近日,南昌公安网安部门工作发现南昌某高校3万余条师生个人信息数据在境外互联网上被公开售卖,公安网安部门立即开展一案双查,成功抓获犯罪嫌疑人3名。与此同时,网安部门对涉案高校不履行数据安全保护义务的违法行为开展执法检查。
经查,涉案高校在开展数据处理活动中未建立全流程数据安全管理制度,未采取技术措施保障数据安全,未履行数据安全保护义务,导致学校存储教职工信息、学生信息缴费信息等3000余万条信息的数据库被黑客非法入侵。其中3万余条教职工、学生个人敏感信息数据被非法兜售。
根据《中华人民共和国数据安全法》第四十五条的规定,公安网安部门对该学校作出责令改正、警告,并处80万元人民币罚款的处罚,对主要责任人作出人民币5万元罚款的处罚。
在互联网技术高速发展的时代,国内外高校信息泄露事件时有发生。今年有网友在爆料称,国内某高校一男生在读硕士研究生期间,非法盗取全校学生个人信息,包括照片、姓名、学号、籍贯、生日等,并搭建了给全校学生颜值打分的网站。7月3日,北京海淀警方通报,经查,嫌疑人马某某(男,25岁,该校毕业生)涉嫌非法获取该校部分学生个人信息等违法犯罪行为。目前,马某某已被海淀公安分局依法刑事拘留,案件正在进一步调查中。此外,2021年有网络消息称墨尔本一所知名大学出现信息泄露事件,该校5200名员工、100名学生和200名校外人员的个人信息被公开在互联网论坛上。2020年疫情原因,澳洲大学把考试改为线上,使用ProctorU来监督在线考试,ProctorU允许监考员在学生在线考试时通过电脑摄像头监督学生等,但之后该系统遭黑客攻击,澳洲多所大学纷纷中招,造成数十万用户数据被泄露……国内外高校信息泄露事件总会引发社会对高校信息安全保障的担忧。这也让很多人关注到学生隐私的信息安全保护问题,有人认为在获取学生信息的时候就应注意尺度和安全性,也有人想了解发生信息泄露之后学校的最佳做法。高校获取学生个人信息能更广泛、更深层次地帮助学校提升教学及管理效率,但也存在一定的隐私安全问题。学校怎样才能在获取学生个人信息和保护学生隐私之间找到平衡?对此,致力于维护信息及隐私安全的组织“连接安全”为大学提供如下参考建议。第一,大学要谨慎使用技术工具来获取学生信息。在学校或地区决定采用某类技术工具前,需对其进行全面评估,以确保这些技术工具符合数据隐私的要求。第二,学校要对学生的个人信息进行严格管理。首先,学校要对获取学生信息的工作人员进行严格管理。同时,学校还可以针对不同类型的管理人员差异化设置学生个人信息的查看权限。第三,教师和管理人员在传播学生个人信息的时候,要时刻具有隐私保护意识。如尽量不要将学生的个人身份信息放入群发电子邮件中;避免囤积或过度共享学生个人信息等。第四,对学生的掌控应在合理范围内,确保学生隐私不被侵犯。国外有国家监测系统明确校内可监测学生范围:金钱交易场所(咖啡厅、餐厅等)、公共场所出入口、楼梯间、停车场及事故频发地段。而不可监测场所包括洗手间、学生宿舍等私密场所。大学掌握着大量学生和教职工的个人信息,承担着众多国家级重要科研任务,高校自然成为信息安全“黑市”的香饽饽。因此,一套操作性强的信息泄露紧急应对预案必不可少。凯斯西储大学曾在其官网上发布的《数据泄露应对程序》提供了一个极佳范本。一旦信息泄露事件发生,该大学会有四个主要部门参与泄露事件的处理:● 隐私办公室/法规管理处:负责引导和维持整个数据泄露处理流程的系统进行,作为处理事件的中心和对外沟通的最初接触方,负责通知受隐私泄露影响的每个人。● 信息技术安全服务部门:负责电脑诊断,提供信息安全专业知识和建议,为防止泄露事件再次发生而提供补救措施。● 法律顾问办公室:在调查过程中负责提供法律意见。● 市场营销与沟通部门:在涉及事件当事人和内部利益相关人时,为隐私办公室提供交际策略,并负责与隐私办公室和大学赞助方协商后和媒体沟通。除了这四大部门,其他部门和人员也同样重要。对此,该校将应对流程分为十步:3.隐私办公室与发现者联系,确认信息,尽快调查泄露事件。4.若隐私办公室确认没有私有信息遭到泄露,将这一决定记录下来,调查过程至此结束。5.若隐私办公室确认私有信息遭到泄露,会与遭受影响的办公室或部门合力控制数据泄露的局面。之后,隐私办公室会对泄露事件范围和影响程度进行评估,其他部门此时也可能加入进来。例如,如果泄露的信息是电子信息,信息技术安全服务部门会参与事件的处理。6.控制住数据泄露的局面后,隐私办公室会与法律顾问办公室交换意见,确定泄露的信息是否明确受法律保护,并找出法律条文里相关的责任认定条例。之后,隐私办公室和法律顾问办公室会互相协作,确定所有会对学校的回应产生影响的法律条例。7.隐私办公室按照相关法律规定,拟定正式的通知信并发送给受泄露事件影响的每个人。8.除发布通知,隐私办公室还会寻找其他的补救措施以减轻数据泄露带来的影响,同时还会确认是否有其他制度流程上的缺陷必须处理。若缺陷存在,隐私办公室会与受影响的人一起努力,保证学校工作流程得到改进,避免未来有类似情况发生。9.隐私办公室拟定数据泄露事件报告,数据泄露事件的处理过程至此结束,关于泄露事件的内部记录会被视为学校的机密文件被保存。考虑到泄露事件当事人和学校领导层的意见,隐私办公室会自行决定是否公开数据泄露事件报告。根据收集到的可用信息,数据泄露报告应当包括以下所有的内容:◆ 泄露事件对个人、校内操作和学校资源的潜在影响。10.隐私办公室将每份事件报告收集汇总,可以将报告用于向相应的政府机构履行法律报告义务。此外,大学办公室在遵守隐私相关法律的前提下,持续记录事件过程。在当今大数据环境下,个人信息的保护与隐私泄露问题凸显。高校在利用各种途径和工具获取学生个人信息数据的同时,需要把握一定的尺度,保障学生个人信息不被泄露。若信息遭遇泄露,学校需要紧急应对,妥善处理。[1]Blumenstyk, Goldie. "Big Data Is Getting Bigger. So Are the Privacy and Ethical Questions." The Chronicle of Higher Education, 31 July 2018.
