【原】高校数据安全要“合规”而行

在大数据、云计算、人工智能蓬勃发展的数字经济时代，数据已经成为与土地、劳动力、资本、技术等传统要素并列的新型生产要素，成为社会发展倾力前行的“石油”，对国家经济发展、社会治理与人民生活产生了重大而深刻的影响。

高等学校作为我国高层次人才培养与科学研究的重要基地，在不断推进数字智慧校园建设过程中，运行庞大复杂的校园网络，收集、存储、使用、加工、传输、提供、公开的数据举不胜举。

如何确保高校数据处于有效保护和合法利用的状态？在《数据安全法》实施后，高校该如何“合规”，才具备保障数据处于持续安全状态的能力？高校的数据安全保护，已经成为数字经济时代高等教育持续健康发展必须解答的重要问题。

隐患重重：

高校数据安全情形甚忧

数据是指任何以电子或者其他方式对信息的记录。高校教学、科研、办公等系列数据记录着师生信息、科研信息、资产财务信息等各种内容。

一旦发生网络数据安全事件，造成系列数据泄露、篡改与灭失，都将造成巨大的损失，给高校和社会带来难以挽回的不利影响。

近年来，网络数据安全风波在高校频频上演，揭示了高校数据安全隐患重重的现实状况，主要问题表现如下：

第一，网络安全意识淡薄，系统漏洞百出，易受攻击。

当前高校基本都有校园网络运行，其办公系统线上管理成为日常。部分高校网络安全意识淡薄，对在线运行的信息系统未建立适当的网络安全防护技术措施，系统存在安全漏洞，处于易受攻击的风险之中。

例如，2017年12月，长沙医学院因其附属第一医院协同办公系统，存在越权及任意文件上传的网络安全隐患漏洞，被部门行政警告处罚，责令限时整改。

第二，高校数据安全保护不力，学生个人信息泄露严重。

目前大多数高校积极开发多场景状态下的数据应用以提高教学科研管理能力，但对数据保护力度不够，存在学生个人信息泄露的安全隐患。

2020年6月，郑州西亚斯学院近两万学生个人信息被泄露，学院及负有领导责任的一名副校长和直接责任人受到行政处罚。据报道，学生因个人信息泄露，被悄然“入职”用于企业偷税逃税，或遭遇网络诈骗等事件。因此，高校数据安全保护力度必须加强，否则类似的事件还将不断发生。

第三，数据管理制度不健全不规范，科研数据安全保护亟待加强。

高校作为国家科研重要阵地，承担国家系列项目研究（包括国家涉密课题的研究），加强科研数据安全（保密工作）尤为重要。

在大数据技术普遍适用的背景下，除科研活动产生的科研数据之外，科研人员科研网络活动行为数据（搜索信息资料和检索网络数据库的行为轨迹）也成为境外黑客收集科研情报的重要来源。

部分高校在开展数据处理活动过程中，尚未建立健全全流程数据安全管理制度，没有对具体数据处理者开展数据安全教育培训，也没有采取相应的技术措施和其他必要措施保障数据安全，当前高校科研数据安全保护实况确实不容乐观。

有法可依：

高校数据安全规范指引

2021年6月10日，十三届全国人大常委会第二十九次会议表决通过经历了三次审议与修改的《中华人民共和国数据安全法》（文后简称《数据安全法》）。

《数据安全法》共七章五十五条，主要聚焦于数据安全与发展、数据安全制度、数据安全保护义务以及政务数据安全与开放等内容，并于2021年9月1日生效实施。

《数据安全法》的颁行，与2017年6月1日起施行的《网络安全法》、2010年10月1日起施行的《保守国家秘密法》一起形成高校数据安全法律规范的调整体系。

8月20日正式通过的《中华人民共和国个人信息保护法》，也将成为高校数据安全重要的法律指引。

根据《数据安全法》的规定，数据安全是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。

数据安全概念的提出与界定，以数据全生命周期中数据安全为聚焦点，将在理论与实践中具有区别但又交叉重叠的信息安全、网络安全以及隐私保护等概念有效地结合起来。

分析当前网络数据主要的法律规定，高校数据安全法律指引聚焦于以下四个方面：

第一，网络安全等级保护制度。

根据《网络安全法》第二十一条的规定，高校作为网络运营者应当按照网络安全等级保护制度的要求，履行相关安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。

文前所述的长沙医院遭受行政处罚，主要原因为未落实网络安全等级保护制度。根据法律规定，若该高校被确定为关键信息基础设施运营者，则应当依照《网络安全法》第三十一条的规定，在网络安全等级保护制度的基础上，实行重点保护。

第二，数据分类分级保护制度。

《网络安全法》规定网络运营者应当采取数据分类、重要数据备份和加密等措施保护网络安全。《数据安全法》则进一步规定，根据数据在经济社会发展中的重要程度，对数据实行分类分级保护。

高校应当根据本地区本部门确立的重要数据目录对相关数据进行重点保护，达到分类分级保护的效果。其中达到秘密级的数据应当遵循《保守国家秘密法》的规定。

第三，个人数据（信息）处理活动应合法正当必要。

根据《网络安全法》第四章信息安全的规定，网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。

《数据安全法》第三十二条规定任何组织、个人收集数据，应当采取合法、正当的方式，应当在法律、行政法规规定的目的和范围内收集使用数据。文前所述的郑州西亚斯学院被处罚案例，正是违反了《网络安全法》个人信息保护的相关规定。

第四，其他法律规范指引，例如数据活动目的审查、重要数据出境管理等。

《数据安全法》第二十八条规定，开展数据处理活动以及研究开发数据新技术，应当有利于促进经济社会发展、增进人民福祉，符合社会公德和伦理。

这说明高校开展的数据处理活动及数据技术研发，应该关注数据处理活动目的，不能出现违背公德与伦理的情形。

关于重要数据出境的法律规定，不管是《网络安全法》还是《数据安全法》都将数据出境问题详细规定放在下一步配套法规或规范性文件，未来这将对中外合作办学的高校数据出境产生针对性的规范指引。

“合规”而行：

高校数据安全的法律遵从

“合规”一词本源于商业银行管理，意指商业银行的经营活动与法律、规则和准则相一致。近年来，“合规”广泛应用于网络数据安全领域，指网络运营者或者数据处理者遵从国家法律法规、国家标准以及行业准则而规范自身的行为活动。

数据安全的重重隐患与风险，高校有望在法律规范指引之下通过“合规”而得到消解。具体说来，人员配置、制度管理、流程设置以及思维培养是高校数据安全“合规”的四个关键点。

第一，确定网络安全责任人与数据安全负责人，落实安全保护责任。

无论是数据安全保护活动的开展还是法律义务的承担，“责任人”的落地必不可少。根据法律的规定，在高校处理重要数据的情形下，还应当明确数据管理机构。

高校如果被认定为关键信息基础设施运营者，除了应当设置专门安全管理机构之外，还应当对负责人和关键岗位人员进行安全背景审查。

第二，建立健全完善的网络数据安全管理制度。

法律的要求应当详细地体现于高校数据安全管理制度之中。

例如网络安全等级保护制度要求的监测、记录网络运行状态、留存相关的网络日志不少于六个月等内容应细化为高校数据安全管理制度条款。

又如在数据分级分类制度方面，建议高校将本地区本部门“自上而下”确定的重要数据具体目录纳入单位安全制度依据，对列入目录的数据进行重点保护。

发现数据安全缺陷、漏洞等风险应当采取补救措施与报告、法定条件下数据风险评估等内容都是高校结合自身情况，将其细化如数据安全管理制度的应有内容。

第三，采取安全技术措施，确立合理的操作规程。

完善的管理制度需要合理的操作流程才能发挥实效。高校可采用“权限分层+技术控制”的双重方式建立数据操作流程，即确立不同主体对数据访问与处理的权限分层，并在操作规程中嵌入数据审计，隐私加密、数据脱敏等网络安全技术，增补各个安全节点，完善数据访问与处理的操作流程，强化网络数据安全保障。

第四，加强宣传教育，培养数据安全思维。

在高校师生中开展“网络安全日”和“数据安全宣传周”等宣传活动，尤其关注提高大学生个人信息保护意识，积极防范网络诈骗。

有条件的高校还可以开设《网络安全法律治理》《数据安全法律合规》等前沿课程与讲座，甚至聘请专业的网络安全法律团队为高校数据安全具体“合规”，提高高校数据安全保护意识和水平，形成高校共同维护数据安全和促进发展的良好环境。

作者：夏燕（重庆邮电大学网络空间安全与信息法学院、重庆邮电大学网络法治研究中心）