随着数字化转型浪潮的不断推进,数据在教育领域应用范围的不断扩大,作用的不断凸显,教育数据已上升至国家发展战略层面,成为推动教育领域高质量发展的关键要素。教育信息化的深化应用不仅极大地丰富了教育资源,提升了教学效率,也累积了海量的数据资产。但是我国教育体系涉及的人员多、范围广,数据风险敞口尤为多,教育数据安全事件时有发生。
o 2023年8月,南昌某高校3万余条师生个人信息数据在境外互联网上被公开售卖,该校受到责令改正、警告并处80万元人民币罚款的处罚,主要责任人被罚款5万元人民币。
o 2023年3月,南昌市公安局发现,江西某职业技术大学师生个人信息疑似遭泄露。经查,该学校未健全全流程数据安全管理制度,未采取数据加密等相应技术措施保障数据安全,导致学校数据库被黑客非法入侵,师生个人敏感信息数据遭泄露。
o 2022年6月,某知名大学生学习软件的数据库信息被公开售卖,超1.7亿条信息疑遭泄露,公安机关介入调查。
o 2022年6月,某工业大学声明其电子邮件系统遭攻击,攻击者向师生发送包含木马程序的钓鱼邮件,企图窃取相关师生邮件数据和公民个人信息,经公安机关判定是境外黑客组织发起的网络攻击行为。
o 2021年9月,济南某所高校的新生个人信息遭到泄露,在微信公众号上可以查询该校新生的个人信息。
越来越多的现象表明,教育数据安全不仅关系到个人隐私的保护,更影响到教育系统的正常运行和整个社会的稳定。因此,确保教育数据的安全性,对于维护教育系统的稳定、保障个人权益、促进教育公平具有重要意义。
随着《个人信息保护法》《数据安全法》《未成年人保护法》《民法典》《网络安全法》《密码法》等法律法规的实施,从顶层规划,为教育领域的数据安全保护工作提出明确要求。
国务院等机构共出台了九项教育相关的法规或文件,其中在2021年4月,教育部等7部门发布《关于加强教育系统数据安全工作的通知》,提出“要建立教育系统数据安全责任体系和数据分类分级制度,形成教育系统数据资源目录。健全覆盖数据收集、传输存储、使用处理、开放共享等全生命周期的数据安全保障制度,开展常态化的数据安全监测预警通报”等工作目标。
福建省在2023年2月发布《教育数字化战略行动三年实施方案》,提出强化数据安全管理,完善数据容灾机制;山东省在2022年5月发布《山东省教育信息化“十四五”规划》提出持续完善网络安全防护体系,全面落实《网络安全法》《数据安全法》《个人信息保护法》等法律法规要求;北京市在2021年7月发布的《北京市教育数据资源管理办法(试行)》提出教育数据资源管理遵循统筹规划、破除壁垒、共享开放、充分利用、安全可控的原则等。
以山东、浙江、宁夏、上海、陕西、内蒙古、北京、广州、天津等为代表的省市,先后印发基于本省市实际情况的教育数据管理办法,并提出“各级各类教育单位应当编制本级教育数据安全规划,建立教育数据安全体系,制定并督促落实教育数据安全管理制度,加强安全保障,确保数据在采集、归集、整合、共享、开放和应用等全生命周期风险可控”等诸多要求。
教育系统数据安全自查应围绕数据安全管理、数据安全防护措施、数据处理活动、个人信息保护要求等几个关键环节展开,检查安全管理责任制、数据资产、外包服务、开发运维、新应用上线、重大数据安全事件、边界防护、访问身份鉴别、访问权限控制、对外接口数据信息、数据全生命周期安全,以及个人信息收集使用、安全技术措施、委托处理等。
数据资产无疑是推动教育领域高质量发展的重要引擎,但深挖数据安全的风险源,构建坚实的数据安全保护体系已刻不容缓。在这一过程中,重视数据安全管理的每个环节,包括风险识别、防护措施实施、合规性审查以及应急准备,都是确保教育系统稳定与学生信息安全的关键。
平台声明:该文观点仅代表作者本人,搜狐号系信息发布平台,搜狐仅提供信息存储空间服务。