《个人信息保护法(草案)》发布,高校有哪些举措?

发布者:系统管理员发布时间:2020-10-30浏览次数:1541

10月21日,中国人大网公布《个人信息保护法(草案)》(以下简称“《草案》”),向社会公开征求意见,意见反馈时间截至2020年11月19日。

《草案》吸收了《网络安全法》《消费者权益保护法》《广告法》《电子商务法》《关于加强网络信息保护的决定》《电信和互联网用户个人信息保护规定》《信息技术安全个人信息安全规范》等法律文件对个人信息保护的相关规定,并结合实践经验,同时吸收GDPR等国际经验,形成了一部相对完善的立法草案。

总体而言,《草案》既明确了我国个人信息及相关概念的定义、此法的适用范围,又确立了个人信息处理的原则,要求健全个人信息保护的体制机制……诸多举措切实为群众个人信息保护提供了强有力的法律保障。

高校拥有大量的学生及教职工信息、教学教务数据,因此高校的个人信息保护也是十分值得关注的话题之一。

那么,想知道目前我国高校个人信息保护现状或下一步计划吗?小编整理了部分高校的教育信息化专家观点,一起来看

中国科学技术大学网络信息中心主任  李京

大网络信息中心承建学校的数据中心,但业务系统由各部门自己承建。学校重视个人数据安全保护工作,下一步计划出台学校层面的数据保护制度,细化个人数据保护的相关规定,并从以下四方面切实保障个人数据安全:

● 加大宣传教育,向各个部门普及网络安全法等,引起各部门领导重视。各业务部门在开发系统时,尽量不去收集不必要的个人数据。

● 以等保为抓手,要求所有涉及隐私的数据做到等级保护二级的标准,并且相关系统需集中到网信中心的等保机房,进行统一运维和保护。

● 在和支付宝、银联、微信等第三方对接时,禁止向外提供师生员工的个人信息,所有绑定认证的个人数据由第三方单向提供给学校。

● 在向校内各单位提供数据时,除了相关流程,还要求对其系统进行测评,只有测评合格,确定系统保护达到一定级别,才允许其使用有限数据。


深圳大学信息中心副主任  江魁

目前深圳大学已出台部门级的相关制度:《深圳大学数据共享管理办法》和《数据库运维服务管理规范》,努力推进校级层面制度的出台,并在以下几个方面稳步探索:

● 构建数据中心:以虚拟化云平台为基础,构建三个校区的数据中心,彼此之间各有侧重,互为备份。

● 数据分级分类保护:在进行混合云建设的探索,将对外服务放在公有云上,重要数据放在自建的私有云上,通过对数据分类分级保护,提高核心个人数据的安全。

● 人员设备调整:设立数据安全专职专岗;通过下一步相关的建设项目补充和完善数据安全防护设备及系统方面的短板。

上海财经大学信息办公室党支部书记 朱杨兴 

上海财经大学的数据中心已成立六年多,尽管在制度上还没有形成专门的个人数据安全管理办法,但数据库的运营相对成熟,相应的规范较为完备:

● 首先,数据库绝对保密,只有数据库管理员和各个业务系统的管理员分别可接触全部数据或部分数据。

● 其次,与校外第三方公司合作开发新系统或新功能时,一般使用脱敏数据,学校有一套专门的脱敏产品,对数据中的证件号、联系方式、地址等比较敏感的数据进行处理。

● 此外,校内人员使用数据时,均需要走学校流程进行申请,分管校长审批通过,他们才能使用数据。

东北财经大学网络信息中心副主任 陈伟

东北财经大学建设了智慧校园相关平台,包括业务中台、技术中台、用户中台,通过“用户中台”把学校各个部门分散管理的个人数据进行集中管理,并以接口形式对外提供服务:

● “用户中台”增强体系安全:数据集中管理、保护、授权使用,减少安全风险点,提升体系安全防护能力;严格落实相关法律法规,数据被使用的过程中支持用户二次授权过程。

● 进一步措施健全防护体系:首先明确数据、数据所有者、数据使用者的关系;其次,加强用户授权;此外,丰富数据的资源属性,增加开放数据的外延属性来加强数据安全管理。

厦门大学信息与网络中心副主任 郑海山

门大学已建立基于关系型数据库的主数据中心,将现有各个系统中的数据统一到数据中心,然后再根据需要授权相应的数据给不同的系统使用,即对数据进行集中保护:

● 数据集中后的共享方式,应尽量减少直接暴露数据库视图等方式,采取微服务或者API等模式对外提供。

● 业务的操作逻辑通过调用API,可以做权限和数据校验等安全性判断,也可以对调用进行跟踪,而且实时性更高。

● 重视数据的归属权,思考师生在高校业务系统内产生的数据,应如何归属,属于学校还是师生?校外第三方若要调用这些数据,应通过什么流程?

大连理工大学网络与信息化中心网络安全部部长 李先毅

我校于2019年出台了《大连理工大学信息化个人信息保护管理办法(试行)》,主要是规范了学校信息化建设中个人信息保护相关工作,目前主要从“审”和“查”两方面来落实管理办法:

● “审”:在信息化数据管理的申请流程中,对各信息化项目建设中从学校公共数据平台交换共享的数据进行审核。

● “查”:一是每年开展个人信息保护的专项检查,针对校内各网站公开信息进行个人信息泄露情况检查;二是在校内日常的网络安全检测中,增加了数据库内容检查。