数字时代高等教育如何应对信息安全与伦理挑战
——美国《2021 地平线报告(信息安全版)》的解读与思考
2022-05-11王佑镁刘泓茜沈雅淇李宁宇柳晨晨
王佑镁 刘泓茜 沈雅淇 李宁宇 柳晨晨
(温州大学 大数据与智慧教育研究中心,浙江 温州 325035)
2020 年以来,新冠肺炎疫情在全球暴发,至今仍肆虐蔓延,对民众常态化工作生活造成巨大影响,世界各国纷纷构建灵活而稳固的数字教育技术系统。《教育部2022 年工作要点》提出实施教育数字化战略行动,强化需求牵引,深化融合、创新赋能、应用驱动,积极发展“互联网+教育”,加快推进教育数字转型和智能升级。
随着远程工作和在线学习需求的激增以及视频会议的大范围应用,高等教育领域信息安全和隐私威胁日益凸显,网络安全和隐私问题已连续数年成为高校信息化建设的严重安全隐患,引起社会各界的高度关注。国际知名学术组织——美国高等教育信息化协会(EDUCAUSE)首次聚焦于信息安全领域,发布《2021 地平线报告(信息安全版)》(2021 Horizon Report:Information Security Edition,以下简称《报告》)[1],引发国际范围内产业界及学术界热议。
美国高等教育信息化协会成立于1998 年,是全球高等教育信息技术领域最大的专业组织,主要由美国和国际高等教育机构、企业、非营利组织和K-12 教育机构组成,一直致力于使用信息技术预测和适应高等教育发展。该《地平线报告》总结了最有可能影响全球高等教育信息安全发展的重要趋势、关键技术和实践,预测了高等教育信息安全未来情景走向,不仅能为高等教育决策者提供参考信息,也能帮助学习者、专业教师和技术领导者深入思考当前高等教育信息安全现状及未来发展路径。
一、主要内容框架
自2005 年以来,美国高等教育信息化协会每年都会发布《地平线报告》来研究和预测高等教育未来的趋势、技术和实践,利用世界范围内高等教育专家小组的观点和专业知识,来帮助世界各地的学院和大学教育工作者更好地了解未来教育情况①历年的《地平线报告》可以在官方网站检索https://library.educause.edu/resources/2021/2/horizon-reports。。在2021 年,《地平线报告》首次以信息安全为主题,突显了安全和数据隐私在高等教育院校中日益重要的地位。特别是曾遭受过重大安全漏洞或被勒索软件攻击的高等教育领导者们,他们对信息安全风险的危害感受至深。早在新冠肺炎疫情流行之前,隐私和安全问题就被列为美国高等教育信息化协会年度高等教育十大信息技术问题榜首。而在疫情期间,远程工作和远程学习模式的普遍应用,也将信息安全风险升为历史新高。比如,接触者追踪的介入、个人家庭设备使用的增加,以及与视频会议激增相关的问题,都引发了前所未有的担忧。
《报告》的主要内容分为四大部分(见图1):第一部分,描述影响高等教育信息安全的趋势,并从社会、技术、经济、环境、政治五个方面重点介绍15 个最重要的趋势。与以往不同,此次还确定一个跨多个趋势类别的超级趋势——“远程工作”;第二部分,总结对高等教育信息安全产生重大影响的六项关键技术和实践,并从公平和包容性、风险、用户接受度等方面评价技术和实践对信息安全产生的影响;第三部分,预测了高等教育信息安全的未来;第四部分,邀请七位专家对《报告》进行反思,并根据自己的高等教育背景就内容提出看法。
图1 《2021 地平线报告(信息安全版)》的内容框架
二、影响高等教育信息安全与伦理的关键技术与实践
与以往报告体例不同,《2021 地平线报告(信息安全版)》由强调“新兴技术和实践”变为“关键技术与实践”,这种转变表明报告所选取的技术与实践可能不再是最前沿,而是于信息安全来说最为关键。信息安全问题是在人类进入信息时代后便始终面临的首要问题,特别是在新冠肺炎疫情全球大流行后,远程工作和远程学习高速发展,其重要性愈加突显。专家组筛选出对高等教育信息安全的发展产生重大影响的关键技术和实践,还提供了利用这些技术和实践的范例,如表1 所示。
表1 六项关键技术与实践及其范例
这些技术和实践不仅有可能成为当下高等教育中信息安全问题的被动解决方案,而且其本身也有可能以深刻和持久的方式积极改变高等教育的未来格局。《报告》探讨了这6 项关键技术和实践被采用后可能会遇到的挑战。地平线小组成员使用五分制(0=最低,4=最高)评估这些关键技术和实践影响的性质和程度,从成本、用户接受度、解决公平和包容问题、风险性、信息安全影响等方面进行了探讨,如图2 所示。
图2 对六项关键技术和实践的评估
(一)云供应商管理对高等教育信息安全与伦理的影响
人类进入信息时代后数据量呈指数爆炸式增长,互联网的高速发展催生云计算,并因其高效、便利和更具成本效益的特性使云服务的需求激增。特别是在新冠肺炎疫情全球大流行的背景下,使用基于云计算的解决方案将在维护远程工作和日常教学中变得更加重要。但是许多机构缺乏资源、人员与专业知识,无法在内部建立基于云计算、高性能的解决方案,因此采用第三方供应商提供的云服务将是首选途径,并能够获得稳定的售后服务。
云供应商管理为高等教育的网络安全带来许多重要影响。根据专家组评估,这种做法对学校网络安全态势(3.1)的总体影响明显高于其感知成本和风险。较低的成本(1.9)可能是机构在这一领域探索供应商解决方案的几个主要激励因素之一。而供应商强大的资源、人员和专业知识,以及机构在由外部供应商管理时参与这些服务的相对不干涉性质,可能会让人觉得这些供应商提供的解决方案对机构来说是一个相对低风险(1.7)的提议。用户接受度(2.1)、解决公平和包容(1.0)方面得分不高的原因,可能与网络信息安全专业人员的工作与最终用户的直接体验之间存在明显的脱节有关。
(二)端点检测和响应对高等教育信息安全与伦理的影响
近年来,由于用户拥有和操作的终端设备(台式计算机、笔记本电脑、智能手机、平板等)激增,以及测试、监控每个端点安全问题的复杂性,端点安全可能是应对网络风险和威胁的最大挑战。新冠肺炎疫情背景下,大多数高等教育的教职员工和学生以远程模式工作、学习,也进一步加剧了这些挑战。基于云计算的端点保护平台(EPP)解决方案,对于管理机构的安全、实现对网络和设备活动的远程监控以及在端点事件发生时进行远程补救将变得更加重要。
端点检测和响应获得地平线报告专家小组评选信息安全影响的第二高评级(3.5),因为绝大多数安全漏洞都是通过端点的网关发生的。在成本类别中也获得第二高评级(2.4),同时端点检测和响应的用户接受度分数较平衡(2.0),在公平性和包容性(1.0)以及风险类别(1.6)中的评级都较低。事实上,如果机构在端点检测和响应方面存在风险,那就是没有在这方面部署解决方案,也没有加强机构对其最大弱点之一的保护。
(三)多因素身份验证及单点登录对高等教育信息安全与伦理的影响
随着教职员工和学生在校园内每天需要访问的应用程序和系统数量增加,人们对简化身份验证过程中加强账户保护的期望也会增加。拥有无缝且易于使用的多因素身份验证(Multifactor Authentication,MFA)和单点登录(Single Sign-on,SSO)很可能在不久的将来流行起来,并成为一种必须具备的功能。多因素身份验证是一种多凭据的数字身份验证方法,而单点登录为用户提供了一次身份验证的能力,当与MFA 结合使用时,SSO 可以成为保护有价值机构数据的强大工具,降低丢失、遗忘或被盗的凭据导致安全性遭到破坏的可能性。
六项关键技术和实践中,MFA/SSO 认证方案是专家预计对高等教育信息安全影响最大的技术(3.8),且总体风险最低(1.3)。它以适中的成本(2.0)实现,虽然MFA/SSO 认证方案预计不能够很好地解决公平和包容性问题(1.0),但最终用户预计会很容易接受(2.4)使用它们来保护自己的账户,MFA/SSO 认证方案的采用为实现真正的自适应认证技术奠定了基础。
(四)保留数据真实性及完整性对高等教育信息安全与伦理的影响
随着信息技术的发展,越来越多的信息以数据形式呈现,但因数据存在易被篡改等特性,其真实性认定是慎重且充满技术性的。数据越是开放和可抓取,其真实性就越有待商榷,同时信息安全维护专员在保护数据免受内部和外部威胁方面的作用也会越来越大。而当传输损坏、硬件故障、配置出错、人为失误、故意破坏等事件发生时,数据的完整性便极有可能遭到破坏。保护数据真实性和完整性要求未来的工作更加关注数据本身,包括数据验证、系统输入验证、定期存档数据等。而保护数据真实性和完整性的一个更具挑战性的方面是防范人类的恶意行为。
对此,专家组认为,保留数据的真实性及完整性,将对高等教育信息安全产生重大影响(2.9)。最终用户对保留数据真实性及完整性的接受程度(2.3)预计会更高,但成本可能比其他技术和实践(2.2)要高一些。虽然与数据真实性及完整性保护工作相关的风险较低(1.7),但对公平性和包容性相关问题的影响(1.1)预计很小。
(五)学术研究技术与数据对高等教育信息安全与伦理的影响
高等教育机构通过课堂教学与研究生产和分享知识。由于计算机和数字技术在高等院校的作用越来越大,也在一定程度上成为网络安全风险的主要来源之一。研究数据已成为机构必须努力保护的敏感数字资产。学术研究长期以来一直被认为是高等教育的一个标志,在可预见的未来也必将成为高等院校的重要增值点。
值得注意的是,评估结果显示研究安全在成本类别中(2.8)得分最高,与对机构信息安全的影响(3.1)之间的差距也最小。成本和影响之间的这种更为平等的平衡,可能会使机构评估学术研究安全的潜在投资及其益处时作出困难的决定,从而导致在该安全领域方面的风险,用户对研究安全性的接受程度(2.3)可能取决于这些权衡。在公平性和包容性(1.1)以及风险类别(1.7)中的评级都较低,这两种影响在一定程度上取决于研究资金的支撑水平。
(六)学生数据隐私管理对高等教育信息安全与伦理的影响
信息时代的学生通常被认为具有成熟的理解数据隐私能力,他们会意识到让高等教育机构使用其个人数据的潜在风险。尽管学生相信他们的数据会被合理使用,但仍存在争论。各高等院校需要实施强有力的数据管理制度,提供明确的隐私保护,并利用隐私管理工具以供学生使用。高校可以采取以下三种方法来解决学生数据隐私和管理问题:一是高校需要优先考虑学生数据隐私,通过安全存储数据、使用MFA/SSO 以及采用强大的密码标准和实践来保护学生数据;二是高校需要更加透明地处理学生个人数据;三是高校可以开展校园信息安全意识宣传活动,帮助学生了解学校当前在提高安全性、保护数据隐私和识别潜在威胁方面所做的努力。
专家组看好学生数据隐私和治理对高等教育的潜在好处。学生数据隐私和治理的潜在影响很高(3.0)且容易被接受(2.8)。该小组甚至认为,通过建立数据治理和学生个人信息隐私保护机制,有机会解决与公平和包容(2.4)有关的一些问题。与学生数据隐私和管理安全相关的成本(1.9)和风险(1.7)则被视为中等水平。
三、影响高等教育信息安全与伦理的重要趋势
为了对高等教育信息安全与伦理的趋势有一个整体看法,专家组从社会、技术、经济、环境、政治等五个方面,提出15 项影响高等教育信息安全最重要的发展趋势,这些发展趋势中还首次包含了跨多个趋势和类别的“超级趋势”——远程工作。
(一)超级趋势——远程工作:影响和证据
为应对突如其来的新冠肺炎疫情,高等教育向远程工作模式的转变趋势超过其他任何单一趋势,但将远程工作纳入其他五个趋势类别中的某一种,都会降低这一趋势的重要性。因此,将“远程工作”作为《报告》的超级趋势,突出其重要性和独特性。目前,远程工作的影响无法估量,未来几年高等教育可能会发生翻天覆地的变化,信息安全行业将会吸引大量专业人才,更多的学生、教师和员工使用个人设备,从而引发对隐私问题的关注。例如,来自维度研究(Dimensional Research)的一项全球劳动力调查发现,未来只有9%的员工希望全职回到办公室,而Slack 的“远程员工体验指数”发现,只有12%的熟练的办公室员工打算完全在办公室工作。
(二)社会趋势:影响和证据
1.信息安全劳动力短缺
日益数字化的世界将需要更多熟练的信息安全专业人员,但在未来,信息安全人员的供给将落后于需求。高等院校不仅需要满足自身对信息安全劳动力的增长需求,也需要加大培养信息安全人才。美国劳工统计局(Bureau of Labor Statistics,BLS)估计,从2019 年到2029 年,对“信息安全分析师”的需求将增长31%,但现有人才总量却远远低于所需要的水平。
2.更加关注数据隐私
数字化生存、网络化生活将继续提升个人数据隐私意识和重要性。《欧盟通用数据保护条例》(GDPR)和《加州消费者隐私法》(CCPA)等法律的实施,要求各高校更仔细和系统地考虑个人数据保护问题。2020 年,美国高等教育信息化协会关于学生技术的调查研究发现,只有五分之一的学生了解他们的院校如何使用他们的个人数据。
3.安全内容合同的自主性受到威胁
大型技术供应商不断增长的市场实力,将削弱个别院校在定制合同和安全内容谈判中的自主权。受标准供应商合同约束的院校,将通过数据驱动的风险评估来保护其利益。例如,由于流行病和自然灾害的增加,高等教育相关风险也在增加,各高校正在参与并购,以谈判安全合约并降低保险费。
(三)技术趋势:影响和证据
1.无边界网络扩大
机构服务和数据正变得越来越基于云端,网络端点是移动的,不再局限于校园,这些都扩大了监测和保护的数字世界的界限。据美国市场研究公司估计,教育部门的云计算预算将从2019年的153 亿美元增长到2027 年的895 亿美元。斯坦福大学启动了基本密钥项目,旨在加强保护并消除网络登录对密码和身份验证的需要。
2.安全事件已成为常态事件
网络破坏者已经发展出更复杂和更专业化的策略和攻击,在高等教育中的破坏和勒索软件也在增加。越来越多的机构成立“安全事件管理”部门,并设有专门的安全事件领导人员。例如,在2020 年的9 个月中,知名的英国开放大学遭到100多万起电子邮件攻击,尽管所有攻击都被大学的服务器成功阻止,但也付出了巨大成本和代价。
3.更多个人设备的使用
随着各机构继续采用虚拟的工作和学习模式,使用个人设备变得越来越普遍。凯南·德吉蒙西(Kenan Degirmenci)预测,2021 年自带设备(Bring Your Own Device,BYOD)和企业移动市场将扩大到733 亿美元。2020 年,美国高等教育信息化协会关于学生技术的调查研究发现,绝大多数学生每天都在将两个或两个以上的设备连接到校园的Wi-Fi 上。个人设备的大规模、常态化、个性化使用,将生成大量数据和行为痕迹,也将成为未来影响高等教育机构信息安全的巨大风险源。
(四)经济趋势:影响和证据
1.转向远程学习
随着高等教育向远程学习模式迁移的持续存在,学校将继续生活在警惕在线教育入学率下降的学生、机构收入减少和部门预算紧缩的威胁下。美国高等教育信息化协会对IT 领导者的一项调查发现,43%的受访者认为他们的IT 预算将继续下降,而73%的受访者报告说,他们院校的普通基金储备下降。
2.加强在高等教育和研究方面的合作
随着高等教育机构经费预算在全球范围内日益受到限制,机构将利用其集体购买力来降低信息安全解决方案的成本,基于同行的信息交流、共享决策和全行业标准化网络将减少克服共同信息安全挑战的努力。澳大利亚大学理事会信息技术协会(Council of Australasian University Directors of Information Technology,CAUDIT)启动了澳大利亚高等教育网络安全服务(Australasian Higher Education Cybersecurity Service,AHECS),目的是协调和统一澳大利亚各高校的信息安全实践,从而帮助实现规模经济。
3.高等教育机构并购
已经面临严重财政压力的高校将抓住新冠肺炎疫情后与其他院校合并的机会,启动共享或合并跨机构服务和运营。比如,美国宾夕法尼亚州立高等教育系统(The Pennsylvania State System of Higher Education,PASSHE)于2020 年宣布,计划探索“融合选项”,将宾夕法尼亚州各地的高等院校结合起来,以努力降低应对学生入学率和国家资金成本下降等问题。
(五)环境趋势:影响和证据
1.可持续发展的数据
随着环境变化的影响日益深远,越来越多的高等教育机构将提出可持续发展规划,可持续发展会计准则委员会(SASB)和全球报告倡议组织(GRI)宣布合作制定可持续发展报告标准,以帮助相关组织和机构发布和使用这些可持续性数据。已有300 多所高校加入了高等教育可持续发展倡议(the Higher Education Sustainability Initiative,HESI),其目标是在世界各地的校园里进行教学和鼓励可持续发展。
2.环境波动性增加
极端天气事件和气候模式的急剧变化推动了技术创新,机构需要采用更复杂和联网的工具来维护和监控校园安全。2020 年,几十所高校共同组建国际大学气候联盟(International Universities Climate Alliance,IUCA),主要致力于分享资源、开展高质量的气候研究和创新工作,以应对气候变化问题。
3.教育机构电力需求剧增
高等教育机构大面积采用远程工作和学习模式加重了对可靠电力来源的依赖。例如,2019年,黑客袭击了美国西部的一家电网公司,造成电网运营商的暂时中断和“盲点”。
(六)政治趋势:影响和证据
1.隐私数据保护、虚假信息、社交媒体“武器化”
尽管许多政府继续希望推行全面的隐私法规(如GDPR),但有些国家在控制和保护数据方面仍是自由放任和支离破碎。虚假信息和“武器化”的社交媒体的使用,在全球社会和政治阶段变得越来越普遍。《自然》杂志发表的一些研究结果详细描述了通过社交媒体对虚假COVID-19“反病毒”信息和阴谋的成功传播。
2.国际关系变化
全球主要国家之间紧张关系持续加剧,并充满不确定性。信息安全单位将被要求改进和扩大其对不良行为者的监测和保护措施。
四、高等教育信息安全的未来场景
基于影响高等教育信息安全的关键技术与实践,《报告》从社会、技术、经济、环境、政治五个方面分析了影响信息安全的发展趋势,同时构建了未来(2020—2030 年)高等教育信息安全发展的四种可能场景,分别是增长型、约束型、崩溃型、转换型。四种场景对于任何一个高等教育机构的信息安全战略规划具有重要警示意义和参考价值。
(一)增长型——信息安全能力持续增长
该设想认为,未来网络安全专业人员的数量将会剧增,并且他们将会成为高等教育的核心人物,且更多的最终用户会主动采取措施保护自己的网络安全。增长主要表现为网络安全人员数量的增加和最终用户(教职员工和学生)对于维护自身设备和网络的重视。从数字技术和机器人助手,到虚拟和增强现实设备,再到可穿戴和生物识别技术以及元宇宙(Metaverse),高校关注的端点网络呈指数型增长,变得更加复杂和分散。用户对安全和隐私的认识也呈指数型增长。网络安全能力将随最终用户的发展而进步,而对每个人的安全监控也变得更加方便。
(二)约束型——信息安全能力先增长后平稳
由于多种因素促成高校的并购,导致IT 预算削减,高等教育信息安全专业人员虽然受到重视但也受大量法规的限制和监视。预计新冠肺炎疫情结束后的十年期间,高等教育网络安全将会继续受到远程工作的影响。为降低IT 预算和运营费用,高校采取合并收购减少学院和大学数量,同时取消部分教职员工岗位,岗位向信息安全专业人员倾斜,并与私营企业竞争高质量的信息安全人才,这些都增长了机构对远程信息安全人才的需求。但是,供应商为免受因数据泄露而引发的诉讼,要求签订极其复杂的合同。各国法律也要求每个高等教育机构要投保违约保险。
从长远来看,在努力保护学生和教职员工的私人信息时,高等教育机构信息安全人员不享有工作隐私,即使是在远程工作时,仍会受到密切监视。约束(包括法规限制和监视)使得网络信息安全人员成为高风险、高回报的行业。
(三)崩溃型——信息安全能力先增长后下降
“安全疲劳”对教育的打击,导致国家和社会对信息安全和隐私保护丧失信心。在大多数高校中,网络安全专业人员已经被降格为边缘支持和维护角色,一些高校甚至开始削减其内部网络安全职能。科技巨头在保护高等教育隐私和安全方面拥有绝对控制权力。在法规安全方面,高校的作用已经沦为形式,或者只为服从公司条款和国家政策限制。这些因素都导致了高等教育信息安全的崩溃。此外,“安全疲劳”加速了崩溃的趋势。随着个人或高校的设备与网络始终处于运行状态,不断被监听和收集海量数据,公众对数据隐私和保护的情绪已经转为“完全默许”,学生数据也不再被视为需要保护的隐私,而更多地作为一种销售商品来帮助财政紧张的院校。
(四)转换型——信息安全能力在合作中不断增长
高等教育机构与国家安全机构合作,共同应对网络反恐战争。在网络安全威胁内忧外患的背景下,国家安全机构与高等教育机构合作,政府向高等教育注入资金,用以培养高学历、高技能和专业性的信息安全人才,高校信息安全部门采取机器学习与人工智能技术,成功实施漏洞奖励机制、端点检测和响应解决方案、深度伪装检测、数据验证和研究安全等技术,也会引起政府、企业和社会的关注。而在个人信息安全领域方面,许多小企业与机构通过网络安全外包或整合并购的方式,以弥补自身网络安全的空缺,促使高等教育信息安全能力在合作中增长。
五、启示与建议
后疫情时代,线上学习需求的激增、远程工作的流行以及视频会议的大范围应用,使安全和隐私问题在全球教育机构中空前高涨。我国高等教育机构也存在大量信息安全与隐私泄露问题,但由于呈现的案例较少尚未引起足够重视。通过对发达国家高校信息安全问题的思考,也为我国高等教育信息安全和教育新基建敲响警钟。值得注意的是,《报告》将远程工作单独列为超级趋势,表明未来远程工作和远程学习模式将是大势所趋,需要提前作好高等教育信息安全战略规划。
综上所述,通过解读《报告》对我国高等教育信息安全发展有如下启示与建议:
(一)适应常态化远程工作,积极共建网络信息安全同心圆
常态化的疫情防控加速了远程工作这一超级趋势,随着越来越多的学生接受在线学习,重新回到疫情之前的传统工作和学习模式已不被认同。与此同时,疫情也加快了教育向无边界网络的过渡,远程工作成为常态,但软件威胁、深度伪装、武器化人工智能等网络犯罪事件不断增加,甚至危害国家安全。尽管各国政府一直致力于完善并实施全面的隐私法规,但各国之间缺乏一致的隐私法律法规,而且数据政策和实践之间存在无法协调的矛盾,导致高等教育院校在国际合作中遇到重大障碍。如欧盟的《通用数据保护条例》(GDPR)规定了企业在手机、存储、使用个人信息上都要取得用户的同意,用户对自己的个人数据具有绝对的掌控权。
各国政府、相关组织需要秉持开放、透明、包容的心态,努力推动信息安全规则协调统一,不断完善全球数据隐私治理,维护稳定的世界高等教育信息安全发展,构建全球网络信息安全同心圆。全社会、各高等教育院校也要承担起领导责任,认真对待信息安全问题,真正尊重并重视个人隐私信息保护,通过研究和创新,引导公众关注隐私泄露问题以及思考如何保护个人数据。
(二)融合数字社会,加快信息安全及人工智能伦理法制建设
近年来,我国数字经济实现跨越式发展,构建数字中国、数字社会势在必行。在数字经济转型的关键期,人工智能作为七大支柱产业(云计算、大数据、物联网、工业互联网+、区块链、人工智能、虚拟现实和增强现实)之一,在为生产生活带来便利的同时,也暗含着一系列社会伦理风险。公正地使用个人隐私数据是人工智能伦理的要旨,随着个人移动设备的广泛使用,极大地增加了高校信息安全风险和设备管理难度,这些移动智能设备的基础技术都离不开人工智能,使用人工智能技术进行数据挖掘可能会导致用户隐私泄露,造成个人财产损失,增加数字内容治理难度。据《财富》杂志报道,美国一家人工智能公司研发出一款高清3D 面具和照片,成功欺骗了人脸识别系统完成购物支付程序,如果这一技术被不法分子利用,后果可想而知。
将人工智能伦理治理纳入人工智能战略,推动人工智能安全健康发展,已经成为世界各国的共识。面向未来,我国应加强新一代人工智能伦理及治理体系研究,探索构建符合中国国情的人工智能治理框架[2]。一是要积极参与全球人工智能治理交流对话,共同研讨全球AI 伦理标准与规则,共同探索适应人类发展需要的人工智能治理模式;二是推动自动驾驶、智能医疗、智能制造等人工智能重点领域规则制定[3];三是加强人工智能基础理论、可解释算法、可信人工智能评估测试等技术研究,依托企业、高校、产业联盟等机构,推动人工智能伦理及行业自律原则的实施落地[4]。
(三)重视信息安全疲劳,完善监管机构与安全制度体系
《报告》显示,“信息安全疲劳”是加速高等教育信息安全崩溃的重要原因。美国国家标准与技术研究院(National Institute of Standards and Technology,NIST)将安全疲劳主要描述为网络疲劳体验,指的是用户因频繁处理计算机安全而产生疲倦和厌烦之感,比如连续更换密码导致用户厌倦密码设置。相关研究发现,当被要求作出超出其管理能力的安全决策时,用户就会出现疲劳感和不愿决策的消极情绪,使他们在可选方案中选择最简单的选项,在这种临时动机的影响下,甚至产生冲动以及不遵守安全规则的行为。而产生安全疲劳的范围也不止局限于互联网新手用户,比如马克·艾略特·扎克伯格(Mark Elliot Zuckerberg)曾被爆料他的多个社交账号都使用同一个密码,从而遭遇黑客黑手。
为缓解网络信息安全疲劳,用户在日常使用互联网时就要注意养成良好的安全行为习惯,才能避免短期大量问题导致的安全疲劳。企业也需要不断革新安全技术,比如多因素身份验证、指纹解锁、短信/邮箱验证登录等。最关键的是完善监管和相关制度条文,特别是在用户安全疲劳的情况下,安全体系的防范程度需要有进一步的提升,监管机构必须进行更有效的技术体系改革,以降低用户直面安全问题的风险[5]。
(四)应对泛在无边界网络,提升师生数字智商适应数字社会发展需要
数字时代,高等教育机构、大学系统的信息安全管理首要关注的便是网络边界。新冠肺炎疫情打破了传统的高等教育机构网络边界,以远程工作为代表的无边界网络开始流行,在这种环境下,从开放环境中获取信息、将大量敏感数据存放到单个设备以及使用公共网络进行邮件发送工作,成为高校研究面临的独特挑战。此外,安全事件升级使更多网络用户遭受经济损失和隐私泄露,各国的数据隐私法也要求高等教育机构实施隐私治理模式。
未来数字化世界将需要更多专业的信息安全人员,但行业人才很有可能供不应求。“网络大疫情”安全风波使得人类对发展“数字智能”空前重视[6]。因此,高等教育需要进行时代性的数字化革新,来帮助师生应对信息安全挑战与隐私泄露风险。高校学生需要发展数字智商来适应数字生活,规避网络风险,应对未来挑战,而教师作为学生的辅导者和示范者,不仅需要发展自我的数字智商,还需要跨越数字鸿沟来指导学生顺利完成数字化转型[7]。特别是数字公民素养作为数字智商的核心和首要环节,其提升有利于治理数字世界的道德失范行为,降低潜在风险和危害的发生概率,推动网络精神文明建设,保证社会稳定与长治久安[8]。
(五)建立数据透明体系与融资体制,促进高等教育可持续发展
随着新冠肺炎疫情期间数据收集和使用频率的增加,大学生的数据隐私意识也逐渐加强。虽然有些消费者愿意用个人隐私换取需要的服务甚至同意接受买卖个人信息,但作为年轻一代,大学生更容易质疑注册服务是否必须收集个人数据,并探寻自己的数据如何被存储、使用和限制。实际上,在EDUCAUSE 2020 年度十大IT主题中,信息安全和隐私居于首位,但美国学士学位院校获得政府的资金最少,使高校在应对信息安全问题时承受巨大压力。
信息安全是保障教育信息化、教育新基建可持续发展的基础,但人工智能、社交媒体等发展与普及,一定程度为伪科学和虚假信息的滋生与传播提供了温床[9]。高等教育机构要认清形势,并采取相应措施应对挑战。例如,围绕数据收集、处理和存储创建一种数据透明体系,以更好地进行记录和沟通;开展培训指导相关人员合理使用数据、倾听学生诉求,在适当情况下提供数据隐私请求机制;提高信息安全和数据隐私在高校中的优先级,并提供共享治理;积极争取政府财政支持;加强政产学研用协同创新,推动高等教育可持续发展。[10]