新形势下高校数字校园的个人信息保护

王卓红

(大连海事大学，辽宁 大连 116026)

高校数字化建设的发展已经使校园信息系统成为学校教学、科研、管理等各项工作得以正常运转的基础环境。作为数字化的必然结果，越来越多的信息在网络系统中得以体现，包括学校的资产数据和全体教职员工及学生的个人信息。在这一背景下，学校信息系统就会成为不法分子谋取商业利益或达到其他目的的攻击对象。因此，信息安全已成为校园安全的重要组成部分，数字化校园背景下的个人信息保护［3］也显得尤为重要。

一、信息安全和个人信息保护

信息安全指的是确保信息的保密性、完整性和可用性以及真实性、责任性和可靠性，即保障信息系统中的数据不泄露、不丢失、不被篡改，使信息系统能够连续稳定地运行，信息服务不中断。个人信息是指与存在个体相关的、并且可用于识别特定个体的信息，如姓名、生日、个人证件号码、标志或其他记号、电话号码、图像或录音以及其他相关信息，家庭状况、健康状况、资产收入、个人经历等都属于个人信息范畴。

学校的个人信息包括干部信息、管理人员信息、教师信息、科研人员信息、工人信息、临时工信息、退休人员信息、学生信息以及与以上人员相关的家属信息，还有校友信息关系单位的个人信息等。随着高校数字化建设的发展，教师及学生的个人信息泄露的风险性越来越高，随之给人们生命财产带来的威胁也越来越大。在高校的数字化建设中应当加强个人信息的保护，这也是高校取得公众信任的一项必要条件。

二、当前高校个人信息保护存在的主要问题

在校园信息系统中个人信息安全威胁主要包括:意外事故和设备故障;因安全意识不强、知识和技术欠缺导致的人为失误;黑客攻击;网络技术漏洞;计算机病毒等。高等学校作为人才培养、科学培养的场所，与其他社会组织相比具有特殊性。当前，随着高校数字化建设的深入，个人信息保护存在以下主要问题。

(1)用户的安全意识有待提高。信息安全不仅要依赖技术手段的支持，更需要依赖有关政策、管理制度，需要全体人员共同参与。学生是校园网用户中的主体，他们思想活跃，易于接受新事物，但是由于他们缺乏社会经验，再加上有些学生缺乏责任意识和信息安全意识，往往会成为校园信息安全麻烦的制造者。

(2)计算机病毒交叉感染。在校园的一些公共场所，如计算机房、实验室、多媒体教室，往往成为各种计算机病毒的“集散地”。计算机病毒的交叉感染，会造成信息泄露、被篡改等。

(3)由于教学和科研的特殊性，教师用户希望得到宽松的信息环境，这种愿望往往会对信息安全造成威胁。

(4)学校的网络系统和各个部门的信息系统缺乏统一调控。各个部分的信息系统的安全建设和管理存在差距。

(5)安全操作技能有待提高。由于高校信息化是新生事物，一些用户缺乏计算机、网络知识与操作技能，也会增加人为失误的可能性。

三、应对高校个人信息保护问题的主要措施

学校作为国家培养人才的场所，一方面要加强个人信息管理，防止发生个人信息泄露事件;另一方面要根据校园个人信息的特殊性和校园特殊的管理环境，制定校园个人信息保护的具体规定。根据当前高校个人信息保护存在的主要问题，笔者认为当前高校校园个人信息保护应采取如下措施。

1．加强个人信息保护培训教育

对教职工分期分批进行培训，特别是参与信息发布、信息收集和维护相关数据库的教职员工。加强教职员工的个人信息安全保护意识。为了检验培训效果，在培训结束时，要对参加培训人员进行书面考试，同时要用书面的方式征求全员意见，对培训效果进行评价，以便今后的改进。同时，把个人信息保护的意识和知识灌输给学生，以便将来他们毕业后能够很快地适应所在单位个人信息保护工作的需求。

2．设立个人信息保护组织机构

在高校保卫部门设立信息安全部门，主要负责以下事务:一是信息安全设备的日常监控。对单位制定的个人信息保护体系的运用状况进行日常检查和按计划内审的规定;检查是确认各部门或各岗位是否按体系建立的相关规定实施，并在日常工作中，对发现的问题不断地进行改善和预防。内审是在组织内部相关负责人的领导下或聘请外部专家，定期对本单位个人信息保护体系的整体运行状况进行监督，如体系是否符合单位的实际需求。

二是对个人信息保护管理体系所要求的文档进行有效控制，确保各相关场所使用的版本具有一致性、有效性，保证其信息的保密性、完整性、可用性。

三是处理信息安全事件。一旦发生个人信息的丢失、泄露、损坏等事件时，为保护学校日常活动的持续性，建立预防措施和处理方案，将紧急事件所造成的影响降低到最小。

四是对违反个人信息保护规定的教职工或学生进行公正有效的处罚的规定，它有利于强化全员的个人信息保护意识，有效防止个人信息安全事故的发生。本着提高教职工、学生的个人信息保护意识、降低个人信息安全事故为原则，纠正违纪违规行为。本着处罚与教育相结合的原则，引导教职工、学生自觉遵守个人信息安全规定。对教职工、学生的任何处理决定应当公开进行，但涉及个人隐私及学校秘密的除外。对教职工、学生违纪处罚应在查清事实的基础上，根据情节，依据规定以口头或书面形式给予处罚。被处罚者对处罚决定享有陈述、申辩的权利。对处理决定不服从的有权申请上级部门复查。

对来自各个部门及社会上的意见和建议给予及时的反馈，以防止由于没有妥善的处理而使事件复杂化。应将各种意见和建议，作为审查个人信息保护体系符合性的宝贵意见。该规定应详细论述投诉、建议的收集;投诉、建议的分析整理;实施应对措施;投诉、建议的反馈。

对个人信息保护检查、内审过程中发现的不符合事项进行纠正、跟踪;对学校的个人信息保护规章制度存在的缺陷及时改进和完善，对改进后的情况进行评估，保证个人信息保护规章制度的持续改进和不断提高。

3．增强网络基础设施建设

在校园网基础设施建设方面主要是硬件建设和软件建设。硬件建设是在学校资金允许的条件下更新网络运行设备。软件建设包括:部署防火墙，防止校园网内容被窃取、篡改、泄露等事件;加强邮件服务器的监控、加密解密措施，设置垃圾邮件过滤系统和防病毒邮件系统;设置桌面防病毒系统，做好漏洞补丁管理和发布系统;加强各网站、服务器、电脑防黑客攻击的措施。另外，用网络收集个人信息时，必须用SSL 等加密措施进行信息保护。

4．加强信息保护技术物理安全管理

要加强校园及各部门，特别是信息数据集中的部门出入权限的管理;加强办公环境及设备的防盗、防灾的管理;加强个人信息文档的保管管理;加强访问信息的控制管理;在校园各重要场所设置电子监控等。

四、结 语

高校是人员及人员信息集中的地方，一旦发生了个人信息泄漏事件，不仅会对很多人生命财产造成损失，也会给学校的声誉造成不良影响。为避免这种情况发生，必需教育全员按照相关规定执行。个人信息保护的实施贵在日常防范，只有领导重视，规章制度健全，培训到位，全员努力遵守，才会万无一失。

［1］赵 侃．校园网络信息安全状况分析及解决方案［J］．软件导刊，2011(10) : 116－117．

［2］傅 星．校园信息化背景下的信息安全［J］．首都经济贸易大学学报，2010(4) : 123－128．

［3］辽宁质量技术监督局．信息安全个人信息保护规范(DB21/T1628．1－2012) ［EB/OL］．(201－02－07) http: //www．dsia．org．cn/NewsDet ail．asp? ID= 2881．