立报告的“主动式”合规管理制度,以为后续之数据保护追踪、及时回应与预防,确保其所制定的政策或程序规范的稳定且持续发挥效用。最后,高校所建立的数据合规制度,可形成内部自治与外部法律治理共同应对的格局。倘若是高校内部师生员工或者部门发生违反数据合规制度的不当行为,数据管理机构除了追究并要求特定行为人承担相应之责任以外,尚须与合规部门以及外部司法行政部门等,共同就数据泄露事件,进行合规调查,采取必要的补救措施予以适当回应。倘若没有相应有效的合规制度,或通过校企联防、伦理教育,或通过高校数据治理要素优化等,可能仍是被动式地应对。
其二,建立与落实高校内部的数据合规文化,培育并提升师生员工数据安全保护意识,型塑师生员工数据自我管理的行为规则。一方面,高校数据合规制度的建立,有助于形成符合时代发展的高校数据文化。建立健全自我管制的数据安全合规制度,进行自我管理。使高校建立并形成切合本校实际、具有其特色的数据保护模式,培育行之有效的合规文化。另一方面,合规制度的建立健全,有助于培育并提升师生员工的数据安全意识,不断强化内部管理行为,控制内部违法犯罪诱因。
其三,通过高校数据合规制度形成高校数据安全监督的有效机制,由“松散耦合”的管治模式迈向“协作共享”的合规治理,强化高校各部门、各院系之间的数据采集、汇集、应用等方面的安全管理机制,及时发现并有效堵截数据安全漏洞,以体系化地应对风险。高校数据合规制度下所形成的监督机制,可作为评估高校数据安全风险的方式之一。技术哲学认为,应对风险需要通过风险评估、风险评价以及风险管理等途径实现。在高校数据安全管理中,预判风险并及时地进行风险管理,需要通过合规制度管控,形成内部各部门、各院系之间的数据协作、沟通、共享机制。做好数据风险评估,强化内部沟通机制,可有效落实高校数据管理制度的合规遵循计划,使师生员工负起治理与监督责任。且要求高校内部具体落实监督机制,可架构起数据合规与数据保护实践的桥梁,避免监督机制与相关的政策或者管理程序沦为形式。
综上所述,高校建立数据合规制度,发展出适合自身应对风险的体系化举措,改变当前高校数据治理中的顶层设计、要素优化等模式的“被动式”局面,形成“主动式”地应对风险策略,极大地完善数据处理的各项流程,逐步由分散保护走向体系化保护。
(二)可行性:避免数据遭受侵害的最佳实践
高校数据合规制度建设的可行性基础就在于,一方面,可将数据安全保护策略、法律规范等融入合规制度之中,二者形成有机体。这可进一步避免高校数据安全管控的失灵,型塑最佳威吓模式,达到实质制裁目标。发端于实质出罪论的实质制裁论要求刑罚的发动保持谦抑,鼓励多元化的刑事制裁方式代替刑罚处罚。且实质制裁理论认为合规计划建设的本身就具有较强的制裁性。高校所建立的数据合规制度,以适当的制裁模式来处罚泄漏、攻击高校数据的行为,降低数据遭受侵害的风险。
另一方面,假设违法犯罪行为受到迅速、严厉的惩罚,人们会避免选择违法犯罪。高校数据合规制度建设能推动高校及时制定数据安全合规计划。在预防数据泄漏等违法犯罪的成本与数据安全保障的收益之间,形成理性的预防模式。从而通过数据合规机制形成高校数据治理的最佳实践。
首先,有法可依、有规可循,对高校数据的保护基本形成了数据类法律规范与政策性文件共同推进的格局。在法律规范中,《数据安全法》《网络安全法》《个人信息保护法》等规范基本确立了数据合规的基本原则、处理规则等政策性条款;数据处理全生命周期的分类分级保护、信息风险评估、信息泄漏补救等流程性条款。在高等教育机构数据保护的政策性文件中,也确立了教育文化大数据发展的目标定位以及数据分级分层有序共享的指导原则,规定了包括教育数据的处理、开放、使用、保障与监督等在内的政策指引条款。虽然体系性不足,但并不影响“有法可依”的事实。
其次,高校数据合规制度是有助于执行外部法律规范、程序与内部标准、政策和协议的可行模式。设置内部规范与外部法律融合的数据合规机制,以有效化解高等教育机构大多依赖技术解决方案维护数据安全的不足。重视高校数据合规制度建设,在内部规章制度的依循之外,需要将外部的法律规范融入数据合规制度之中,保障法律规范在高校数据治理过程中的有效运行,以形成整体性的数据合规机制。这有助于确保外部的法律规范作为合规制度的一部分,内化为师生员工的数据遵守行为准则,推动师生员工采取最佳做法保护自身的数据,并有效落实数据法律规范。
最后,可以借鉴企业合规实践,建置高校数据合规制度的管理模式。当前,企业合规正如火如荼地展开,在提升企业防御风险能力之同时,也成为企业数据合规不起诉的重要方式。在企业数据合规不起诉实践中,其基本流程是:建立数据合规管理体系-制定数据合规计划-保障数据合规运行-开展第三方评估。这一流程虽然是在企业违法犯罪之后所建立的合规管理模式,但在高校数据合规管理制度构建过程中,值得借鉴。可以首先建立数据合规管理体系,以保障数据的稳健运行;再推进数据分级分类管理、提升师生员工数据安全意识;并可邀请第三方机构作为监督数据合规机构,协助高校数据管理。
三、高等教育机构数据合规的具体化路径
一个实质性的合规计划应当具备积极实施的前提条件,并具有一套更具体的最佳实践标准。因而,需要明确高校数据合规制度的基本内容与运行逻辑,以便其具体实施。
(一)基于风险评估确定高校合规制度的基本内容
在国外的高等教育领域,合规制度已经展开,并取得相应的成效。如高等教育机构可以从定制的数据安全框架中受益,虽然数据泄漏等网络安全事件的风险无法完全消除,但数据安全合规性中的识别与预防风险、补救措施等,有助于推动高等教育机构制定全面、有意义的数据合规计划。在美国,联邦政府基于风险意识对高校的各个领域均进行了合规监管,包括校园犯罪报告、有害物控制、卫生保健等。其中,数据安全风险的合规监管包括家庭教育权利和隐私法案(FERPA)、高等教育法案(HEA)等,(见表2)当出现数据泄露等安全事件时,可通过上述风险缓解规范予以对抗。否则,可能给高等教育机构带来声誉风险、处罚风险等。
美国基于风险意识建置的数据合规系统涵盖范围广泛,相应规范之间相互关联,对师生员工的金融信息、学术信息、健康信息等形成体系性保护策略,值得借鉴。对此,可在防止数据泄露、数据滥用等高校数据合规制度的基本理念之下,确定高校数据合规的基本内容,以为合规运行奠定基础。
当前我国的数据类法律规范已对数据风险评估作出了一定的规定,为高校建立数据合规制度的风险评估奠定了规范指引。《数据安全法》《网络安全法》作为风险监管的规范,旨在通过规则处理高校数据以保护高校师生员工及利益相关主体的权利,评估并预防风险,而不是仅将数据保护视为“对数据本身进行控制”。如《数据安全法》对于数据安全风险作了明确规定,国家支持有关部门、行业组织、企业、教育和科研机构在数据安全风险评估、防范、处置等方面开展协作(第18条);并在法律责任一章中规定了基于风险的责任(第44条)。在风险监管理念下,《数据安全法》中数据风险评估、风险监测、风险应对三方面的内容,为评估与防范高校数据安全风险提供了指引,对高校数据合规制度的构建发挥着重要作用。在高校数据合规制度建设过程中,数据处理者、控制者所采取的数据合规措施应符合法律规定,且是防范风险的最佳实践。基于风险的方法提供了一种向问责制转变的方法,可以据此评估数据保护措施是否得当;也考虑了所采取的合规措施的广泛性或控制者处理数据所需的勤勉程度,有助于高校数据处理者注重数据安全风险的合理分配,推动基于风险的合规内容建设。
基于上述风险评估的规范性指引,在高校数据合规制度体系性的建设进程中,可按照如下基本内容建置:第一,做好高校数据合规承诺以及合规实施的战略大纲,包括要求员工向合规官报告合规问题和疑虑、保护举报人的措施,以及声明对内部人员的违规行为及时制裁等。其中,应有围绕举报人建立保护机制的措施,以保护向数据管理部门投诉的师生员工。第二,任命具有适当资格或经验的数据管理人员担任合规官,负责数据合规计划得到有效设计、实施和维护,合规官应定期向数据管理机构报告合规计划的持续有效性。第三,定期审查数据合规计划的运作和有效性。高校数据合规计划的有效性可通过奖励机制、保护机制、责任减免机制、高校内部控制机制等方面审查。并有对潜在违反数据合规制度进行管理的程序,以及相应的风险评估流程,以回应违规、违法行为。第四,应创建数据收集清单,以更好地了解数据是如何收集、使用、共享和存储的,以便明确与数据处理相关的风险。第五,持续进行数据安全培训和合规计划推广。合规部门应基于保护敏感教育数据的义务对师生员工进行培训,突出对合规性的承诺。高校应将此项目视为一项持续的计划,并监督培训与推广情况,以识别和降低在处理高校数据全生命周期中的风险。第六,建立健全问责制,实施数据合规治理模型。通过强大的合规治理模型、围绕数据保护创建必要的数据合规文化,以建立内部责任与外部责任衔接的问责制。
其中,高校数据安全合规部门的主要职责是,确保高校数据管理行为合规,防范法律风险;监控、应对来自高校内外部的侵害行为,维护师生员工等主体的数据安全。其基本要求如下:一是就数据运行过程中的法律问题提供相应的法律意见,进行合法性与合理性的评估;二是主导建立健全高校数据管理的基本制度,并在此基础上推进各单位、各学院的数据运行符合合规制度;三是监控高校数据运行过程中的违规、违法行为,及时向管理部门提出纠正建议,并协助有关部门、人员纠正错误行为;四是根据高校文化特点,编制规范数据运行之工作指南。
(二)通过分段管理建置高校合规制度的运行逻辑
在建立健全合规制度之后,为掌握高校师生员工可能面临的风险,可分阶段评估数据处理风险,以建置高校数据合规制度合理的运行逻辑,避免“纸面合规”。当前,高校数据泄漏、网络攻击等数据风险多样化,若从整体角度评估风险,可能导致每个阶段中超过可接受的风险难以及时发现的问题,且在数据处理的全生命周期中的不同阶段,可能会因高校师生员工、利益相关方等主体不同而呈现不同的风险,应通过分段评估,提升管控程度或者有针对性地改善保障措施。实际上,对于企业保护个人信息的合规性构建中,有论者提出了“三阶过滤式审查”方式,以确认合规的有效性,具体包括合规计划的一般特征、合规计划的具体要素与功能、合规实施中的具体行为。这种阶段性的合规审查模式,在高校数据合规制度的体系性推进中也有助于有效性建设。
首先,高校应建立健全遵循数据合规的文化,这是有效合规的实质标准。高校在风险控制的前提下,运用“处理最小化原则”处理数据,确保高校各单位完成风险自评与核检,避免违法犯罪行为由内部产生。致力于建设高校内部的合规文化,至少应践行如下措施:一是,高校数据合规部门应建立防止内部人员违规、违法的标准与程序,防止数据泄露;二是,需要设计监督合规计划的履行模式,通过周期性评估以确定有效合规的运作状态,保障高校数据在合法合理的轨道运转;三是,高校数据合规部门应建置公开系统,容许师生员工匿名性及机密性地举发内部真实或者潜在不法行为,而毋庸担心遭受报复;四是,高校数据合规部门应定期评估违法犯罪行为之风险,并采取适当程序设计,履行或修订合规计划,以合理的程序降低违法犯罪之风险。
其次,分阶段识别、剖析高校数据运行全生命周期中的不同风险,以确立应对外部网络攻击等的有效方法,及时修改合规计划。高等教育机构确保不对网络攻击等承担责任的最佳方式是制定全面的数据合规计划,该计划应详细说明如何收集、存储和保护数据。确保在数据全生命周期中的各个阶段的风险评估与应对得到有效落实,保障每一阶段数据流转的安全性。此外,应制定事件响应计划来补充数据合规计划,在数据易受攻击的情况下建立明确的应急响应机制,保障高校数据运转的阶段性安全。
最后,分段建置高校数据合规制度旨在确保合规计划在不同数据处理阶段的有效性,以保障合规计划的整体有效性。合规计划有效性评估的科学性、客观性、公正性与准确性,直接影响组织体的合规运营。而高校数据合规制度本身就是根据高校自身的文化特点所建构的一种最佳实践,其有效性标准应注重如下几点:一是,联合第三方组织设置数据安全评估主体,这可以按照《关于建立涉案企业合规第三方监督评估机制的指导意见(试行)》的要求建立符合高校特点的评估机构,应注意评估主体承担责任的独立性、提供评估的专业性要求等;二是,评估内容应根据高校数据文化的特性进行,将高校内部规章制度与合规制度相衔接,识别数据处理全生命周期中不同阶段的数据安全风险,建立阶段性审查标准,以便针对数据安全风险建立具有可操作性、阶段性的合规计划;三是,明确评估原则的可行性,通过合规计划是否合理、是否能应对风险并具有可操作性及其实践作用等方面审查。
四、结语
高等教育机构的数据由教育、学习、科研、行政管理、公共服务和文化等数据组成,被认为是信息安全管理中具有高价值的资产。但高等教育机构的数据具有敏感性、交互性和协作性,使其受到的风险呈现扩大化趋势。为此,有必要厘清其中的数据安全风险类型,体系性地推动高校建立健全数据合规制度,积极预防高校数据风险。不断完善高校自身数据安全内部控制程序和治理方案,降低高校内部人员实施泄漏、滥用数据等违法犯罪行为,并将数据保护法律规范、政策性文件中的内容嵌入高校数据合规制度之中,提升高校数据自我保护能力,保障高校数据安全这一社会公益。
【李瑞华,东南大学法学院博士研究生,东南大学人民法院司法大数据研究基地助理研究员】
原文刊载于《中国高教研究》2022年第10期