论文部分内容阅读
摘 要:随着大数据时代的来临,信息化过程中用户产生的数据越来越多,为了给用户提供更便利、高效的服务,需要收集和分析用户的多维、海量的数据,包括姓名等隐私信息及指纹等个人生物信息。这不仅带来了全方位的社会变革,同时也带来了新的安全挑战。因此,高校需要在大数据存在的风险、面临的挑战及保护的措施等方面提高认知和采取措施以应对大数据时代的挑战。
关键词:法律视野;高校大数据;数据安全;数据隐私
数据安全现状
大数据时代,超范围采集个人信息、数据泄露、数据滥用、隐私安全等日渐成为明患隐忧。一方面,数据安全问题频发高发,根据风险基础安全(Risk Based Security)的数据统计,2020年全球数据泄露数量突破360亿条。侵犯公民个人信息犯罪以及因此滋生的电信、网络诈骗等下游违法犯罪行为已造成社会巨大损失。另一方面,随着人工智能技术发展,一些商家为了获得更高的利润,利用算法和大数据为不同类型用户制定“差异化价格”,即大数据“杀熟”现象也不断出现。
数据安全涉及每个公民的切身利益,如何合理合规地收集使用大數据、如何平衡个人信息保护和产业发展,成为当下亟待解决的问题。
高校大数据及管理上存在的风险
高校的师生数据有四大来源:一是在教学活动过程中直接产生的数据,如课堂教学、考试测评、网络互动等;二是在教育管理活动中采集的数据,如学生的家庭信息、学生的健康体检信息、教职工基础信息、学校基本信息、财物信息、设备资产信息等;三是在科学研究活动中采集的数据,如论文发表、科研设备运行等记录信息;四是在校园生活中产生的数据,如餐饮消费、上机上网、复印资料、健身洗浴等记录信息[1]。在高校大数据的使用和管理过程中,同样存在着数据泄露与滥用的风险。
高校大数据安全面临的挑战
1.数字化转型速度快,法律体系滞后。随着大数据应用的推进及数据安全相关问题的频发,国家立法层面越来越重视数据安全和个人信息保护,从2012年开始先后出台了一系列政策法规加强对个人信息的保护,关于数据安全和隐私保护的法律法规陆续完善,逐步有据可依[2]。2015年,《中华人民共和国刑法修正案(九)》新增了“侵犯公民个人信息罪”“非法利用信息网络罪”“帮助信息网络犯罪活动罪”,为网络个人隐私信息提供了刑法保护。2016年,《中华人民共和国网络安全法》“网络信息安全”章,从个人信息收集、使用以及保护的角度进行了规定。2020年5月,全国人大表决通过《中华人民共和国民法典》,对个人信息受法律保护的权利内容及其行使作了原则性规定,标志着个人信息主体的权利获得了基本法的确认,是我国个人信息保护立法体系的重要进步。目前,我国正在推进数据安全和个人信息保护法律法规,加速完善相关保护和监管规则。2020年7月,国家互联网信息办公室会同相关部门研究起草了《数据安全管理办法(征求意见稿)》,进一步细化了数据安全管理办法和准则。2020年10月21日,《中华人民共和国个人信息保护法(草案)》公布并公开征求社会公众意见。
整体来看,我国缺少在数据安全与隐私保护方面的专项法律及成熟体系,目前尚未发布正式的、专项的法律规范,而是散落于法律、行政法规、部门规章等多层次、多领域的规范当中,形成了一个内容分散、体系庞杂的数据安全与个人信息保护模式,这对于普通民众来说,很难形成直观、系统的认知,对关乎个人的隐私数据缺乏有效防护措施。
2.数据安全技术体系需要创新和提升。由于网络的虚拟性、开放性及互联网技术的创新升级,新型数据泄露、滥用事件隐蔽性越来越高,危害范围不断扩大。而我国在数据安全保护基础理论研究和技术研发上还处于起步阶段,如何预防数据泄露,如何检测与追踪被泄露的数据,仍有待于研究和产品技术研发。
3.师生隐私保护意识不足。师生关于自身隐私如何被收集利用的认知较为模糊,对于自身个人信息的泄露途径、方式等缺乏基本知识,对相关法律的熟知度较低,在日常生活、消费中无意间为个人信息泄露大开方便之门。在个人信息受到侵害或者可能受到侵害时,维权意识和维权能力偏低。
高校数据安全及个人隐私保护的措施
1.完善数据安全相关的法律体系。加快推进数据安全和个人信息隐私保护的立法进程,打破法律依据碎片化的局面,建立体系化、统一化的法律体系。虽然在数据安全和个人隐私方面我国已具备一定的法律基础,但并未进行领域类别的详细描述。针对纷繁复杂的身份信息、生物信息、活动信息等个人私密信息,在不同行业如何明确采集主体资格、数据使用范围、各阶段的安全责任等关键问题,仍须完善相应的法律政策体系,同时应进一步细化信息技术领域规范和标准,建立与之配套的制度,如数据分级分类制度、区分信息公开与隐私泄露的边界,为监管部门将被动执法转变为主动执法提供基本的依据和操作规范,为互联网时代大数据的合法合规使用提供法律支撑。
2.提升数据生命周期中信息保护的技术水平。数据安全问题的频发,倒逼数据安全保护技术的创新突破和提升。数据安全贯穿在数据生命周期的各个阶段。数据的生命周期,包括了数据的产生、采集、存储、流通、应用、销毁六个环节,涉及数据来源者、数据收集者、数据控制者、数据加工者四种主体角色。
第一,高校收集师生个人信息的运用必须合法合规,需要征求师生的个人同意或在师生已知的情况下进行,这也是大数据与用户权益保护的最根本原则,同时对收集的师生数据应该分级分类,明确各级别数据的防护措施。第二,数据共享与发布应当审核,数据使用在数据审计技术中开展数据安全监测评估。所有数据纳入监管,数据流向过程保证清晰可视,实现数据的全链路状态追踪,及时发现并阻断异常访问行为。第三,在数据传输与分析中使用数据脱敏、数据库加密等技术,隐藏用户的标识和属性信息可以减少用户的隐私泄露,提高用户数据的识别度,确保数据安全使用。第四,严格区分数据使用人员在数据管理与操作方面的权限,采用分级授权机制,尽可能对授权账户仅开放业务所需的最小权限,建立数据使用者负责制。第五,为数据设置使用周期,使用完成后,删除数据,降低信息保管成本与泄露风险。
3.强化师生的隐私保护意识。通过普法教育提高师生的个人信息安全防范意识,帮助其提高自我保护意识和能力,从源头上对个人信息泄露进行防范;进一步明确个人信息泄露造成的危害、掌握有效防范技能并树立维权意识,对于侵犯个人隐私的行为,要勇于拿起法律武器来捍卫自己的隐私权利[3]。
大数据时代,机遇与挑战并存,坚持数据安全与产业发展并重,筑牢高校大数据安全管理的防线,为师生提供安全健康的网络操作环境,有效保护师生隐私的前提下,促进数据的流通和应用,推动大数据在高校教学、管理中的稳健作用。
本文系“中国政法大学科研创新项目资助(项目编号:20ZFGL88001)”和“中央高校基本科研业务费专项资金资助”
参考文献:
[1]盛小平,焦凤枝.法律法规视角下的数据隐私治理[J/OL].
图书馆论坛:1-15[2021-03-01].http://kns.cnki.net/kcms/detail/44.1306.G2.20201229.1623.007.html.
[2]杨现民,王榴卉,唐斯斯.教育大数据的应用模式与政策建议[J].电化教育研究,2015,36(9):54-61,69.
[3]李子臣,杨义先.如何保护数据安全和个人隐私[J].金融经济,2018(11):17-19.
(作者单位:中国政法大学网络安全和信息化办公室)
[责任编辑:于 洋]
关键词:法律视野;高校大数据;数据安全;数据隐私
数据安全现状
大数据时代,超范围采集个人信息、数据泄露、数据滥用、隐私安全等日渐成为明患隐忧。一方面,数据安全问题频发高发,根据风险基础安全(Risk Based Security)的数据统计,2020年全球数据泄露数量突破360亿条。侵犯公民个人信息犯罪以及因此滋生的电信、网络诈骗等下游违法犯罪行为已造成社会巨大损失。另一方面,随着人工智能技术发展,一些商家为了获得更高的利润,利用算法和大数据为不同类型用户制定“差异化价格”,即大数据“杀熟”现象也不断出现。
数据安全涉及每个公民的切身利益,如何合理合规地收集使用大數据、如何平衡个人信息保护和产业发展,成为当下亟待解决的问题。
高校大数据及管理上存在的风险
高校的师生数据有四大来源:一是在教学活动过程中直接产生的数据,如课堂教学、考试测评、网络互动等;二是在教育管理活动中采集的数据,如学生的家庭信息、学生的健康体检信息、教职工基础信息、学校基本信息、财物信息、设备资产信息等;三是在科学研究活动中采集的数据,如论文发表、科研设备运行等记录信息;四是在校园生活中产生的数据,如餐饮消费、上机上网、复印资料、健身洗浴等记录信息[1]。在高校大数据的使用和管理过程中,同样存在着数据泄露与滥用的风险。
高校大数据安全面临的挑战
1.数字化转型速度快,法律体系滞后。随着大数据应用的推进及数据安全相关问题的频发,国家立法层面越来越重视数据安全和个人信息保护,从2012年开始先后出台了一系列政策法规加强对个人信息的保护,关于数据安全和隐私保护的法律法规陆续完善,逐步有据可依[2]。2015年,《中华人民共和国刑法修正案(九)》新增了“侵犯公民个人信息罪”“非法利用信息网络罪”“帮助信息网络犯罪活动罪”,为网络个人隐私信息提供了刑法保护。2016年,《中华人民共和国网络安全法》“网络信息安全”章,从个人信息收集、使用以及保护的角度进行了规定。2020年5月,全国人大表决通过《中华人民共和国民法典》,对个人信息受法律保护的权利内容及其行使作了原则性规定,标志着个人信息主体的权利获得了基本法的确认,是我国个人信息保护立法体系的重要进步。目前,我国正在推进数据安全和个人信息保护法律法规,加速完善相关保护和监管规则。2020年7月,国家互联网信息办公室会同相关部门研究起草了《数据安全管理办法(征求意见稿)》,进一步细化了数据安全管理办法和准则。2020年10月21日,《中华人民共和国个人信息保护法(草案)》公布并公开征求社会公众意见。
整体来看,我国缺少在数据安全与隐私保护方面的专项法律及成熟体系,目前尚未发布正式的、专项的法律规范,而是散落于法律、行政法规、部门规章等多层次、多领域的规范当中,形成了一个内容分散、体系庞杂的数据安全与个人信息保护模式,这对于普通民众来说,很难形成直观、系统的认知,对关乎个人的隐私数据缺乏有效防护措施。
2.数据安全技术体系需要创新和提升。由于网络的虚拟性、开放性及互联网技术的创新升级,新型数据泄露、滥用事件隐蔽性越来越高,危害范围不断扩大。而我国在数据安全保护基础理论研究和技术研发上还处于起步阶段,如何预防数据泄露,如何检测与追踪被泄露的数据,仍有待于研究和产品技术研发。
3.师生隐私保护意识不足。师生关于自身隐私如何被收集利用的认知较为模糊,对于自身个人信息的泄露途径、方式等缺乏基本知识,对相关法律的熟知度较低,在日常生活、消费中无意间为个人信息泄露大开方便之门。在个人信息受到侵害或者可能受到侵害时,维权意识和维权能力偏低。
高校数据安全及个人隐私保护的措施
1.完善数据安全相关的法律体系。加快推进数据安全和个人信息隐私保护的立法进程,打破法律依据碎片化的局面,建立体系化、统一化的法律体系。虽然在数据安全和个人隐私方面我国已具备一定的法律基础,但并未进行领域类别的详细描述。针对纷繁复杂的身份信息、生物信息、活动信息等个人私密信息,在不同行业如何明确采集主体资格、数据使用范围、各阶段的安全责任等关键问题,仍须完善相应的法律政策体系,同时应进一步细化信息技术领域规范和标准,建立与之配套的制度,如数据分级分类制度、区分信息公开与隐私泄露的边界,为监管部门将被动执法转变为主动执法提供基本的依据和操作规范,为互联网时代大数据的合法合规使用提供法律支撑。
2.提升数据生命周期中信息保护的技术水平。数据安全问题的频发,倒逼数据安全保护技术的创新突破和提升。数据安全贯穿在数据生命周期的各个阶段。数据的生命周期,包括了数据的产生、采集、存储、流通、应用、销毁六个环节,涉及数据来源者、数据收集者、数据控制者、数据加工者四种主体角色。
第一,高校收集师生个人信息的运用必须合法合规,需要征求师生的个人同意或在师生已知的情况下进行,这也是大数据与用户权益保护的最根本原则,同时对收集的师生数据应该分级分类,明确各级别数据的防护措施。第二,数据共享与发布应当审核,数据使用在数据审计技术中开展数据安全监测评估。所有数据纳入监管,数据流向过程保证清晰可视,实现数据的全链路状态追踪,及时发现并阻断异常访问行为。第三,在数据传输与分析中使用数据脱敏、数据库加密等技术,隐藏用户的标识和属性信息可以减少用户的隐私泄露,提高用户数据的识别度,确保数据安全使用。第四,严格区分数据使用人员在数据管理与操作方面的权限,采用分级授权机制,尽可能对授权账户仅开放业务所需的最小权限,建立数据使用者负责制。第五,为数据设置使用周期,使用完成后,删除数据,降低信息保管成本与泄露风险。
3.强化师生的隐私保护意识。通过普法教育提高师生的个人信息安全防范意识,帮助其提高自我保护意识和能力,从源头上对个人信息泄露进行防范;进一步明确个人信息泄露造成的危害、掌握有效防范技能并树立维权意识,对于侵犯个人隐私的行为,要勇于拿起法律武器来捍卫自己的隐私权利[3]。
大数据时代,机遇与挑战并存,坚持数据安全与产业发展并重,筑牢高校大数据安全管理的防线,为师生提供安全健康的网络操作环境,有效保护师生隐私的前提下,促进数据的流通和应用,推动大数据在高校教学、管理中的稳健作用。
本文系“中国政法大学科研创新项目资助(项目编号:20ZFGL88001)”和“中央高校基本科研业务费专项资金资助”
参考文献:
[1]盛小平,焦凤枝.法律法规视角下的数据隐私治理[J/OL].
图书馆论坛:1-15[2021-03-01].http://kns.cnki.net/kcms/detail/44.1306.G2.20201229.1623.007.html.
[2]杨现民,王榴卉,唐斯斯.教育大数据的应用模式与政策建议[J].电化教育研究,2015,36(9):54-61,69.
[3]李子臣,杨义先.如何保护数据安全和个人隐私[J].金融经济,2018(11):17-19.
(作者单位:中国政法大学网络安全和信息化办公室)
[责任编辑:于 洋]