随着高校信息化建设不断深入，数据安全和隐私安全已经成为高校网络安全的重要环节。对于隐私数据安全，高校通常是对隐私数据的源头进行定级和保护。然而，这种方式往往忽略了隐私数据在采集、传输、交换等方面的问题，对隐私数据针对性保护效率不高。　　合规性成为首要挑战　　我国相关威胁情报中心监测发现，仅是2022年1月至10月，就有超过950亿条中国境内机构数据在海外被非法交易，其中60%的数据泄露事件泄露的是公民个人信息；2022年5月，美国伊利诺伊州的林肯学院由于勒索软件对其财务造成残酷的打击，决定永久关闭学院。以数据为目标的外部网络安全威胁愈演愈烈。与此同时，《网络安全法》《数据安全法》和《个人信息保护法》等陆续发布，网络安全监管合规要求也越来越聚焦、严格与全面。这使得数据拥有者对隐私保护的要求越来越高。整体来看，高校目前在隐私数据保护方面主要面临如下挑战。　　一是合规性。法律法规的不断发布迫使高校在开展具体工作时需要考虑合规性。例如，存储师生的哪些个人数据？分布在哪些系统中？是否满足立即响应师生的数据访问权、更新权和删除权等权利？　　二是体量大、难梳理。随着智慧校园等信息化建设项目的开展，高校积累了大量的数据资产，业务系统繁杂，导致大量数据梳理效率差、准确率低等问题。　　三是技术受阻。现有的高校隐私数据保护技术依赖于人工制定大量的识别规则，导致成本高、更新慢等问题。　　四是管理缺口。高校在隐私数据保护实施流程上缺乏策略文件的清晰指导，师生缺乏对隐私数据安全性的整体认知。　　从高校隐私保护的需求角度来看，当前隐私保护可以划分成个人隐私保护和高校敏感数据保护。其中，个人隐私保护主要涉及个人的敏感信息，如学生在校的学习数据和一卡通等；高校敏感数据保护主要是利用一些隐私保护的技术（如联邦学习、同态加密、零知识证明、区块链等技术）对高校敏感数据进行保护，避免隐私泄露，如科研数据等。本文从隐私保护需求角度出发，通过将GRC（Governance，Risk management and Compliance）风险治理方法论融入PDCA（Plan-Do-Check-Act）循环，探讨高校隐私保护的具体实践。　　GRC拓宽风险治理思路　　GRC是OCEG（一个由GRC专业人士组成的全球社区）所倡导的一种风险治理方法论。GRC是一种综合的管理方法，通过解决不确定性风险和诚信行事，可靠地实现目标，使组织实现“有原则的绩效”。“有原则的绩效”就是在内外合规的前提下，在解决不确定性风险和保持诚信的同时所达成的目标。为了管理不确定性风险，需要综合运用战略、人员、流程和技术。GRC的三个要素分别是治理、风险管理和合规，这三个要素并不相互独立，而是深度有机地融合在一起（如图1所示）。图1 GRC三要素的关系　　其中，治理是通过一种分工协作而又相互制衡的组织和制度设计，采用合适的治理框架，使得每个人都能发挥主观能动性，但又不至于偏离太远，让组织内部总是能朝着“大致正确”的方向前进。以隐私法律合规为例，这些政策文件要落地，需要采取必要的风险控制活动，并嵌入业务流程，降低或消除确定性风险。所谓的确定性风险，就是可以通过流程降低或消除的风险。数据安全实践表明，这些风险往往是一些低级的人为疏忽或错误，如弱口令、上线前未扫描就发布导致本来可以识别的漏洞被黑客利用等。　　风险管理主要在于管理各种确定性风险和不确定性风险，包括对所有业务和法规风险进行结构化识别、评估、处置、监视和控制，将风险控制在可接受的水平之内。这个可接受的水平，通常位于强制性边界（法律法规）和自愿性边界（内部政策）之内。　　合规方面，外部合规就是要符合所有适用的法律法规、监管要求、行业标准等，内部合规就是要符合内部政策、管理规定、技术规范等。此外，合规不仅仅是结果合规，也包括过程合规、人员合规。　　融合GRC和PDCA实现合规目标　　高校隐私保护是一个主要受外部法律法规影响的领域，现阶段面临的主要风险是法律问题，因此合规是主要的目的。笔者将GRC风险治理方法论融入PDCA循环，探讨高校隐私保护的具体实践内容（如图2所示）。图2 基于GRC的高校隐私保护任务　　计划阶段，最重要的一件事就是确认所有跟高校自身业务有关的法律合规要求，形成相关法律文件的清单。为了识别出学校所面临的合规风险，各业务部门逐一对照每部法律是不现实的，需要将外部法律法规及框架转换为内部的合规基准，这是高校内部合规工作的基石和出发点。与此同时，治理工作也可以开展，如设定高校隐私保护目标、组织结构与人员任命、总体政策、问责机制等。有了内部合规基准之后，风险识别工作就可以启动了。　　执行阶段，首先需要细化政策，基于合规基准，将政策完善或转化为业务直接可用的规定、标准、规范、流程控制点等内部政策文件。隐私保护可以按照四级文件体系进行设计，分别是政策总纲、管理规定/规范、流程/指南、模版。其中，顶层的政策总纲已在计划阶段完成，在执行阶段，高校隐私保护团队需要完善具体的管理规范和模版等。下面以隐私保护全生命周期为例，探讨执行阶段具体要开展的工作。　　第一，数据收集。为了保障数据主体的知情权，获取师生的有效同意，需要对隐私声明和通知进行规范化管理。在直接向高校师生收集数据时，需要使用隐私声明向师生展示隐私政策；反之，应当在高校内部各业务落实“隐私通知”，还需要对内部文件进行规范化管理。　　第二，数据处理。收集到高校师生数据之后，在处理过程中，需要保障个人数据安全。对此，可以通过融入数据安全设计规范或建立单独的隐私设计规范来加以明确，在数据处理过程中加以保障，体现出构建隐私安全和主动预防的思想。　　第三，数据流转。个人数据在学校内部不同业务间流转，可能超出数据主体的同意范围，或者需要流转出高校内部，按照法律要求，需要满足一定条件并签署数据传输协议。当需要委托外部的数据处理者处理数据时，需要对数据处理者进行尽职调查并签署数据处理协议。这些要求和操作，都需要通过管理文件进一步明确，并在流程中落地。　　第四，数据清理。当个人数据已不再需要使用，例如学生已毕业或退学，应在法律规定的留存期满之后及时清理，这就需要建立个人数据留存与清理的管理规定。　　政策文件要真正落地，还需要跟流程结合起来，梳理出需要在流程中设置的控制点，形成控制矩阵，即所有跟隐私保护有关的流程和控制点集合，包括合规控制矩阵和风险控制矩阵。这些控制矩阵，就是监督业务是否真正在流程中落地的依据。以教师离职流程为例，教师首先在线提交销户请求，经数据主体请求响应流程处理后，如果没有法律要求保护的数据，则调度各业务清理该用户的个人数据（如图3所示）。图3 教师离职流程　　内部政策中，涉及风险管理的相关文件就绪后，各业务可以按照相关文件（风险管理规定、风险评估方法、定级标准、隐私设计规范等）指引，开展隐私风险评估及定级、风险处置等活动。在执行改进的过程中，还需要加以监督，及时纠偏，以及留下合规记录，如流转审批记录，用于向监管机构证明。　　检查阶段，就是检验政策文件体系中规定的控制措施是否真正落地，师生在执行过程中是否执行到位以保障过程合规。检查阶段的主要任务包括：“G”，对团队努力的成果、过程、态度进行绩效考核；“R”，用数据来量化风险，可用于高校二级学院之间的对比，表彰先进，如隐私设计的符合情况、数据主体请求响应的服务要求达成情况；“C”，对合规有效性和合规记录的检查，这里的有效性包括但不限于隐私声明是否经过自检？是否具备数据流转审批记录？是否具备对供应商的尽职调查记录？数据主体的请求是否得到处理？　　处理阶段的任务是对本轮PDCA循环进行复盘总结，主要包括：“G”，依据合规检查的结果、风险度量的结果、绩效度量的结果，执行决策和问责；“R”，风险总结，残余风险继续转入下一轮PDCA循环；“C”，合规总结，遗留的不合规问题继续转入下一轮PDCA循环。　　量身定制构建隐私保护能力成熟度模型　　能力成熟度模型是一种很好的工具，一方面，基于成熟度模型的评估结果，不仅可以广泛用于评价现状、展示差距，将不同业务的成熟度进行对比，还可以达到驱动业务改进的效果。两种不同时间的评估结果，还能体现出改进的效果。另一方面，在申请资源时，可以有更强的说服力。　　能力成熟度标准通常分为五级，其中，三级要求充分定义活动过程及文档化，可视为及格线；四级要求可度量、可量化，可视为80分标准；五级要求基于度量的量化反馈和持续改进。隐私保护领域同样具备能力成熟度评价机制，比如PMM（Privacy Maturity Model，隐私成熟度模型）是基于GApp（公认隐私准则）和CMM（能力成熟度模型）而发展出来的模型，可用于评价高校隐私保护体系的当前水平。PMM的评价体系主要由管理、隐私通知、选择同意、数据收集、留存/销毁、数据访问、数据披露、设计安全、数据质量、监控/执行这10项隐私原则组成。　　PMM指标体系看起来只有10项指标，但这10项指标中每一个指标又做了细粒度分解，10项指标共73个子项，每个子项都有对应的5个级别的成熟度标准。虽然该模型可以用来检查高校整体隐私保护水平，但是笔者希望实现对高校主要业务和二级学院执行情况进行及时性的内部评价，若直接使用外部成熟度模型未免过于复杂。所以，笔者希望制定高校自己的隐私保护能力成熟度模型，以方便快速评估。　　笔者认为，可以基于高校内部隐私保护的现状，选取合适的指标，制定出内部的成熟度分级。但在具体选取哪些指标上，并没有强制或统一的要求。一般来说，高校需要纳入重点关注的领域，以及风险高的子领域，目的在于引导高校内部各业务部门和学院朝着关注的方向努力。按照这个原则，高校可以不追求完全覆盖全部子领域，先将当前隐私风险比较高的子领域作为指标，这些指标仅供参考：一是隐私声明，其透明性不足会引起用户投诉或监管机构大额处罚，可考察隐私声明的管理规定等；二是选择/同意，即师生对每一份隐私声明的每一个版本的主动勾选与同意记录；三是数据流转，主要考察流转审核记录，如涉及师生的隐私数据流转出学校；四是隐私影响评估，在具备隐私影响评估操作指导的前提下，考察执行的情况及记录。　　目前，高校数据安全与隐私保护治理还处于起步阶段，综合运用GRC风险治理方法论和PDCA循环，可以让高校从传统的安全领域切入数据安全与隐私保护这一领域，并逐步建立起数据安全与隐私保护的第一道防线（业务自身的隐私合规）和第二道防线（高校整体的数据安全与隐私风险管理体系）。后续还需要继续深入业务实际，通过实践去验证，不断加深理解，最终形成适合高校自身的经验方法论。　　来源：《中国教育网络》2023年12月刊　　作者：赵鑫（东北财经大学网络信息管理中心）　　责编：陈永杰 网址:www.tianqi114.cc