文/本刊记者 高明

数据安全和个人信息保护是网络安全工作的重要内容，在新的法律背景框架下，高校务必要更加重视和细化安全保护工作，不断探索尝试新思路和新办法。

2021年数据安全领域陆续出台了多项法律法规政策。其中，自2021年9月1日起施行的《中华人民共和国数据安全法》和自2021年11月1日起施行的《中华人民共和国个人信息保护法》是两部最为重要的法律，不仅完善了我国网络安全的顶层设计和总体布局，同时也对数据安全保障和个人信息安全保障提出了明确的法律要求。

2021年，本刊与多位高校网信部门的主任就数据安全与个人信息保护等话题展开探讨。对于高校当前所面临的严峻网络安全形势，我们应当看到，高校数据安全面临挑战不仅仅意味着学校资产受到威胁，甚至还会涉及学校舆情、意识形态安全等更复杂的问题。因此，做好高校数据安全保护工作，意义重大。

问题与挑战

如果以10分为满分，国内高校数据安全保护的评分大致在7分，处于高过及格，未达良好的水平。从整体上来看，高校数据安全保护当前主要还面临着以下方面的挑战：

首先，高校数据难于平衡安全性和便利性。网络安全所需的技术和管理上的防护和限制措施，一定程度上会影响使用的便利性和运行效率，并且还会导致用户访问和运维管理成本的增加。此外，高校信息化部门经常满负荷运转，也很难兼顾到全校网络空间的每个方面。

其次，高校不仅面临着老旧系统安全性差、信息化系统过度依赖厂商的问题，还存在着信息化建设安全方面的技术队伍水平参差不齐的情况。

应当达成这样的共识，即数据使用者必须在数据所有者允许的范围内使用数据，超出该范围就是对用户个人信息的侵犯。

最后，高校师生和员工的网络安全意识和素养不足，也影响着高校网络安全包括数据安全工作的推进。

如何做好个人信息保护工作是高校所要面对的另一大重要议题。高校处理的数据中会涉及大量师生的个人信息，其中包括身份证号码、学号、职工号等身份信息，指纹、人脸等生物识别信息以及健康生理信息等。然而，当前国内外高校个人信息泄露事件频发，暴露出高校在个人信息保护方面存在严重的安全隐患。

对高校而言，个人信息泄露通常是由系统设计缺陷导致的越权问题引起。个人信息保护不仅涉及学校的每个部门和每个人员，也涉及数据管理的每个过程，因而，高校需要更加注重在个人信息保护方面的顶层设计。并且对于数据的使用和处理，也应当达成这样的共识，即数据使用者必须在数据所有者允许的范围内使用数据，超出该范围就是对用户个人信息的侵犯。

综合来看，高校在个人信息保护方面暴露出的问题主要有：相关组织机构不健全、管理制度不完善，缺乏数据分级分类标准，数据读取缺乏监督和审计，数据带敏分析，管理人员与用户隐私保护意识不强等，这些问题都为高校的个人信息保护工作带来了极大挑战。

策略与措施

总体而言，高校想要做好数据安全保护和个人信息保护工作，困难重重，必须要不断探索尝试新思路和新办法。随着我国《数据安全法》和《个人信息保护法》相继实施，关于高校如何依法进行数据安全治理的讨论逐渐多了起来，比如，许多高校就聚焦校园人脸识别这一话题，探讨人脸数据的治理规范以及如何做到合规而行。

高校想要做好数据安全保护和个人信息保护工作，困难重重，必须要不断探索尝试新思路和新办法。

与此同时，各高校也都结合自身实际情况，积极采取相应的数据安全保护和个人信息保护策略与措施，主要是从以下三个层面展开：

在技术层面，加强对数据安全防护的投入，丰富数据安全防护手段，并打造一支高水平的信息化人才队伍——除技术人才外，还应吸纳拥有教育、传媒等学科背景的人员，以便能将技术问题解释清楚并让师生更易理解和接受。同时，摸清数据资产，及时梳理安全风险，并完善数据访问的监控和审计，对数据进行脱敏处理。

在制度和管理层面，完善安全体系建设，成立安全中心并制定数据安全相关制度和标准，并通过绩效考核强化制度的实施与执行。做好数据分级分类工作，以更好地推动数据利用和安全保护，并明确各部门和人员的角色、权限和责任划分，在个人信息的采集和使用过程中做到合法合规。

在宣传和教育层面，加大数据安全与个人信息保护方面的宣传，提升高校师生的信息化素养和安全意识，以形成重视数据安全保护的共识和氛围。

网络安全不仅是教育信息化建设的重要保障，也是教育信息化建设的必要前提。对各高校而言，数据安全和个人信息保护是网络安全工作的重要内容，在新的法律背景框架下，务必要更加重视和细化安全保护工作，并积极推进数据安全治理实践和探索，才能更好地为“十四五”教育信息化建设保驾护航。