個(gè)人信息保護(hù)不僅是當(dāng)下網(wǎng)絡(luò)安全領(lǐng)域主要研究問(wèn)題之一,更成為了重要的社會(huì)問(wèn)題之一,。
近年國(guó)際上不斷加大個(gè)人信息保護(hù)力度,,如2018年歐洲出臺(tái)了號(hào)稱史上最嚴(yán)格的個(gè)人數(shù)據(jù)保護(hù)條例-GDPR,將個(gè)人信息保護(hù)提升到一個(gè)新高度,。國(guó)內(nèi)也從法律法規(guī),、國(guó)家標(biāo)準(zhǔn)等多方面出臺(tái)了各種個(gè)人信息保護(hù)措施,如表1,。
表1 國(guó)內(nèi)個(gè)人信息保護(hù)相關(guān)部分法律法規(guī)及國(guó)標(biāo)
2020年伊始全社會(huì)最重要的新冠疫情防控工作中,,也突出強(qiáng)調(diào)了個(gè)人信息保護(hù),中央網(wǎng)信辦發(fā)布《關(guān)于做好個(gè)人信息保護(hù)利用大數(shù)據(jù)支撐聯(lián)防聯(lián)控工作的通知》,,強(qiáng)調(diào)要高度重視個(gè)人信息保護(hù)工作,,為疫情防控收集的個(gè)人信息不得用于其他用途,任何單位和個(gè)人未經(jīng)被收集者同意不得公開個(gè)人信息,。
高校在個(gè)人信息保護(hù)上也存在短板,,個(gè)人信息泄露事件頻現(xiàn),因此在大力發(fā)展信息化的同時(shí)急需加強(qiáng)個(gè)人信息保護(hù),。
個(gè)人信息保護(hù)制度建設(shè)
對(duì)于該問(wèn)題,,近年大連理工大學(xué)也開展了相關(guān)的探索與實(shí)踐,首先是通過(guò)建章立制,,明確個(gè)人信息保護(hù)的校內(nèi)管理規(guī)則,,然后在規(guī)則框架內(nèi)開展相關(guān)實(shí)踐工作如專項(xiàng)檢查等,再根據(jù)實(shí)踐的情況調(diào)整相關(guān)制度,。
學(xué)校出臺(tái)的一系列網(wǎng)絡(luò)安全及信息化建設(shè)的制度文件中均有個(gè)人信息保護(hù)的內(nèi)容,,為此項(xiàng)探索工作積累了一定經(jīng)驗(yàn),,相關(guān)文件下載鏈接http://its.dlut.edu.cn/gzzd/xj.htm 。
2018年隨著該問(wèn)題的日益嚴(yán)重,,學(xué)校開始研究制定專門的管理制度,,于2019年印發(fā)《大連理工大學(xué)信息化個(gè)人信息保護(hù)管理辦法(試行)》并開始施行。
《大連理工大學(xué)信息化個(gè)人信息保護(hù)管理辦法(試行)》(以下簡(jiǎn)稱管理辦法)依照網(wǎng)絡(luò)安全法,、刑法修正案九等國(guó)家法律法規(guī),,主要參考國(guó)標(biāo)《GB/T 35273—2017信息安全技術(shù) 個(gè)人信息安全規(guī)范》及公安部《互聯(lián)網(wǎng)個(gè)人信息保護(hù)指南》制定,共五章十七條,,從定義,、基本原則、責(zé)任分工,、具體措施,、責(zé)任認(rèn)定及追責(zé)等幾個(gè)方面規(guī)定了在學(xué)校信息化建設(shè)中個(gè)人信息保護(hù)相關(guān)工作如何開展。
管理辦法第一章總綱中參考國(guó)標(biāo)明確了校內(nèi)個(gè)人信息及個(gè)人敏感信息的定義,,個(gè)人敏感信息屬于個(gè)人信息的一部分,,但兩類信息受到損害對(duì)于信息所有者的侵害程度在本質(zhì)上又不同,因此要區(qū)分兩類信息,,并采取不同的保護(hù)措施,。
總綱還明確了個(gè)人信息保護(hù)的4項(xiàng)基本原則,包括:合法原則,、最小必要原則,、安全原則、知情同意原則,。
合法原則是工作底限,,校內(nèi)信息化建設(shè)中涉及到個(gè)人信息保護(hù)的問(wèn)題必須要依照國(guó)家法律法規(guī)進(jìn)行;最小必要原則是防止個(gè)人信息被濫用的基礎(chǔ),,濫用也是目前最主要的個(gè)人信息安全問(wèn)題中之一,;安全原則是對(duì)個(gè)人信息處置中的基本要求,在采集,、存儲(chǔ),、使用、刪除等各個(gè)環(huán)節(jié)中都要考慮如何保護(hù)個(gè)人信息的安全,,避免被泄露,、損害及丟失。
知情同意原則是目前個(gè)人信息保護(hù)問(wèn)題中的核心問(wèn)題,,也是比較難以解決的問(wèn)題,,主要難點(diǎn)是在操作層面如何落實(shí)相關(guān)策略,。歐盟的GDPR中對(duì)此原則有詳細(xì)具體的規(guī)定,,并通過(guò)巨額罰單來(lái)推動(dòng)執(zhí)行,但在當(dāng)前國(guó)內(nèi)高校信息化場(chǎng)景下,嚴(yán)格執(zhí)行此原則缺乏現(xiàn)實(shí)條件,。本管理辦法結(jié)合學(xué)校實(shí)際情況,,強(qiáng)調(diào)在國(guó)家法律法規(guī)框架內(nèi)落實(shí)該原則,重點(diǎn)在知情上,。
管理辦法對(duì)校內(nèi)個(gè)人信息保護(hù)工作的分工進(jìn)行了規(guī)定,,確定學(xué)校網(wǎng)絡(luò)安全與信息化管理委員會(huì)及下設(shè)的網(wǎng)絡(luò)與信息安全工作組為該項(xiàng)工作的領(lǐng)導(dǎo)機(jī)構(gòu),網(wǎng)絡(luò)與信息化中心負(fù)責(zé)組織實(shí)施,、監(jiān)督檢查,,各二級(jí)部門負(fù)責(zé)本部門個(gè)人信息保護(hù)工作的具體落實(shí)。
管理辦法還對(duì)校內(nèi)師生的權(quán)力和義務(wù)作了規(guī)定,,作為個(gè)人信息的所有者,,師生有權(quán)查詢、更正個(gè)人信息,,也有權(quán)對(duì)違規(guī)行為進(jìn)行舉報(bào),,同時(shí)也有義務(wù)維護(hù)和保全個(gè)人信息,并不得妨礙他人的個(gè)人信息保護(hù),。
管理辦法的重點(diǎn)內(nèi)容是信息化建設(shè)中個(gè)人信息處置中的保護(hù)措施,,個(gè)人信息的處置包括采集、存儲(chǔ),、使用,、共享、公開與刪除等幾個(gè)環(huán)節(jié),。
信息化建設(shè)中個(gè)人信息采集統(tǒng)一由相關(guān)數(shù)據(jù)的主管部門負(fù)責(zé),,相關(guān)業(yè)務(wù)系統(tǒng)作為數(shù)據(jù)源系統(tǒng),學(xué)校公共數(shù)據(jù)平臺(tái)是個(gè)人信息集中統(tǒng)一的存儲(chǔ)平臺(tái),,且個(gè)人信息在存儲(chǔ),、傳輸過(guò)程中必須進(jìn)行加密處理。
其他業(yè)務(wù)部門,、信息系統(tǒng)禁止進(jìn)行個(gè)人信息采集,,如需使用個(gè)人信息,在滿足合法性,、必要性和安全性要求前提下,,必須通過(guò)數(shù)據(jù)交換從公共數(shù)據(jù)平臺(tái)獲取。
在個(gè)人信息使用過(guò)程中嚴(yán)禁超范圍使用,,禁止非數(shù)據(jù)源業(yè)務(wù)系統(tǒng)提供批量導(dǎo)出個(gè)人信息功能,,對(duì)于個(gè)人信息的查詢、修改等操作應(yīng)提供必要的日志及審計(jì)功能,。
為避免個(gè)人信息直接泄露,,在信息系統(tǒng)中必須要通過(guò)界面(如顯示屏幕,、紙面)展示的個(gè)人信息要進(jìn)行去標(biāo)識(shí)化處理,個(gè)人信息的核對(duì)需通過(guò)信息系統(tǒng)后臺(tái)完成,,不應(yīng)由人工進(jìn)行核對(duì),。
只有相關(guān)法律法規(guī)有明確規(guī)定需要公示的個(gè)人信息,才可進(jìn)行公開,,且通過(guò)信息組合能識(shí)別特定自然人身份并滿足公示要求即可,,嚴(yán)禁超范圍公開其他相關(guān)信息,公示的個(gè)人信息必須進(jìn)行去標(biāo)識(shí)化處理,,不得直接公開完整信息,。
對(duì)于部分個(gè)人敏感信息不宜公開和共享,管理辦法中也明確進(jìn)行了說(shuō)明,。當(dāng)信息系統(tǒng)結(jié)束生命周期時(shí),,應(yīng)徹底刪除所存儲(chǔ)的個(gè)人信息,對(duì)于違規(guī)獲取的個(gè)人信息也應(yīng)及時(shí)徹底刪除,。
管理辦法中還規(guī)定了責(zé)任認(rèn)定方式,、追責(zé)辦法等,校內(nèi)個(gè)人信息去標(biāo)志化參考指南作為附件與管理辦法同時(shí)印發(fā),。
去標(biāo)識(shí)化參考指南中明確了基本原則,,應(yīng)保證處理后的信息無(wú)法或很難進(jìn)行復(fù)原,這也是與國(guó)家標(biāo)準(zhǔn)保持一致的,,遵循這一原則是保障公開信息不變成泄露信息的基礎(chǔ),。
以此原則審視,目前很多個(gè)人信息去標(biāo)識(shí)化的處置是不恰當(dāng)?shù)?,比如身份證號(hào)的處理經(jīng)常是隱藏中間生日的8位,,但這8位信息復(fù)原難度并不大,以此種方式公開個(gè)人信息變成個(gè)人信息泄露的風(fēng)險(xiǎn)比較高,,因此在指南中建議身份證號(hào)去標(biāo)識(shí)化處理要隱藏最后6位或者8位數(shù)字,。
在一些公示中要求能明確定位特定的自然人,按照管理辦法及本指南,,應(yīng)通過(guò)多條去標(biāo)識(shí)化后的信息綜合定位,,而不是通過(guò)某項(xiàng)完整的個(gè)人信息來(lái)實(shí)現(xiàn),這樣即能達(dá)到公示的需求也能滿足個(gè)人信息保護(hù)的要求,。
個(gè)人信息保護(hù)工作實(shí)踐
按照各項(xiàng)管理制度的規(guī)定,,近年大連理工大學(xué)也在信息化建設(shè)工作中不斷實(shí)踐個(gè)人信息保護(hù)的各類措施。
首先在信息化建設(shè)中增加了個(gè)人信息保護(hù)的工作,,主要是在數(shù)據(jù)和項(xiàng)目的管理上,。
目前大連理工大學(xué)的信息化項(xiàng)目已經(jīng)實(shí)現(xiàn)統(tǒng)一管理,校內(nèi)重要信息系統(tǒng)都在網(wǎng)絡(luò)與信息化中心的監(jiān)管下進(jìn)行建設(shè),,同時(shí)數(shù)據(jù)也集中在數(shù)據(jù)中心,,核心基礎(chǔ)數(shù)據(jù)更是統(tǒng)一在公共數(shù)據(jù)平臺(tái)中管理,。
在信息化建設(shè)中明確各類信息系統(tǒng)要統(tǒng)一對(duì)接學(xué)校統(tǒng)一身份認(rèn)證,不得單獨(dú)建立用戶認(rèn)證功能,,不得單獨(dú)搜集用戶個(gè)人信息。
在信息化數(shù)據(jù)管理中要求校內(nèi)各類基礎(chǔ)數(shù)據(jù)包括個(gè)人信息數(shù)據(jù)必須以公共數(shù)據(jù)平臺(tái)提供的數(shù)據(jù)為準(zhǔn),,在數(shù)據(jù)資源申請(qǐng)流程中增加了個(gè)人信息情況審核環(huán)節(jié),。
其次,在網(wǎng)絡(luò)安全工作方面,,一方面加強(qiáng)對(duì)涉及個(gè)人信息安全問(wèn)題的處置力度,,在校內(nèi)網(wǎng)絡(luò)安全事件分級(jí)實(shí)用指南中將此類安全事件均定級(jí)為校內(nèi)II級(jí)事件,這是校內(nèi)日常安全工作中最嚴(yán)重的網(wǎng)絡(luò)安全事件,,相應(yīng)的時(shí)效性,、徹底性要求也是最高的,對(duì)于涉及大量個(gè)人信息的網(wǎng)絡(luò)安全事件更是可直接定級(jí)為校內(nèi)最高級(jí)別的I級(jí)事件,。
另一方面開展專項(xiàng)檢查,,在2017年、2019年分別進(jìn)行了2次個(gè)人信息保護(hù)的專項(xiàng)檢查,,發(fā)現(xiàn)并及時(shí)解決了大量相關(guān)問(wèn)題,,未來(lái)計(jì)劃每年都將開展此類專項(xiàng)檢查工作。
未來(lái)工作
新國(guó)標(biāo)個(gè)人信息去標(biāo)識(shí)化指南已經(jīng)于今年3月1日開始施行,,新的個(gè)人信息保護(hù)國(guó)標(biāo)也將于今年10月開始施行,,個(gè)人信息保護(hù)法今年也很有可能完成立法程序。目前校內(nèi)各項(xiàng)個(gè)人信息保護(hù)相關(guān)的管理制度均可能存在不符合新法律,、國(guó)標(biāo)的問(wèn)題,,未來(lái)將結(jié)合實(shí)際情況進(jìn)一步修訂校內(nèi)管理辦法。
此外,,隨著信息化項(xiàng)目建設(shè)中全生命周期網(wǎng)絡(luò)安全規(guī)范的建立,,將逐步建立各信息化項(xiàng)目的個(gè)人信息安全風(fēng)險(xiǎn)評(píng)估與審計(jì)機(jī)制,建立投訴舉報(bào)機(jī)制,,落實(shí)個(gè)人信息保護(hù)監(jiān)管,,更有效地預(yù)防此類安全問(wèn)題的發(fā)生。
圖1是近年校內(nèi)個(gè)人信息網(wǎng)絡(luò)安全事件的統(tǒng)計(jì)情況,,可見此類事件仍呈上升態(tài)勢(shì),,主要原因是近3年校內(nèi)才正式開展此類工作,通過(guò)不斷加強(qiáng)檢測(cè)和管理力度,,使得原來(lái)未發(fā)現(xiàn)的問(wèn)題大量暴露出來(lái),。
圖1 近年校內(nèi)個(gè)人信息網(wǎng)絡(luò)安全事件統(tǒng)計(jì)
相信未來(lái)一段時(shí)間個(gè)人信息安全問(wèn)題仍將很突出,甚至進(jìn)一步增加,,只有堅(jiān)持不懈地加強(qiáng)和改進(jìn)相關(guān)工作才能盡快迎來(lái)拐點(diǎn),,真正提高校內(nèi)個(gè)人信息保護(hù)能力和水平,。
(本文刊載于《中國(guó)教育網(wǎng)絡(luò)》雜志2020年5月刊,作者:李先毅 于廣輝 鄭維 劉瑾,,單位為大連理工大學(xué)網(wǎng)絡(luò)與信息化中心)
