個人信息保護不僅是當下網絡安全領域主要研究問題之一,更成為了重要的社會問題之一。
近年國際上不斷加大個人信息保護力度,如2018年歐洲出臺了號稱史上最嚴格的個人數據保護條例-GDPR,將個人信息保護提升到一個新高度。國內也從法律法規(guī)、國家標準等多方面出臺了各種個人信息保護措施,如表1。
表1 國內個人信息保護相關部分法律法規(guī)及國標
2020年伊始全社會最重要的新冠疫情防控工作中,也突出強調了個人信息保護,中央網信辦發(fā)布《關于做好個人信息保護利用大數據支撐聯防聯控工作的通知》,強調要高度重視個人信息保護工作,為疫情防控收集的個人信息不得用于其他用途,任何單位和個人未經被收集者同意不得公開個人信息。
高校在個人信息保護上也存在短板,個人信息泄露事件頻現,因此在大力發(fā)展信息化的同時急需加強個人信息保護。
個人信息保護制度建設
對于該問題,近年大連理工大學也開展了相關的探索與實踐,首先是通過建章立制,明確個人信息保護的校內管理規(guī)則,然后在規(guī)則框架內開展相關實踐工作如專項檢查等,再根據實踐的情況調整相關制度。
學校出臺的一系列網絡安全及信息化建設的制度文件中均有個人信息保護的內容,為此項探索工作積累了一定經驗,相關文件下載鏈接http://its.dlut.edu.cn/gzzd/xj.htm 。
2018年隨著該問題的日益嚴重,學校開始研究制定專門的管理制度,于2019年印發(fā)《大連理工大學信息化個人信息保護管理辦法(試行)》并開始施行。
《大連理工大學信息化個人信息保護管理辦法(試行)》(以下簡稱管理辦法)依照網絡安全法、刑法修正案九等國家法律法規(guī),主要參考國標《GB/T 35273—2017信息安全技術 個人信息安全規(guī)范》及公安部《互聯網個人信息保護指南》制定,共五章十七條,從定義、基本原則、責任分工、具體措施、責任認定及追責等幾個方面規(guī)定了在學校信息化建設中個人信息保護相關工作如何開展。
管理辦法第一章總綱中參考國標明確了校內個人信息及個人敏感信息的定義,個人敏感信息屬于個人信息的一部分,但兩類信息受到損害對于信息所有者的侵害程度在本質上又不同,因此要區(qū)分兩類信息,并采取不同的保護措施。
總綱還明確了個人信息保護的4項基本原則,包括:合法原則、最小必要原則、安全原則、知情同意原則。
合法原則是工作底限,校內信息化建設中涉及到個人信息保護的問題必須要依照國家法律法規(guī)進行;最小必要原則是防止個人信息被濫用的基礎,濫用也是目前最主要的個人信息安全問題中之一;安全原則是對個人信息處置中的基本要求,在采集、存儲、使用、刪除等各個環(huán)節(jié)中都要考慮如何保護個人信息的安全,避免被泄露、損害及丟失。
知情同意原則是目前個人信息保護問題中的核心問題,也是比較難以解決的問題,主要難點是在操作層面如何落實相關策略。歐盟的GDPR中對此原則有詳細具體的規(guī)定,并通過巨額罰單來推動執(zhí)行,但在當前國內高校信息化場景下,嚴格執(zhí)行此原則缺乏現實條件。本管理辦法結合學校實際情況,強調在國家法律法規(guī)框架內落實該原則,重點在知情上。
管理辦法對校內個人信息保護工作的分工進行了規(guī)定,確定學校網絡安全與信息化管理委員會及下設的網絡與信息安全工作組為該項工作的領導機構,網絡與信息化中心負責組織實施、監(jiān)督檢查,各二級部門負責本部門個人信息保護工作的具體落實。
管理辦法還對校內師生的權力和義務作了規(guī)定,作為個人信息的所有者,師生有權查詢、更正個人信息,也有權對違規(guī)行為進行舉報,同時也有義務維護和保全個人信息,并不得妨礙他人的個人信息保護。
管理辦法的重點內容是信息化建設中個人信息處置中的保護措施,個人信息的處置包括采集、存儲、使用、共享、公開與刪除等幾個環(huán)節(jié)。
信息化建設中個人信息采集統(tǒng)一由相關數據的主管部門負責,相關業(yè)務系統(tǒng)作為數據源系統(tǒng),學校公共數據平臺是個人信息集中統(tǒng)一的存儲平臺,且個人信息在存儲、傳輸過程中必須進行加密處理。
其他業(yè)務部門、信息系統(tǒng)禁止進行個人信息采集,如需使用個人信息,在滿足合法性、必要性和安全性要求前提下,必須通過數據交換從公共數據平臺獲取。
在個人信息使用過程中嚴禁超范圍使用,禁止非數據源業(yè)務系統(tǒng)提供批量導出個人信息功能,對于個人信息的查詢、修改等操作應提供必要的日志及審計功能。
為避免個人信息直接泄露,在信息系統(tǒng)中必須要通過界面(如顯示屏幕、紙面)展示的個人信息要進行去標識化處理,個人信息的核對需通過信息系統(tǒng)后臺完成,不應由人工進行核對。
只有相關法律法規(guī)有明確規(guī)定需要公示的個人信息,才可進行公開,且通過信息組合能識別特定自然人身份并滿足公示要求即可,嚴禁超范圍公開其他相關信息,公示的個人信息必須進行去標識化處理,不得直接公開完整信息。
對于部分個人敏感信息不宜公開和共享,管理辦法中也明確進行了說明。當信息系統(tǒng)結束生命周期時,應徹底刪除所存儲的個人信息,對于違規(guī)獲取的個人信息也應及時徹底刪除。
管理辦法中還規(guī)定了責任認定方式、追責辦法等,校內個人信息去標志化參考指南作為附件與管理辦法同時印發(fā)。
去標識化參考指南中明確了基本原則,應保證處理后的信息無法或很難進行復原,這也是與國家標準保持一致的,遵循這一原則是保障公開信息不變成泄露信息的基礎。
以此原則審視,目前很多個人信息去標識化的處置是不恰當的,比如身份證號的處理經常是隱藏中間生日的8位,但這8位信息復原難度并不大,以此種方式公開個人信息變成個人信息泄露的風險比較高,因此在指南中建議身份證號去標識化處理要隱藏最后6位或者8位數字。
在一些公示中要求能明確定位特定的自然人,按照管理辦法及本指南,應通過多條去標識化后的信息綜合定位,而不是通過某項完整的個人信息來實現,這樣即能達到公示的需求也能滿足個人信息保護的要求。
個人信息保護工作實踐
按照各項管理制度的規(guī)定,近年大連理工大學也在信息化建設工作中不斷實踐個人信息保護的各類措施。
首先在信息化建設中增加了個人信息保護的工作,主要是在數據和項目的管理上。
目前大連理工大學的信息化項目已經實現統(tǒng)一管理,校內重要信息系統(tǒng)都在網絡與信息化中心的監(jiān)管下進行建設,同時數據也集中在數據中心,核心基礎數據更是統(tǒng)一在公共數據平臺中管理。
在信息化建設中明確各類信息系統(tǒng)要統(tǒng)一對接學校統(tǒng)一身份認證,不得單獨建立用戶認證功能,不得單獨搜集用戶個人信息。
在信息化數據管理中要求校內各類基礎數據包括個人信息數據必須以公共數據平臺提供的數據為準,在數據資源申請流程中增加了個人信息情況審核環(huán)節(jié)。
其次,在網絡安全工作方面,一方面加強對涉及個人信息安全問題的處置力度,在校內網絡安全事件分級實用指南中將此類安全事件均定級為校內II級事件,這是校內日常安全工作中最嚴重的網絡安全事件,相應的時效性、徹底性要求也是最高的,對于涉及大量個人信息的網絡安全事件更是可直接定級為校內最高級別的I級事件。
另一方面開展專項檢查,在2017年、2019年分別進行了2次個人信息保護的專項檢查,發(fā)現并及時解決了大量相關問題,未來計劃每年都將開展此類專項檢查工作。
未來工作
新國標個人信息去標識化指南已經于今年3月1日開始施行,新的個人信息保護國標也將于今年10月開始施行,個人信息保護法今年也很有可能完成立法程序。目前校內各項個人信息保護相關的管理制度均可能存在不符合新法律、國標的問題,未來將結合實際情況進一步修訂校內管理辦法。
此外,隨著信息化項目建設中全生命周期網絡安全規(guī)范的建立,將逐步建立各信息化項目的個人信息安全風險評估與審計機制,建立投訴舉報機制,落實個人信息保護監(jiān)管,更有效地預防此類安全問題的發(fā)生。
圖1是近年校內個人信息網絡安全事件的統(tǒng)計情況,可見此類事件仍呈上升態(tài)勢,主要原因是近3年校內才正式開展此類工作,通過不斷加強檢測和管理力度,使得原來未發(fā)現的問題大量暴露出來。
圖1 近年校內個人信息網絡安全事件統(tǒng)計
相信未來一段時間個人信息安全問題仍將很突出,甚至進一步增加,只有堅持不懈地加強和改進相關工作才能盡快迎來拐點,真正提高校內個人信息保護能力和水平。
(本文刊載于《中國教育網絡》雜志2020年5月刊,作者:李先毅 于廣輝 鄭維 劉瑾,單位為大連理工大學網絡與信息化中心)
- 上一篇:校園網VPN服務面臨的安全挑戰(zhàn)
- 下一篇:在線教育如何更公平更高效
