新形勢下高校數(shù)字校園的個人信息保護

王卓紅

(大連海事大學，遼寧 大連 116026)

高校數(shù)字化建設(shè)的發(fā)展已經(jīng)使校園信息系統(tǒng)成為學校教學、科研、管理等各項工作得以正常運轉(zhuǎn)的基礎(chǔ)環(huán)境。作為數(shù)字化的必然結(jié)果，越來越多的信息在網(wǎng)絡系統(tǒng)中得以體現(xiàn)，包括學校的資產(chǎn)數(shù)據(jù)和全體教職員工及學生的個人信息。在這一背景下，學校信息系統(tǒng)就會成為不法分子謀取商業(yè)利益或達到其他目的的攻擊對象。因此，信息安全已成為校園安全的重要組成部分，數(shù)字化校園背景下的個人信息保護［3］也顯得尤為重要。

一、信息安全和個人信息保護

信息安全指的是確保信息的保密性、完整性和可用性以及真實性、責任性和可靠性，即保障信息系統(tǒng)中的數(shù)據(jù)不泄露、不丟失、不被篡改，使信息系統(tǒng)能夠連續(xù)穩(wěn)定地運行，信息服務不中斷。個人信息是指與存在個體相關(guān)的、并且可用于識別特定個體的信息，如姓名、生日、個人證件號碼、標志或其他記號、電話號碼、圖像或錄音以及其他相關(guān)信息，家庭狀況、健康狀況、資產(chǎn)收入、個人經(jīng)歷等都屬于個人信息范疇。

學校的個人信息包括干部信息、管理人員信息、教師信息、科研人員信息、工人信息、臨時工信息、退休人員信息、學生信息以及與以上人員相關(guān)的家屬信息，還有校友信息關(guān)系單位的個人信息等。隨著高校數(shù)字化建設(shè)的發(fā)展，教師及學生的個人信息泄露的風險性越來越高，隨之給人們生命財產(chǎn)帶來的威脅也越來越大。在高校的數(shù)字化建設(shè)中應當加強個人信息的保護，這也是高校取得公眾信任的一項必要條件。

二、當前高校個人信息保護存在的主要問題

在校園信息系統(tǒng)中個人信息安全威脅主要包括:意外事故和設(shè)備故障;因安全意識不強、知識和技術(shù)欠缺導致的人為失誤;黑客攻擊;網(wǎng)絡技術(shù)漏洞;計算機病毒等。高等學校作為人才培養(yǎng)、科學培養(yǎng)的場所，與其他社會組織相比具有特殊性。當前，隨著高校數(shù)字化建設(shè)的深入，個人信息保護存在以下主要問題。

(1)用戶的安全意識有待提高。信息安全不僅要依賴技術(shù)手段的支持，更需要依賴有關(guān)政策、管理制度，需要全體人員共同參與。學生是校園網(wǎng)用戶中的主體，他們思想活躍，易于接受新事物，但是由于他們?nèi)狈ι鐣?jīng)驗，再加上有些學生缺乏責任意識和信息安全意識，往往會成為校園信息安全麻煩的制造者。

(2)計算機病毒交叉感染。在校園的一些公共場所，如計算機房、實驗室、多媒體教室，往往成為各種計算機病毒的“集散地”。計算機病毒的交叉感染，會造成信息泄露、被篡改等。

(3)由于教學和科研的特殊性，教師用戶希望得到寬松的信息環(huán)境，這種愿望往往會對信息安全造成威脅。

(4)學校的網(wǎng)絡系統(tǒng)和各個部門的信息系統(tǒng)缺乏統(tǒng)一調(diào)控。各個部分的信息系統(tǒng)的安全建設(shè)和管理存在差距。

(5)安全操作技能有待提高。由于高校信息化是新生事物，一些用戶缺乏計算機、網(wǎng)絡知識與操作技能，也會增加人為失誤的可能性。

三、應對高校個人信息保護問題的主要措施

學校作為國家培養(yǎng)人才的場所，一方面要加強個人信息管理，防止發(fā)生個人信息泄露事件;另一方面要根據(jù)校園個人信息的特殊性和校園特殊的管理環(huán)境，制定校園個人信息保護的具體規(guī)定。根據(jù)當前高校個人信息保護存在的主要問題，筆者認為當前高校校園個人信息保護應采取如下措施。

1．加強個人信息保護培訓教育

對教職工分期分批進行培訓，特別是參與信息發(fā)布、信息收集和維護相關(guān)數(shù)據(jù)庫的教職員工。加強教職員工的個人信息安全保護意識。為了檢驗培訓效果，在培訓結(jié)束時，要對參加培訓人員進行書面考試，同時要用書面的方式征求全員意見，對培訓效果進行評價，以便今后的改進。同時，把個人信息保護的意識和知識灌輸給學生，以便將來他們畢業(yè)后能夠很快地適應所在單位個人信息保護工作的需求。

2．設(shè)立個人信息保護組織機構(gòu)

在高校保衛(wèi)部門設(shè)立信息安全部門，主要負責以下事務:一是信息安全設(shè)備的日常監(jiān)控。對單位制定的個人信息保護體系的運用狀況進行日常檢查和按計劃內(nèi)審的規(guī)定;檢查是確認各部門或各崗位是否按體系建立的相關(guān)規(guī)定實施，并在日常工作中，對發(fā)現(xiàn)的問題不斷地進行改善和預防。內(nèi)審是在組織內(nèi)部相關(guān)負責人的領(lǐng)導下或聘請外部專家，定期對本單位個人信息保護體系的整體運行狀況進行監(jiān)督，如體系是否符合單位的實際需求。

二是對個人信息保護管理體系所要求的文檔進行有效控制，確保各相關(guān)場所使用的版本具有一致性、有效性，保證其信息的保密性、完整性、可用性。

三是處理信息安全事件。一旦發(fā)生個人信息的丟失、泄露、損壞等事件時，為保護學校日?；顒拥某掷m(xù)性，建立預防措施和處理方案，將緊急事件所造成的影響降低到最小。

四是對違反個人信息保護規(guī)定的教職工或?qū)W生進行公正有效的處罰的規(guī)定，它有利于強化全員的個人信息保護意識，有效防止個人信息安全事故的發(fā)生。本著提高教職工、學生的個人信息保護意識、降低個人信息安全事故為原則，糾正違紀違規(guī)行為。本著處罰與教育相結(jié)合的原則，引導教職工、學生自覺遵守個人信息安全規(guī)定。對教職工、學生的任何處理決定應當公開進行，但涉及個人隱私及學校秘密的除外。對教職工、學生違紀處罰應在查清事實的基礎(chǔ)上，根據(jù)情節(jié)，依據(jù)規(guī)定以口頭或書面形式給予處罰。被處罰者對處罰決定享有陳述、申辯的權(quán)利。對處理決定不服從的有權(quán)申請上級部門復查。

對來自各個部門及社會上的意見和建議給予及時的反饋，以防止由于沒有妥善的處理而使事件復雜化。應將各種意見和建議，作為審查個人信息保護體系符合性的寶貴意見。該規(guī)定應詳細論述投訴、建議的收集;投訴、建議的分析整理;實施應對措施;投訴、建議的反饋。

對個人信息保護檢查、內(nèi)審過程中發(fā)現(xiàn)的不符合事項進行糾正、跟蹤;對學校的個人信息保護規(guī)章制度存在的缺陷及時改進和完善，對改進后的情況進行評估，保證個人信息保護規(guī)章制度的持續(xù)改進和不斷提高。

3．增強網(wǎng)絡基礎(chǔ)設(shè)施建設(shè)

在校園網(wǎng)基礎(chǔ)設(shè)施建設(shè)方面主要是硬件建設(shè)和軟件建設(shè)。硬件建設(shè)是在學校資金允許的條件下更新網(wǎng)絡運行設(shè)備。軟件建設(shè)包括:部署防火墻，防止校園網(wǎng)內(nèi)容被竊取、篡改、泄露等事件;加強郵件服務器的監(jiān)控、加密解密措施，設(shè)置垃圾郵件過濾系統(tǒng)和防病毒郵件系統(tǒng);設(shè)置桌面防病毒系統(tǒng)，做好漏洞補丁管理和發(fā)布系統(tǒng);加強各網(wǎng)站、服務器、電腦防黑客攻擊的措施。另外，用網(wǎng)絡收集個人信息時，必須用SSL 等加密措施進行信息保護。

4．加強信息保護技術(shù)物理安全管理

要加強校園及各部門，特別是信息數(shù)據(jù)集中的部門出入權(quán)限的管理;加強辦公環(huán)境及設(shè)備的防盜、防災的管理;加強個人信息文檔的保管管理;加強訪問信息的控制管理;在校園各重要場所設(shè)置電子監(jiān)控等。

四、結(jié) 語

高校是人員及人員信息集中的地方，一旦發(fā)生了個人信息泄漏事件，不僅會對很多人生命財產(chǎn)造成損失，也會給學校的聲譽造成不良影響。為避免這種情況發(fā)生，必需教育全員按照相關(guān)規(guī)定執(zhí)行。個人信息保護的實施貴在日常防范，只有領(lǐng)導重視，規(guī)章制度健全，培訓到位，全員努力遵守，才會萬無一失。

［1］趙 侃．校園網(wǎng)絡信息安全狀況分析及解決方案［J］．軟件導刊，2011(10) : 116－117．

［2］傅 星．校園信息化背景下的信息安全［J］．首都經(jīng)濟貿(mào)易大學學報，2010(4) : 123－128．

［3］遼寧質(zhì)量技術(shù)監(jiān)督局．信息安全個人信息保護規(guī)范(DB21/T1628．1－2012) ［EB/OL］．(201－02－07) http: //www．dsia．org．cn/NewsDet ail．a(chǎn)sp? ID= 2881．