中国社会科学院国际法研究所何晶晶:数据合规治理需“合规”与“安全”并重

专访中国社会科学院国际法研究所副研究员何晶晶

“数据安全不代表数据合规了,这其实是两个维度的事情。”在9月27日举办的武汉高校信息化建设与网络安全研讨会上,中国社会科学院国际法研究所副研究员何晶晶强调。

在她看来,数据安全建设是确保网络不被攻击、数据不被泄露,而数据合规是需要满足法律法规要求。整体来说,数据合规治理需要“合规”与“安全”并重。

而高校的数据合规,是特别值得关注的。何晶晶指出,高校的数据不仅体量大,而且敏感性较高。首先,高校有着大量学生、教职工的个人信息,包括身份证、家庭住址等,这些数据都是整理归纳得非常好的。另外,高校还有着大量的实验数据和宝贵的科研成果,涉及到一些重要论文、研究项目等等。

“所以高校在处理数据合规的问题上需要有一个‘全流程’的概念,从数据收集、存储、使用,到后面的交换、销毁,每个阶段都要满足数据合规的要求,要做到全生命周期的数据合规管理。”何晶晶表示。

从个人信息保护的角度出发,数据收集阶段,高校宜做到公示个人信息收集规则,如知情同意书和隐私政策文本,收集规则宜明确各项师生权利,规范收集个人信息的合法性、必要性、授权机制;高校宜遵循收集告知同意原则,在师生同意后才可收集师生个人信息,且实际收集的个人信息宜与收集规则一致;收集生物识别信息等敏感个人信息时宜取得师生个人单独同意且在必要范围内使用。

数据传输与存储阶段,高校存储师生个人信息的期限宜为师生授权使用目的所需最短时间,超出存储期限后宜删除或匿名化;高校宜制定数据分级分类制度,梳理重要数据目录,明确敏感数据范围;存储数据的方式强调安全性和保密性,传输数据和存储数据均要求加密和去标识化处理;数字校园建设宜进行容灾备份,避免数据丢失带来的损失。

数据使用与访问阶段,数据使用不宜超出收集师生个人信息时所声称的目的;高校通过大屏或小屏界面展示使用个人信息时宜采取去标识化措施,根据师生画像形成的算法模式宜符合科技伦理要求;高校相关人员进行数据访问时宜遵循最小授权访问策略,对重要数据访问操作宜做内部审批,超权限数据访问宜进行审批和记录在册,访问敏感个人信息时宜结合具体业务触发授权机制;对于离岗职员与外部人员宜进行数据访问限制。

数据交换与销毁阶段,高校将数据提供给第三方时需要获取师生个人单独同意,数据共享、转让、披露给第三方时宜对第三方进行必要的尽调、约束;高校接入第三方系统时宜进行安全管理;对于数据销毁处理,高校宜建立负责数据销毁处理职能部门,根据具体情况采取本地或网络数据销毁、物理或化学销毁等措施。

针对高校当前的数据安全现状,何晶晶建议可以从以下三方面入手,提高高校对数据合规的重视程度:首先,建立并完善高校数据合规监管体系。教育系统应制定各项数据合规标准规范体系,进行等级保护测评及风险评估,持续开展数据合规性检查和指导工作,构建数据合规及监管管理体系;其次,建立全流程的高校数据安全运营体系。通过测绘高校在互联网中数据资产的分布,建设覆盖全方位的数据安全态势感知体系,构筑全天候的威胁攻击防御堡垒,并组建数据安全应急中心,全面提升高校的数据安全防护能力;最后,建立全生命周期的高校数据合规管理体系。从数据的收集、存储、使用、访问、交换、销毁等流程对高校数据进行管理,对流程中的关键环节的操作规范、分类分级管理、部门职责分工、应急安全检查机制、责任追究等进行全方位管控,重点关注师生个人信息保护。

谈及对武汉高校的信息化建设的印象,何晶晶表示,武汉拥有众多知名高校,为社会培养并输送了大量专业化人才,整体信息化建设做得很不错。

“从数据安全与个人信息保护角度看,武汉也特别重要,高校密集度非常高,个人信息、科研数据等数量庞大,在数据安全、数据合规方面更要注意。”何晶晶说,“武汉高校也可以加强对合规科技的应用,充分利用一些技术手段探索合规落地的新方法。”

(免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。 )