2020年,堪称全球数据治理的变革之年,也是我国公民隐私的保护之年。这一年,我国先后公布了《中华人民共和国数据安全法(草案)》和《中华人民共和国个人信息保护法(草案)》等重要信息安全法律法规,意味着我国数据安全进入了一个崭新阶段。
值得注意的是,教育部在2020年3月印发的《2020年教育信息化和网络安全工作要点》中提出,教育系统须建立覆盖数据全生命周期的安全管理机制。这一要求无疑是对数据安全发展趋势的最佳呼应。
高校数据安全挑战重重
整体而言,国内高校数据安全保护工作还处于起步阶段。大多数高校都逐步意识到数据安全保护的重要性,并制定了相应的管理制度、采取了必要的技术防护手段,在数据安全保护工作上有了一定基础,但还远远不足以消除现有安全风险和隐患。
在采访中,相关信息化部门主任及领导认为,当前高校数据安全面临的困难与挑战主要包括:
首先,一个核心问题是网络安全意识和素养的不足。
山东大学信息化工作办公室常务副主任葛连升表示,安全问题事关每个人,这一认识不到位,高校网络安全包括数据安全工作的推进就比较困难。他认为高校数据安全具有其特殊性:
第一,从数据本身的角度来看,现在一切都在数据化,可以说,数据无处不在,海量的数据给安全管理带来了挑战。
第二,从高校的特点看,高校管理的链条比较长,管理具有松散特点,数据也是相对分散的。而且在大部分高校,数据集中工作的完成度都不高,导致其数据管理成本较高。
在这样的背景下,当高校师生自身数据安全的意识和素养比较弱时,安全防护就失去了主动性。因此,虽然当前《数据安全法(草案)》已公布,但从高校来看,制度、技术等方面都不够完善,这是客观存在的挑战。
其次,一个普遍问题是数据保护和使用的边界模糊。
中国教育和科研计算机网应急响应组郑先伟认为,教育行业还没有相关指导文件,缺乏统一、明确的分级分类标准。对于哪些数据信息属于隐私,不同的高校可能有不同的解读。
例如师生员工的个人身份信息属于隐私已经很明确了,但学生的成绩、在校的行动轨迹等数据是否涉及隐私其实还存在模糊地带。要解决这个问题,就要明确隐私数据的定义,把握数据使用和隐私保护的平衡。
使用与保护,平衡是关键
“如何平衡数据使用和隐私保护?”是一个在全球范围内均具有争议性的话题,而这一问题产生的根源之一在于如何定义隐私数据。
电子科技大学信息中心主任侯孟书表示,高校隐私信息的内涵可分为面向机构的学校敏感信息和面向个人的师生敏感信息。
学校敏感信息包括重大决策信息、财务信息、招生信息、资产信息等。师生敏感信息包括身份信息(身份证号码、学号、职工号等)、生物识别信息(指纹、人脸等)、健康生理信息(疾病情况)及上网信息、一卡通信息、位置信息等。
复旦大学信息化办公室主任王新则认为隐私信息主要有三种:
一是能够用来对用户进行身份识别的基本信息,包含姓名、身份证、照片、指纹、人脸特征等;
二是用户敏感信息,包含健康状况、财务信息、定位信息、信息化应用访问情况如一卡通消费记录、网站访问详情等;
三是学校的核心信息如重要公文、重要科研成果等。
两位主任的观点大同小异,但反映了一个迫切需要解决的问题,即教育数据缺少分级分类统一标准。
数据分级分类是建立数据全生命周期安全防护体系的重要基础,也是数据安全治理的核心任务之一。
深圳大学信息中心副主任江魁表示,数据分级保护与分类保护两者相辅相成,数据分类把具有共同属性的数据归并在一起,数据分级根据数据所具有的后果性标准构建技术保护体系,最后通过数据类别将其纳入对应的数据分级体系。
在这方面,相关人士表示,虽然教育部2018年出台的《教育部机关及直属事业单位教育数据管理办法》中,已对一些数据安全相关标准进行了规定,但各高校期待教育管理部门尽快出台更详细、统一的标准文件,规范教育数据安全分级分类程序,提升高校数据安全分级分类的可实施性和可操作性,为各高校数据安全管理工作提供指导。
郑先伟也指出,和所有法律法规的出台一样,这些政策和指导意见必须是广泛征求各个个体的意见之后才会形成标准。这就要求个别学校先试先行,从而形成参考意见。因此,高校数据分级分类工作可能也遵循螺旋式上升的发展轨迹。
数据安全保护任重道远
尽管国内高校在数据安全防护工作上取得了一定的成绩,但整体形势依然严峻,还有很多风险和隐患需要解决。
总结各高校网信部门领导的观点,目前需要进一步加强的方面主要有以下几点:
首先,要充分利用此次《数据安全法(草案)》、《个人信息保护法(草案)》出台的机遇,在学校进行大力的宣传并积极与领导层面沟通交流,积极争取资源,将数据安全作为下一步信息化工作重点予以高度关注。并通过多种数据安全相关沟通、宣传渠道,以及定期自查和培训机制,切实提升学校管理者和用户的数据安全意识和素养。
其次,在引起足够重视的基础上,对整个网络安全和信息化体系,甚至在整个智慧校园的框架结构中进行顶层设计,形成包括管理、制度、技术,以及应急处置、教育培训、考核等各方面的保护体系。完成数据发现与分级分类,从内部安全管控、外部威胁防御、流动数据守护、数据库安全运维等各个维度做好数据安全保护工作。
一是需要健全组织机构建设。
例如复旦大学信息办成立了安全中心及预研与数据服务中心,梳理制定数据安全相关规章制度和标准等,并进行数据安全日常的管理工作。
二是需要完善人才队伍建设。
海南师范大学党委委员沈富可表示,数据安全队伍除了必要的信息化技术人才之外,还需要一定数量的教育、传媒等相关学科背景人员,能够将技术问题解释清楚并推广普及。
三是需要加强技术设备和措施。
如何通过技术、系统实现安全策略非常重要,例如通过技术实现数据层和应用层的解耦,避免原始数据直接被推出使用。
在这方面,华南理工大学通过建立数据中台,对校园各专业系统和业务系统数据进行融合,形成主题库。海南师范大学的信息化团队也搭建了包括基础数据在内的信息化基础底座。
两所学校均完成了对数据的封装,并以API方式提供使用。在保证职能部门、社会力量等第三方合作伙伴可以在有限范围内授权使用特定数据的同时,又降低了数据泄露风险。
最后,还应重视提升面向新技术的数据安全防护能力。面对云计算、大数据分析、5G等新技术所带来的挑战,应针对性加强安全管理来确保其合规使用和健康发展。
例如,采取数据备份、数据加密、数据脱敏和细粒度访问控制等措施,加强数据安全和隐私保护能力。并深化数据安全技术平台建设,利用大数据分析和AI技术,智能预测和发现潜在的数据安全问题和风险,防患于未然,变被动防御为主动出击。
当然,将安全问题从法律条文具体落实到各个单位,建立起覆盖数据全生命周期的安全体系,还需要相当长的时间。对广大高校来说,数据安全的防护与探索任重道远,且可能永远在路上。
