购物吧

您的位置:网站首页 > 经验交流

大工经验丨如何做好高校个人信息工作

作者:habao 来源:未知 日期:2020-5-7 18:54:54 人气: 标签:工作经验
导读:小村庄的风流韵事近年国际上不断加大个人信息力度,如2018年欧洲出台了号称史上最严格的个人数据条例-PR,将个人信息提升到一个新高度。国内也从法律法规、国家标…

  小村庄的风流韵事近年国际上不断加大个人信息力度,如2018年欧洲出台了号称史上最严格的个人数据条例-PR,将个人信息提升到一个新高度。国内也从法律法规、国家标准等多方面出台了各种个人信息措施,如表1。

  2020年伊始全社会最重要的新冠疫情防控工作中,也突出强调了个人信息,中央网信办发布《关于做好个人信息利用大数据支撑联防联控工作的通知》,强调要高度重视个人信息工作,为疫情防控收集的个人信息不得用于其他用途,任何单位和个人未经被收集者同意不得公开个人信息。

  高校在个人信息上也存在短板,个人信息泄露事件频现,因此在大力发展信息化的同时急需加强个人信息。

  对于该问题,近年大连理工大学也开展了相关的探索与实践,首先是通过建章立制,明确个人信息的校内管理规则,然后在规则框架内开展相关实践工作如专项检查等,再根据实践的情况调整相关制度。

  学校出台的一系列网络安全及信息化建设的制度文件中均有个人信息的内容,为此项探索工作积累了一定经验,相关文件下载链接。

  2018年随着该问题的日益严重,学校开始研究制定专门的管理制度,于2019年印发《大连理工大学信息化个人信息管理办法(试行)》并开始施行。

  《大连理工大学信息化个人信息管理办法(试行)》(以下简称管理办法)依照网络安全法、刑法修正案九等国家法律法规,主要参考国标《GB/T 35273—2017信息安全技术 个人信息安全规范》及《互联网个人信息指南》制定,共五章十七条,从定义、基本原则、责任分工、具体措施、责任认定及追责等几个方面了在学校信息化建设中个人信息相关工作如何开展。

  管理办法第一章总纲中参考国标明确了校内个人信息及个人信息的定义,个人信息属于个人信息的一部分,但两类信息受到损害对于信息所有者的侵害程度在本质上又不同,因此要区分两类信息,并采取不同的措施。

  总纲还明确了个人信息的4项基本原则,包括:原则、最小必要原则、安全原则、知情同意原则。

  原则是工作底限,校内信息化建设中涉及到个人信息的问题必须要依照国家法律法规进行;最小必要原则是防止个人信息被的基础,也是目前最主要的个人信息安全问题中之一;安全原则是对个人信息处置中的基本要求,在采集、存储、使用、删除等各个环节中都要考虑如何个人信息的安全,避免被泄露、损害及丢失。

  知情同意原则是目前个人信息问题中的核心问题,也是比较难以解决的问题,主要难点是在操作层面如何落实相关策略。欧盟的PR中对此原则有详细具体的,并通过巨额罚单来推动执行,但在当前国内高校信息化场景下,严格执行此原则缺乏现实条件。本管理办法结合学校实际情况,强调在国家法律法规框架内落实该原则,重点在知情上。

  管理办法对校内个人信息工作的分工进行了,确定学校网络安全与信息化管理委员会及下设的网络与信息安全工作组为该项工作的领导机构,网络与信息化中心负责组织实施、监督检查,各二级部门负责本部门个人信息工作的具体落实。

  管理办法还对校内师生的和义务作了,作为个人信息的所有者,师生有权查询、更正个人信息,也有权对违规行为进行举报,同时也有义务和保全个人信息,并不得妨碍他人的个人信息。

  管理办法的重点内容是信息化建设中个人信息处置中的措施,个人信息的处置包括采集、存储、使用、共享、公开与删除等几个环节。

  信息化建设中个人信息采集统一由相关数据的主管部门负责,相关业务系统作为数据源系统,学校公共数据平台是个人信息集中统一的存储平台,且个人信息在存储、传输过程中必须进行加密处理。

  其他业务部门、信息系统进行个人信息采集,如需使用个人信息,在满足性、必要性和安全性要求前提下,必须通过数据交换从公共数据平台获取。

  在个人信息使用过程中严禁超范围使用,非数据源业务系统提供批量导出个人信息功能,对于个人信息的查询、修改等操作应提供必要的日志及审计功能。

  为避免个人信息直接泄露,在信息系统中必须要通过界面(如显示屏幕、纸面)展示的个人信息要进行去标识化处理,个人信息的核对需通过信息系统后台完成,不应由人工进行核对。

  只有相关法律法规有明确需要公示的个人信息,才可进行公开,且通过信息组合能识别特定自然人身份并满足公示要求即可,严禁超范围公开其他相关信息,公示的个人信息必须进行去标识化处理,不得直接公开完整信息。

  对于部分个人信息不宜公开和共享,管理办法中也明确进行了说明。当信息系统结束生命周期时,应彻底删除所存储的个人信息,对于违规获取的个人信息也应及时彻底删除。

  管理办法中还了责任认定方式、追责办法等,校内个人信息去标志化参考指南作为附件与管理办法同时印发。

  去标识化参考指南中明确了基本原则,应处理后的信息无法或很难进行复原,这也是与国家标准保持一致的,遵循这一原则是保障息不变成泄露信息的基础。

  以此原则审视,目前很多个人信息去标识化的处置是不恰当的,比如身份证号的处理经常是隐藏中间生日的8位,但这8位信息复原难度并不大,以此种方式公开个人信息变成个人信息泄露的风险比较高,因此在指南中身份证号去标识化处理要隐藏最后6位或者8位数字。

  在一些公示中要求能明确定位特定的自然人,按理办法及本指南,应通过多条去标识化后的信息综合定位,而不是通过某项完整的个人信息来实现,这样即能达到公示的需求也能满足个人信息的要求。

  按照各项管理制度的,近年大连理工大学也在信息化建设工作中不断实践个人信息的各类措施。

  目前大连理工大学的信息化项目已经实现统一管理,校内重要信息系统都在网络与信息化中心的监管下进行建设,同时数据也集中在数据中心,核心基础数据更是统一在公共数据平台中管理。

  在信息化建设中明确各类信息系统要统一对接学校统一身份认证,不得单独建立用户认证功能,不得单独搜集用户个人信息。

  在信息化数据管理中要求校内各类基础数据包括个人信息数据必须以公共数据平台提供的数据为准,在数据资源申请流程中增加了个人信息情况审核环节。

  其次,在网络安全工作方面,一方面加强对涉及个人信息安全问题的处置力度,在校内网络安全事件分级实用指南中将此类安全事件均定级为校内II级事件,这是校内日常安全工作中最严重的网络安全事件,相应的时效性、彻底性要求也是最高的,对于涉及大量个人信息的网络安全事件更是可直接定级为校内最高级别的I级事件。

  另一方面开展专项检查,在2017年、2019年分别进行了2次个人信息的专项检查,发现并及时解决了大量相关问题,未来计划每年都将开展此类专项检查工作。

  新国标个人信息去标识化指南已经于今年3月1日开始施行,新的个人信息国标也将于今年10月开始施行,个人信息保今年也很有可能完成立法程序。目前校内各项个人信息相关的管理制度均可能存在不符合新法律、国标的问题,未来将结合实际情况进一步修订校内管理办法。

  此外,随着信息化项目建设中全生命周期网络安全规范的建立,将逐步建立各信息化项目的个人信息安全风险评估与审计机制,建立投诉举报机制,落实个人信息监管,更有效地预防此类安全问题的发生。

  图1是近年校内个人信息网络安全事件的统计情况,可见此类事件仍呈上升态势,主要原因是近3年校内才正式开展此类工作,通过不断加强检测和管理力度,使得原来未发现的问题大量出来。

  相信未来一段时间个人信息安全问题仍将很突出,甚至进一步增加,只有不懈地加强和改进相关工作才能尽快迎来拐点,真正提高校内个人信息能力和水平。

  (本文刊载于《中国教育网络》2020年5月刊,作者:李先毅 于广辉 郑维 刘瑾,单位为大连理工大学网络与信息化中心)

  特别声明:本站注明来源为其他的文/图等均为转载稿,本站转载出于非商业性的教育和科研之目的,并不意味着赞同其观点或其内容的真实性。如转载稿涉及版权等问题,请作者在两周内速来电或来函联系。

  2019年度教育信息化优秀案例丨大连理工大学:项目全生命周期网络安全管理探索与实践2020/04/24法国旅游线路https://www.uzai.com/tourbook/0910d441/

  

关键词:工作经验
下一篇:没有资料
共有:条评论信息评论信息
发表评论
姓 名:
验证码: