⼤数据时代⾼校学⽣隐私信息安全保护刻不容缓
近两年全国发⽣了多起⾼校学⽣隐私信息泄漏事件,再次将⾼校学⽣隐私信息安全问题推到了风⼝浪尖。《教育信息化2.0⾏动计划》提出要“充分利⽤云计算、⼤数据、⼈⼯智能等新技术,构建全⽅位、全过程、全天候的⽀撑体系,助⼒教育教学、管理和服务的改⾰发展”。⼤数据为教育变⾰带来了强⼤的技术⽀撑和发展空间,然⽽同时也带来了前所未有的风险,任何⼀个⼩的失误都可能产⽣巨⼤且难以预测的后果。⾼校学⽣隐私信息安全保护刻不容缓。
如何界定⾼校学⽣隐私信息,保护其安全,保护⾼校学⽣隐私信息⼜⾯临着怎样的挑战?……我们就相关问题采访了黄淮学院⽹络信息管理中⼼周鹏主任、郑州科技学院⽹络信息管理中⼼李振峰主任和河南师范⼤学⽹络中⼼郑凯⽼师三位专家。
《河南教育信息化》:您如何理解⾼校学⽣隐私信息的内涵?
百度个人中心黄淮学院周鹏:从社会⼤众的认知来看,就学⽣个⼈信息⽽⾔,姓名、⾝份证号和家庭住址等类显然是个⼈隐私信息。就⾼校学⽣这个特殊体来说,学⽣的成绩、奖惩情况、个⼈⾝⼼情况、⼀卡通消费记录、校园⽹访问记录等显然也属于个⼈隐私信息,不宜公开发布或不做限制的浏览。
郑州科技学院李振峰:信息时代,数据是财富,对于个⼈⽽⾔,个⼈信息、个⼈数据⼀定意义上也是个
⼈资产。说到⾼校学⽣个⼈信息隐私问题,⾸先谈个⼈信息,个⼈信息是与个⼈的隐私有关的各种信息,有观点认为:个⼈信息是指个⼈的姓名、性别、年龄、⾎型、健康状况、⾝⾼、⼈种、地址、头衔、职业、学位、⽣⽇、特征等可以直接或者间接识别个⼈的资料。这些个⼈信息在不涉及公共利益或者他⼈隐私的情况下,如果本⼈不愿意加以公开,就构成个⼈隐私的组成部分。
我国《个⼈信息保护法(草案)》中也将个⼈信息界定为“能够识别特定个⼈的⼀切信息”。我们每个⼈都对⾃⼰的个⼈信息享有决定、⽀配权并有权排除他⼈的⼲涉。为了更好地打击⽹络犯罪,维护受害⼈的合法权益,2010年7⽉1⽇实施的《中华⼈民共和国侵权责任法》第⼀次明确规定了隐私权,⽤法律的形式将公民的隐私权纳⼊了受保护的民事权益范围。
因此,⾼校学⽣隐私信息,⼀般就是指在校学习期间产⽣的个⼈隐私相关的信息,主要指:姓名、性别、年龄、⾎型、健康状况、⾝⾼、家庭住址、、⾝份证号、体貌特征、⼼理健康情况等能单独识别或组合信息识别特定个⼈的信息。
河南师范⼤学郑凯:⾼校学⽣的个⼈隐私信息主要分为四类:1、信息隐私,包括学籍号、⾝份证号、银⾏账号、家庭住址、⽗母职业、⼀卡通消费信息、⽹络活动综合信息(IP地址、浏览踪迹、活动内容),也包括学⽣个⼈的测试、考试成绩、考勤、性格、健康、⽇常表现等过程类、学习类、⽣活类信息;2、通讯隐私,包括电话、QQ、、微博、电⼦邮件等;3、空间隐私,即个⼈出⼊特定空间或区域;4、⾝体隐私,包括疾病史、过敏史等。
⾼校学⽣隐私有两个重要特征:1、涵盖内容丰富;2、隐形特征显著,即通过跨学科、线上线下的信息积累、关联和⼤数据算法及模型,学⽣的学习习惯、学习能⼒、兴趣爱好、性格特点、消费能⼒和偏好等深层个⼈特征被推算出来。
《河南教育信息化》:⾼校学⽣隐私信息存在哪些安全风险?
《河南教育信息化》:⾼校学⽣隐私信息存在哪些安全风险?
黄淮学院周鹏:⾼校学⽣隐私信息在错综复杂的互联⽹时代,其安全风险不仅仅是⾼校⾃⾝的问题,也包括学⽣⾃⼰和第三⽅对信息保护的疏忽⼤意,主要体现在以下⼏个⽅⾯:
1、学校业务过程的信息泄露:新⽣⼊学、学⽣⼊党、学⽣体检、获奖公⽰等业务环节会进⾏纸质信息统计,⽽对纸质信息的随意处理则会导致信息泄露。
2、学校业务系统的信息泄露:学校的教学、学⼯等业务系统由于⾃⾝漏洞或遭受⿊客攻击等造成信息泄露。
3、各种APP注册造成的信息泄露:APP运营商以“免费礼品”为诱饵,让学⽣注册并填写信息,后期可能向其它商户变卖或分享学⽣信息来获利,造成学⽣信息泄露。
此外,学⽣在使⽤⾦融服务、通信服务、购物⽹站、个⼈发票、快递、订餐、⾃媒体互动等时,都有可能造成个⼈信息泄露。
郑州科技学院李振峰:⾼校学⽣个⼈隐私信息安全风险主要体现在“收集、存储、使⽤”三个环节,信息侵害的主要表现为收集、散布、利⽤以及交易四种形式。涉及学校、通讯及互联⽹服务商、软件供应商的相关机构和个⼈。
小小父母官《河南教育信息化》:⽬前⾼校采取了哪些相关的保护策略?
黄淮学院周鹏:⽬前的保护策略主要分两类:规章制度和设施设备。
1、制定规章制度:包括各级应⽤系统和⽹站运维制度,数据使⽤和共享审查制度,⽹络与信息安全应急处置制度,⽹络与信息安全定期教育制度等。
2、通过部署漏洞扫描、⼊侵检测等系统来检测系统漏洞,发现攻击,阻断信息泄露的通道;通过部署防⽕墙、认证系统、堡垒机,对访问进⾏筛选,阻断异常的访问和查询,防⽌重要信息泄露、被篡改或者被删除;通过加密和备份系统选择性地对敏感信息进⾏加密,防⽌在线数据和备份数据的存储介质丢失导致重要信息泄露。
郑州科技学院李振峰:⽬前学校采取的措施为:
1、积极做好安全等保⼯作,对学校应⽤系统及数据进⾏等保备案。
2、制定并切实履⾏信息审核发布机制,“谁发布、谁负责”。从机制上要求各部门承担起应有的责任,引起⾜够重视。建⽴“读⽹巡查”检测机制,确保“早发现、早下架”。鉴于各部门的⽹络安全意识及技术⼿段参差不齐,信息中⼼应建⽴“读⽹巡查”机制,及时查漏补缺。
3、加强⽹络安全教育,与国家⽹络安全宣传周活动结合,邀请⽹络安全领域专家,举办⽹络信息安全专场讲座。
4、加强信息素养培训。开展辩论赛、知识竞赛等多种形式的“⽹络信息安全与隐私保护解读”活动。将信息素养培训作为基本素质必修课,加⼤培训⼒度,引导师⽣关注个⼈信息的⾃我保护。
河南师范⼤学郑凯:⾼校学⽣隐私数据经历收集、存储和使⽤过程(包括数据的⼆次使⽤、数据共享以及数据发布),应实施多级安全保护措施。
1、信息加密与隐私保护
很多信息管理软件会应⽤哈希(Hash)和加密(Encrypt)进⾏数据保护,哈希是将⽬标对象转换成具有相同长度的、不可逆的杂凑字符串(或叫作信息摘要),⽽加密是将⽬标⽂本转换成具有相同长度的、可逆的密⽂。在被保护数据仅仅⽤作⽐较验证,以后不需要还原为明⽂形式时使⽤哈希,如果
被保护数据在以后需要被还原为明⽂时,则使⽤加密。
这两种⽅法均可以保证在数据库被⾮法访问的情况下,隐私或敏感数据不被⾮法访问者直接获取,⽐如数据库管理员的⼝令在经过哈希或加密后,使⼊侵者⽆法获得⼝令明⽂,也⽆法拥有对数据库数据的查看权限。
2、标识隐私匿名保护
标识隐私匿名保护,主要是采取在保证数据有效性的前提下损失⼀些数据属性,来保证数据的安全性,通常采⽤概化和有损连接的⽅式,同传统泛化/隐匿⽅法相⽐,其在信息损失量和时间效率上具有明显的优势,在数据发布中删除部分⾝份标识信息,然后对准标识数据进⾏处理。当然任何基于隐私保护的数据发布⽅法都会有不同程度的损失,对于发布后的重构数据不可能、也不应该恢复到原始数据,所以未来在兼顾可⽤性与安全性的前提下,需要⼀种新的算法来到可⽤与安全的折中点。
3、数据的分级保护制度
不同的信息在隐私保护中具有不同的权重,如果对所有信息都采⽤⾼级别的保护,会影响实际运作的效率,同时也是对资源的浪费,但如果只对核⼼信息进⾏保护仍会通过关联产⽣隐私泄露的隐患,所以需要建⽴⼀套数据的分级制度,针对不同级别的信息采⽤不同的保护措施。由于涉及不同系统和运作⽅式,制定⼀套完善的分级制度还涉及以下的访问权限控制问题。
4、基于访问控制的隐私保护
系统中往往参与的⼈员节点越多,导致潜在泄露的点也越多。访问控制技术可以对不同⼈员设置不同权限来限制其访问的内容,这其实也包括上⾯提到的数据分级问题。⽬前⼤部分的访问控制技术均是基于⾓⾊的访问控制,能很好地控制⾓⾊能够访问的内容及相应操作,但是规则的设置与权限的分级实现起来⽐较复杂,⽆法通过统⼀的规则设置来进⾏统⼀的授权。许多情况下需要对特定⾏业⾓⾊的特殊情况进⾏单独设置,不便于整体管理和调整。需要进⼀步对规则在各⾏业的标准体系进⾏深⼊研究。
《河南教育信息化》:校企合作共建信息化,是提升⾼校信息化建设⽔平的重要途径,针对校企合作中第三⽅对学⽣信息数据的采集及应⽤,学校如何保护学⽣隐私信息?
黄淮学院周鹏:第三⽅采集的信息必须是通过学校的数据共享平台或数据仓库来进⾏传递,不允许第三⽅企业或平台直接从业务系统或线下采集信息,这样可以保障学校对被采集信息的可管可控;采集信息必须符合且遵守学校信息安全的相关规章制度,需填写“数据资源使⽤申请表”,注明所采集信息/数据的应⽤场景和范围,并经过相关部门和校领导审批。
郑州科技学院李振峰:郑州科技学院不断完善相应规章制度,在《⽹络安全法》实施之后,学校制定了相应规章制度,对与学校合作的第三⽅企业,在购置平台、系统软件时签订⽹络信息安全协议,对
学校业务部门相关信息员队伍签订数据保密协议。
河南师范⼤学郑凯:在第三⽅企业、平台信息采集及应⽤⽅⾯,校⽅通过和第三⽅企业、平台签订信息安全及保密协议,从保密义务和安全管理上对第三⽅企业、平台进⾏约束。在技术层⾯,通过数据分级保护制度、基于访问控制的隐私保护、匿名化处理、信息加密等⼿段进⾏严格控制。
杭州西湖介绍《河南教育信息化》:您认为,⾼校学⽣隐私信息保护⾯临的主要挑战是什么?
黄淮学院周鹏:在⼤数据时代,随着数据成为资产,成为基础设施,学校和业务部门逐渐开始通过数据要⽣产⼒。数据成为学校提升教育教学质量的重要动⼒,也成为学⽣提⾼学习效率和校园⽣活质量的重要⽀撑⼒。因此,如何在保障信息/数据安全的情况下,便捷地为学校和学⽣提供其需要的数据,在数据采集和应⽤的便利性与安全性中到⼀个平衡点,是⽬前我们⾯临的最⼤挑战。
郑州科技学院李振峰:信息公开与个⼈隐私的处理问题,知情权和隐私权的平衡问题是⾯临的主要挑战。我们既要做好⾼等学校信息公开事项清单(共10⼤类50条)的信息公开⼯作,⼜要保障师⽣合法权益,依《个⼈信息保护法(草案)》对师⽣信息做好保护。
东邦同人《河南教育信息化》:关于⾼校学⽣隐私保护体系的建⽴,您有怎样的思考?
黄淮学院周鹏:应从国家层⾯开始,从机制、⼈员和设备着⼿,⾃上⽽下,建⽴⼀个⼀体化⾼校信息
安全体系,覆盖全校的数据安全⽽不仅仅是局限于学⽣隐私保护。⽐如:
1、制定数据/信息保护的相关法律法规,如英国于2017年,欧盟于2018年都颁布了严格的数据保护法案。
2、在⾼校常态化开展信息安全教育和信息安全评估。
3、在⾼校设⽴相关数据保护机构并明确其职责。
4、采购相关数据安全的硬件设备和软件系统,进⾏数据分级分类、实⾏严格的⾝份和访问控制。
5、定期对学校的数据安全进⾏审计并⽣成相关报告。
郑州科技学院李振峰:
1、⾼校⾃⾝应建⽴健全信息发布保密审查机制,明确审查的程序和责任,规范数据使⽤⾏为。
2、相关部门也应梳理现有规章制度,如公⽰制度、信息核查制度等,要明确公⽰范围,公⽰内容不得涉及学⽣隐私信息,张贴公布数据不得扩⼤公⽰数据项等。
3、安全等保⼯作也可考虑出台相应约束制度,规范信息化软件⼚商对产品进⾏安全定级,特别是云
服务模式应⽤越来越⼴泛,应对服务提供商产品进⾏信息安全⽅⾯的认证。
小学优秀教师先进事迹材料河南师范⼤学郑凯:
1、加强法律法规的落地实施。⽬前,我国已经出台⼀系列涉及学⽣隐私保护的法律法规,其中既包括总揽⽹络信息安全的《⽹络安全法》,针对⾼等教育的基本法《⾼等教育法》,也包括针对应⽤服务提供者做出要求的《移动互联⽹应⽤程序信息服务管理规定》。法律法规虽然不少,但问题在于相关条款内容都是原则性要求,可操作性不强。应该尽快出台实施细则,明确界定学⽣线上⾏为范围、被采集信息的使⽤⽬的和⽅式,规范⽤户协议中的具体隐私条款内容,开展隐私保护专业技术测评。
2、建⽴学⽣数据的分级保护制度。针对不同级别的信息采⽤不同的保护措施,由于涉及不同系统和运作⽅式,需制定⼀套完善的分级制度。
3、强化教育科技公司的责任。国内教育科技公司,尤其是⽬前位列第⼀梯队的教育数据公司,应严格按照有关法律法规,在充分保障尊重学⽣对隐私信息的知情权和控制权的基础上,再开展相应的教育数据的采集、传输、存储、利⽤和分享。
4、提升⾼校教育⼯作者隐私保护意识。教育⼯作者应跳出传统线下教学管理来看⽹络隐私保护,认识到学⽣隐私早就不局限于教室、信件、课桌,还包括学⽣在使⽤各种学习⼯具过程中产⽣的数据,不要因为⾃⾝的⽆知好奇导致学⽣隐私数据泄露或不当使⽤。教师座谈会发言稿
(本⽂刊载于电刊《河南教育信息化》总第13期,转载请注明来源。阅读期刊更多精彩内容,请点击下⽅“阅读原⽂”,或点击⼦菜单“阅刊”。)
声明
本转载⽂章出于⾮商业性的教育和科研⽬的,并不意味着赞同其观点或证实其内容的真实性。如转载稿涉及版权等问题,请⽴即,我们会予以更改或删除相关⽂章,保证您的权利。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论