法律視野下的高校大數據安全與隱私問題

呂淑艷 張亨國 吳文影

摘 要：隨著大數據時代的來臨，信息化過程中用戶產生的數據越來越多，為了給用戶提供更便利、高效的服務，需要收集和分析用戶的多維、海量的數據，包括姓名等隱私信息及指紋等個人生物信息。這不僅帶來了全方位的社會變革，同時也帶來了新的安全挑戰(zhàn)。因此，高校需要在大數據存在的風險、面臨的挑戰(zhàn)及保護的措施等方面提高認知和采取措施以應對大數據時代的挑戰(zhàn)。

關鍵詞：法律視野;高校大數據;數據安全;數據隱私

數據安全現(xiàn)狀

大數據時代，超范圍采集個人信息、數據泄露、數據濫用、隱私安全等日漸成為明患隱憂。一方面，數據安全問題頻發(fā)高發(fā)，根據風險基礎安全（Risk Based Security）的數據統(tǒng)計，2020年全球數據泄露數量突破360億條。侵犯公民個人信息犯罪以及因此滋生的電信、網絡詐騙等下游違法犯罪行為已造成社會巨大損失。另一方面，隨著人工智能技術發(fā)展，一些商家為了獲得更高的利潤，利用算法和大數據為不同類型用戶制定“差異化價格”，即大數據“殺熟”現(xiàn)象也不斷出現(xiàn)。

數據安全涉及每個公民的切身利益，如何合理合規(guī)地收集使用大數據、如何平衡個人信息保護和產業(yè)發(fā)展，成為當下亟待解決的問題。

高校大數據及管理上存在的風險

高校的師生數據有四大來源：一是在教學活動過程中直接產生的數據，如課堂教學、考試測評、網絡互動等;二是在教育管理活動中采集的數據，如學生的家庭信息、學生的健康體檢信息、教職工基礎信息、學?；拘畔?、財物信息、設備資產信息等;三是在科學研究活動中采集的數據，如論文發(fā)表、科研設備運行等記錄信息;四是在校園生活中產生的數據，如餐飲消費、上機上網、復印資料、健身洗浴等記錄信息[1]。在高校大數據的使用和管理過程中，同樣存在著數據泄露與濫用的風險。

高校大數據安全面臨的挑戰(zhàn)

1.數字化轉型速度快，法律體系滯后。隨著大數據應用的推進及數據安全相關問題的頻發(fā)，國家立法層面越來越重視數據安全和個人信息保護，從2012年開始先后出臺了一系列政策法規(guī)加強對個人信息的保護，關于數據安全和隱私保護的法律法規(guī)陸續(xù)完善，逐步有據可依[2]。2015年，《中華人民共和國刑法修正案（九）》新增了“侵犯公民個人信息罪”“非法利用信息網絡罪”“幫助信息網絡犯罪活動罪”，為網絡個人隱私信息提供了刑法保護。2016年，《中華人民共和國網絡安全法》“網絡信息安全”章，從個人信息收集、使用以及保護的角度進行了規(guī)定。2020年5月，全國人大表決通過《中華人民共和國民法典》，對個人信息受法律保護的權利內容及其行使作了原則性規(guī)定，標志著個人信息主體的權利獲得了基本法的確認，是我國個人信息保護立法體系的重要進步。目前，我國正在推進數據安全和個人信息保護法律法規(guī)，加速完善相關保護和監(jiān)管規(guī)則。2020年7月，國家互聯(lián)網信息辦公室會同相關部門研究起草了《數據安全管理辦法（征求意見稿）》，進一步細化了數據安全管理辦法和準則。2020年10月21日，《中華人民共和國個人信息保護法（草案）》公布并公開征求社會公眾意見。

整體來看，我國缺少在數據安全與隱私保護方面的專項法律及成熟體系，目前尚未發(fā)布正式的、專項的法律規(guī)范，而是散落于法律、行政法規(guī)、部門規(guī)章等多層次、多領域的規(guī)范當中，形成了一個內容分散、體系龐雜的數據安全與個人信息保護模式，這對于普通民眾來說，很難形成直觀、系統(tǒng)的認知，對關乎個人的隱私數據缺乏有效防護措施。

2.數據安全技術體系需要創(chuàng)新和提升。由于網絡的虛擬性、開放性及互聯(lián)網技術的創(chuàng)新升級，新型數據泄露、濫用事件隱蔽性越來越高，危害范圍不斷擴大。而我國在數據安全保護基礎理論研究和技術研發(fā)上還處于起步階段，如何預防數據泄露，如何檢測與追蹤被泄露的數據，仍有待于研究和產品技術研發(fā)。

3.師生隱私保護意識不足。師生關于自身隱私如何被收集利用的認知較為模糊，對于自身個人信息的泄露途徑、方式等缺乏基本知識，對相關法律的熟知度較低，在日常生活、消費中無意間為個人信息泄露大開方便之門。在個人信息受到侵害或者可能受到侵害時，維權意識和維權能力偏低。

高校數據安全及個人隱私保護的措施

1.完善數據安全相關的法律體系。加快推進數據安全和個人信息隱私保護的立法進程，打破法律依據碎片化的局面，建立體系化、統(tǒng)一化的法律體系。雖然在數據安全和個人隱私方面我國已具備一定的法律基礎，但并未進行領域類別的詳細描述。針對紛繁復雜的身份信息、生物信息、活動信息等個人私密信息，在不同行業(yè)如何明確采集主體資格、數據使用范圍、各階段的安全責任等關鍵問題，仍須完善相應的法律政策體系，同時應進一步細化信息技術領域規(guī)范和標準，建立與之配套的制度，如數據分級分類制度、區(qū)分信息公開與隱私泄露的邊界，為監(jiān)管部門將被動執(zhí)法轉變?yōu)橹鲃訄?zhí)法提供基本的依據和操作規(guī)范，為互聯(lián)網時代大數據的合法合規(guī)使用提供法律支撐。

2.提升數據生命周期中信息保護的技術水平。數據安全問題的頻發(fā)，倒逼數據安全保護技術的創(chuàng)新突破和提升。數據安全貫穿在數據生命周期的各個階段。數據的生命周期，包括了數據的產生、采集、存儲、流通、應用、銷毀六個環(huán)節(jié)，涉及數據來源者、數據收集者、數據控制者、數據加工者四種主體角色。

第一，高校收集師生個人信息的運用必須合法合規(guī)，需要征求師生的個人同意或在師生已知的情況下進行，這也是大數據與用戶權益保護的最根本原則，同時對收集的師生數據應該分級分類，明確各級別數據的防護措施。第二，數據共享與發(fā)布應當審核，數據使用在數據審計技術中開展數據安全監(jiān)測評估。所有數據納入監(jiān)管，數據流向過程保證清晰可視，實現(xiàn)數據的全鏈路狀態(tài)追蹤，及時發(fā)現(xiàn)并阻斷異常訪問行為。第三，在數據傳輸與分析中使用數據脫敏、數據庫加密等技術，隱藏用戶的標識和屬性信息可以減少用戶的隱私泄露，提高用戶數據的識別度，確保數據安全使用。第四，嚴格區(qū)分數據使用人員在數據管理與操作方面的權限，采用分級授權機制，盡可能對授權賬戶僅開放業(yè)務所需的最小權限，建立數據使用者負責制。第五，為數據設置使用周期，使用完成后，刪除數據，降低信息保管成本與泄露風險。

3.強化師生的隱私保護意識。通過普法教育提高師生的個人信息安全防范意識，幫助其提高自我保護意識和能力，從源頭上對個人信息泄露進行防范;進一步明確個人信息泄露造成的危害、掌握有效防范技能并樹立維權意識，對于侵犯個人隱私的行為，要勇于拿起法律武器來捍衛(wèi)自己的隱私權利[3]。

大數據時代，機遇與挑戰(zhàn)并存，堅持數據安全與產業(yè)發(fā)展并重，筑牢高校大數據安全管理的防線，為師生提供安全健康的網絡操作環(huán)境，有效保護師生隱私的前提下，促進數據的流通和應用，推動大數據在高校教學、管理中的穩(wěn)健作用。

本文系“中國政法大學科研創(chuàng)新項目資助（項目編號：20ZFGL88001）”和“中央高?；究蒲袠I(yè)務費專項資金資助”

參考文獻：

[1]盛小平，焦鳳枝.法律法規(guī)視角下的數據隱私治理[J/OL].

圖書館論壇：1-15[2021-03-01].http：//kns.cnki.net/kcms/detail/44.1306.G2.20201229.1623.007.html.

[2]楊現(xiàn)民，王榴卉，唐斯斯.教育大數據的應用模式與政策建議[J].電化教育研究，2015，36（9）：54-61，69.

[3]李子臣，楊義先.如何保護數據安全和個人隱私[J].金融經濟，2018（11）：17-19.

（作者單位：中國政法大學網絡安全和信息化辦公室）

[責任編輯：于 洋]