个人信息保护不仅是当下网络安全领域主要研究问题之一,更成为了重要的社会问题之一。
近年国际上不断加大个人信息保护力度,如2018年欧洲出台了号称史上最严格的个人数据保护条例-GDPR,将个人信息保护提升到一个新高度。国内也从法律法规、国家标准等多方面出台了各种个人信息保护措施,如表1。
表1 国内个人信息保护相关部分法律法规及国标
2020年伊始全社会最重要的新冠疫情防控工作中,也突出强调了个人信息保护,中央网信办发布《关于做好个人信息保护利用大数据支撑联防联控工作的通知》,强调要高度重视个人信息保护工作,为疫情防控收集的个人信息不得用于其他用途,任何单位和个人未经被收集者同意不得公开个人信息。
高校在个人信息保护上也存在短板,个人信息泄露事件频现,因此在大力发展信息化的同时急需加强个人信息保护。
个人信息保护制度建设
对于该问题,近年大连理工大学也开展了相关的探索与实践,首先是通过建章立制,明确个人信息保护的校内管理规则,然后在规则框架内开展相关实践工作如专项检查等,再根据实践的情况调整相关制度。
学校出台的一系列网络安全及信息化建设的制度文件中均有个人信息保护的内容,为此项探索工作积累了一定经验,相关文件下载链接http://its.dlut.edu.cn/gzzd/xj.htm 。
2018年随着该问题的日益严重,学校开始研究制定专门的管理制度,于2019年印发《大连理工大学信息化个人信息保护管理办法(试行)》并开始施行。
《大连理工大学信息化个人信息保护管理办法(试行)》(以下简称管理办法)依照网络安全法、刑法修正案九等国家法律法规,主要参考国标《GB/T 35273—2017信息安全技术 个人信息安全规范》及公安部《互联网个人信息保护指南》制定,共五章十七条,从定义、基本原则、责任分工、具体措施、责任认定及追责等几个方面规定了在学校信息化建设中个人信息保护相关工作如何开展。
管理办法第一章总纲中参考国标明确了校内个人信息及个人敏感信息的定义,个人敏感信息属于个人信息的一部分,但两类信息受到损害对于信息所有者的侵害程度在本质上又不同,因此要区分两类信息,并采取不同的保护措施。
总纲还明确了个人信息保护的4项基本原则,包括:合法原则、最小必要原则、安全原则、知情同意原则。
合法原则是工作底限,校内信息化建设中涉及到个人信息保护的问题必须要依照国家法律法规进行;最小必要原则是防止个人信息被滥用的基础,滥用也是目前最主要的个人信息安全问题中之一;安全原则是对个人信息处置中的基本要求,在采集、存储、使用、删除等各个环节中都要考虑如何保护个人信息的安全,避免被泄露、损害及丢失。
知情同意原则是目前个人信息保护问题中的核心问题,也是比较难以解决的问题,主要难点是在操作层面如何落实相关策略。欧盟的GDPR中对此原则有详细具体的规定,并通过巨额罚单来推动执行,但在当前国内高校信息化场景下,严格执行此原则缺乏现实条件。本管理办法结合学校实际情况,强调在国家法律法规框架内落实该原则,重点在知情上。
管理办法对校内个人信息保护工作的分工进行了规定,确定学校网络安全与信息化管理委员会及下设的网络与信息安全工作组为该项工作的领导机构,网络与信息化中心负责组织实施、监督检查,各二级部门负责本部门个人信息保护工作的具体落实。
管理办法还对校内师生的权力和义务作了规定,作为个人信息的所有者,师生有权查询、更正个人信息,也有权对违规行为进行举报,同时也有义务维护和保全个人信息,并不得妨碍他人的个人信息保护。
管理办法的重点内容是信息化建设中个人信息处置中的保护措施,个人信息的处置包括采集、存储、使用、共享、公开与删除等几个环节。
信息化建设中个人信息采集统一由相关数据的主管部门负责,相关业务系统作为数据源系统,学校公共数据平台是个人信息集中统一的存储平台,且个人信息在存储、传输过程中必须进行加密处理。
其他业务部门、信息系统禁止进行个人信息采集,如需使用个人信息,在满足合法性、必要性和安全性要求前提下,必须通过数据交换从公共数据平台获取。
在个人信息使用过程中严禁超范围使用,禁止非数据源业务系统提供批量导出个人信息功能,对于个人信息的查询、修改等操作应提供必要的日志及审计功能。
为避免个人信息直接泄露,在信息系统中必须要通过界面(如显示屏幕、纸面)展示的个人信息要进行去标识化处理,个人信息的核对需通过信息系统后台完成,不应由人工进行核对。
只有相关法律法规有明确规定需要公示的个人信息,才可进行公开,且通过信息组合能识别特定自然人身份并满足公示要求即可,严禁超范围公开其他相关信息,公示的个人信息必须进行去标识化处理,不得直接公开完整信息。
对于部分个人敏感信息不宜公开和共享,管理办法中也明确进行了说明。当信息系统结束生命周期时,应彻底删除所存储的个人信息,对于违规获取的个人信息也应及时彻底删除。
管理办法中还规定了责任认定方式、追责办法等,校内个人信息去标志化参考指南作为附件与管理办法同时印发。
去标识化参考指南中明确了基本原则,应保证处理后的信息无法或很难进行复原,这也是与国家标准保持一致的,遵循这一原则是保障公开信息不变成泄露信息的基础。
以此原则审视,目前很多个人信息去标识化的处置是不恰当的,比如身份证号的处理经常是隐藏中间生日的8位,但这8位信息复原难度并不大,以此种方式公开个人信息变成个人信息泄露的风险比较高,因此在指南中建议身份证号去标识化处理要隐藏最后6位或者8位数字。
在一些公示中要求能明确定位特定的自然人,按照管理办法及本指南,应通过多条去标识化后的信息综合定位,而不是通过某项完整的个人信息来实现,这样即能达到公示的需求也能满足个人信息保护的要求。
个人信息保护工作实践
按照各项管理制度的规定,近年大连理工大学也在信息化建设工作中不断实践个人信息保护的各类措施。
首先在信息化建设中增加了个人信息保护的工作,主要是在数据和项目的管理上。
目前大连理工大学的信息化项目已经实现统一管理,校内重要信息系统都在网络与信息化中心的监管下进行建设,同时数据也集中在数据中心,核心基础数据更是统一在公共数据平台中管理。
在信息化建设中明确各类信息系统要统一对接学校统一身份认证,不得单独建立用户认证功能,不得单独搜集用户个人信息。
在信息化数据管理中要求校内各类基础数据包括个人信息数据必须以公共数据平台提供的数据为准,在数据资源申请流程中增加了个人信息情况审核环节。
其次,在网络安全工作方面,一方面加强对涉及个人信息安全问题的处置力度,在校内网络安全事件分级实用指南中将此类安全事件均定级为校内II级事件,这是校内日常安全工作中最严重的网络安全事件,相应的时效性、彻底性要求也是最高的,对于涉及大量个人信息的网络安全事件更是可直接定级为校内最高级别的I级事件。
另一方面开展专项检查,在2017年、2019年分别进行了2次个人信息保护的专项检查,发现并及时解决了大量相关问题,未来计划每年都将开展此类专项检查工作。
未来工作
新国标个人信息去标识化指南已经于今年3月1日开始施行,新的个人信息保护国标也将于今年10月开始施行,个人信息保护法今年也很有可能完成立法程序。目前校内各项个人信息保护相关的管理制度均可能存在不符合新法律、国标的问题,未来将结合实际情况进一步修订校内管理办法。
此外,随着信息化项目建设中全生命周期网络安全规范的建立,将逐步建立各信息化项目的个人信息安全风险评估与审计机制,建立投诉举报机制,落实个人信息保护监管,更有效地预防此类安全问题的发生。
图1是近年校内个人信息网络安全事件的统计情况,可见此类事件仍呈上升态势,主要原因是近3年校内才正式开展此类工作,通过不断加强检测和管理力度,使得原来未发现的问题大量暴露出来。
图1 近年校内个人信息网络安全事件统计
相信未来一段时间个人信息安全问题仍将很突出,甚至进一步增加,只有坚持不懈地加强和改进相关工作才能尽快迎来拐点,真正提高校内个人信息保护能力和水平。
(本文刊载于《中国教育网络》杂志2020年5月刊,作者:李先毅 于广辉 郑维 刘瑾,单位为大连理工大学网络与信息化中心)
- 上一篇:校园网VPN服务面临的安全挑战
- 下一篇:在线教育如何更公平更高效