统筹大学治理与个人信息保护

协调数据共享与信息安全

北大正式发布首个校务信息数据管理办法

【重磅推出,意义重大】

2021年11月17日,经过历时近一年半的修订和完善,在2020年7月1日第996次校长办公会审议原则通过的基础上,北京大学第1038次校长办公会再次审议并发布了北大校务数据治理领域的一项基本制度——《北京大学校务信息数据管理办法》。该办法围绕校务数据管理的基础概念、基本原则、主要过程、主要对象和主要关系,明确了校务数据的责任机构以及数据共享过程中的工作方式和管理要求,为学校持续推进数据治理工作夯实了牢固的制度基础,为今后校内数据采集、应用、安全等相关工作提供规范遵循,促进各单位合理规范的使用数据和管理数据,更加重视并严格落实师生个人信息保护责任。

【长期推进,日臻完善】

《北京大学校务信息数据管理办法》(以下简称《办法》)的出台,是随着信息社会进入发展新阶段,基于北京大学校园数据权益保护和数据共享应用的新需要,立足大学数据治理体系建设开展的一项重要制度建设。

为加强校务信息数据的统筹规划与规范管理,推动学校常态化管理升级,北京大学2018年以来,大力推进校园数据治理工作。学校网信办在筹建期间提前部署,启动了数据治理的工作,协同计算中心等单位及时开展了系统和数据底数的摸底调研,针对数据资源的使用效率、采集规范以及安全风险三位一体推进数据共享平台建设、数据管理制度建设及数据责任机构建设。

网信办一方面从管理、技术、用户三个维度入手,抓数据应用的重点、痛点,选取关键点推进数据跨领域共享;另一方面完善数据管理规章制度,总结校务数据治理推进经验,试行并持续完善管理制度及配套工作流程。

2020年4月6日,经过全校各单位将近一年时间的努力建设,北京大学校务数据共享平台初具规模,数据共享等服务功能上线试运行。试行显著推进了校内数据统筹共享和安全管理等工作,促进了从事数据相关工作的专家学者和一线人员参与完善。

2020年7月第1日996次校长办公会听取相关工作进展汇报,原则通过《办法》,同意成立校级信息数据管理机构,以工作小组形式推动相关工作,指导数据共享工作的继续推进和《办法》的持续修订。

《办法》试行以来,网信办在校务信息数据管理工作小组的领导下,根据校长办公会决定,一方面继续完善配套措施,通过数据共享平台的管理服务流程协调推进校内跨领域数据的应用发展;另一方面认真组织学习国家层面近期出台的相关制度,尤其是《数据安全法》以及《个人信息保护法》等,积极沟通相关各方征求修订意见,理论联系实践,对《办法》相关条文持续优化调整。

《办法》修订稿调整了五个方面的内容:一是明文要求数据处理中的个人信息保护;二是将数据安全列入数据权责机构的基本职能;三是明确校内单位贯彻数据安全的落实原则;四是保障安全前提下促进共享应用的重要方式;五是推进常态化数据安全监管机制。

【分享要点,关注实施】

修订后发布的《办法》共5章41条,篇章结构如下:

★第一章,总则(第1-7条),从整体层面明确《办法》制定的目的、规范的对象、范围、原则、方法及相关责任等事项。

★第二章,采集编目(第8-18条),重点围绕数据的采集和目录编制明确基本流程和相关单位的协作关系。

★第三章,共享应用(第19-33条),重点围绕数据的共享及公开明确共享的方式、流程及禁止规则。

★第四章,安全管理(第34-38条),重点围绕数据的安全管理和个人信息保护,明确安全管理方式、责任及相应措施。

《办法》正式公布实施后,数据治理尤其是关于数据的采集、共享及安全管理工作将面临更加严格的规范要求,将给校内各单位和师生个人的校内活动带来这些变化或影响:

首先,依据《办法》第九条,校务数据采集遵循“一数一源”、精简高效原则,凡属于数据共享平台可以获取的数据,原则上不得重复采集。各单位采集数据需要做适当调整,需要认真研读《办法》第二章有关采集编目的工作要求,依规办理。如果遇到相关领域的困难,可以及时与网信办联系,学校原则上支持使用共享数据。如果师生个人遇到信息数据被校内不同单位重复采集的情况怎么办?可以根据《办法》第四章有关安全管理的相应条款与网信办或有关部门联系咨询,各单位将依据《办法》协商和研究解决。

第二,个人信息怎样使用才是合理合法?有关个人信息的数据处理是一个大家普遍关心的问题。学校制定《办法》的目的之一,也是为大家提供一个较为正式的解答。《办法》第十九条要求在严格保障安全和保护隐私的前提下,促进校务数据的充分利用。此外,涉及个人信息的校务数据共享应用,原则上须通过数据脱敏等技术措施进行个人数据的去识别化处理。第二十五条提到涉及商业秘密和个人信息的校务数据,应禁止共享,法律明文规定或信息主体另有授权的除外。

第三,科研数据、教学数据、图书资料等是否是本《办法》描述的校务数据范围?有关校务数据在《办法》制定的整个过程中都是大家热议的问题。综合多个领域的意见建议,《办法》正式确定的校务信息数据,指北京大学及其所属各机构根据自身权责在运行过程中产生的,通过互联网、计算机系统存储或使用,具有校务属性特征的管理信息数据,包括但不限于:人员身份、资产设备、教学科研、学术支撑、行政运行、服务保障等各类管理信息数据。这里需要明确的是管理信息数据,教学科研活动中产生的内容或信息,在未纳入相关部门以校务属性进行管理的情况下,不是本《办法》描述的校务数据范围。

第四,出入校管理中的人脸数据是否属于校务数据管理中的个人信息保护。答案:是。人脸数据是学校依法或按照“告知-同意”规则采集的师生个人脸部特征数据,属于《办法》第二条有关人员身份类别的识别信息之一。学校依据《办法》第三十七条等条款进行个人信息保护,也明确了各单位的职责和任务,其中网信办负责校务数据及个人信息保护工作的统筹协调,校内各有关职能部门在各自职责范围内负责校务数据及个人信息的保护。计算中心承担校务数据及个人信息保护的技术保障。

声明:本文来自未名赛博空间,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。