近日，据网络消息，墨尔本一所知名大学出现信息泄露事件，该校5200名员工、100名学生和200名校外人员的个人信息被公开在互联网论坛上。

此前，澳洲大学也出现过严重的信息泄露。比如，2020年疫情原因，澳洲大学把考试改为线上，使用ProctorU来监督在线考试，ProctorU允许监考员在学生在线考试时通过电脑摄像头监督学生等。但之后该系统遭黑客攻击，澳洲多所大学纷纷中招，造成数十万用户数据被泄露。

近年来，世界各国的大学信息泄露事件时有发生，这让很多人会关注到学生隐私的信息安全保护问题，有人认为在获取学生信息的时候就应该注意尺度和安全性，也有人想了解发生信息泄露之后学校的最佳做法。

信息获取，注意平衡和尺度

随着科技的发展，大数据、物联网等新技术的发展，高校的教育教学、校园生活等正逐渐和现代信息技术融合。获取学生个人信息能更广泛、更深层次地帮助学校提升教学及管理效率，但这也存在一定的隐私安全问题。

那么，学校怎样才能在获取学生个人信息和保护学生隐私之间找到平衡值得思考？对此，致力于维护信息及隐私安全的组织“连接安全”（Connect Safely）为大学提供了如下参考建议。

第一，大学要谨慎使用技术工具来获取学生信息。当学校或地区决定采用某类技术工具前，需对其进行全面评估，以确保这些技术工具符合数据隐私的要求。目前，一些可以被学生普遍接受的技术工具类型包括：

1. 工作流程及协作工具。学生和教师在学习过程中进行交流，教师可为学生提供反馈。

2. 学习进程管理系统。教师可以在线发布学习进程的公告，并提供链接，供学生和家长查看。

3. 在线查询成绩系统。教师可以在线发布成绩，学生和家长可以使用用户名和密码进行访问。

4. 电子邮件或实时通讯的交流工具。

第二，学校要对学生的个人信息进行严格管理。首先，学校要对获取学生信息的工作人员进行严格管理，而不是由班干部收集，几经他手，让学生的隐私信息在繁杂的流程中泄露。同时，学校还可以针对不同类型的管理人员差异化设置学生个人信息的查看权限。譬如学生的姓名、父母或监护人姓名、出生日期、各科成绩、健康状况等基本信息由学校征集后，可以让特定范围的管理人员查看。而一些更高度敏感的学生个人信息，例如身份证号、银行卡号等，更应严密保护，且不应在学校内部及网络上公示。

第三，教师和管理人员在传播学生个人信息的时候，要时刻具有隐私保护意识。例如，尽量不要将学生的个人身份信息放入群发电子邮件中；避免囤积或过度共享学生个人信息；在创建讲义和演示文稿时，要对学生的个人信息进行模糊化处理等。

第四，对学生的掌控应该在合理范围内，确保学生的隐私不被侵犯。国外有国家的监测系统明确了校内可以监测学生的范围：金钱交易的场所（咖啡厅、餐厅等）、公共场所的出入口、楼梯间、停车场及事故频发地段。而不可监测的场所包括：洗手间、更衣间、学生宿舍等私密场所。

在当今大数据环境下，个人信息的保护与隐私泄露问题凸显。高校在利用各种途径和工具获取学生个人信息数据的同时，需要把握一定的尺度，保障学生个人信息不被泄露。这不仅需要严格的数据处理及管理流程，更需要管理者用心地进行换位思考。数据可以提升高校的管理效率，而以适当的方式采集、应用、存储数据，或许会让学生更乐于接受。

高校发生信息泄露事件该如何处理？

大学掌握着大量学生和教职工的个人信息，承担着多个国家级重要科研，高校自然成为信息安全“黑市”的香饽饽。如开头说的几个事件，我们也可以了解到信息泄露的严重性。因此，高校有一套操作性强的信息泄露紧急应对预案必不可少。凯斯西储大学曾在其官网上发布的《数据泄露应对程序》提供了一个极佳的范本。

一旦信息泄露事件发生，该大学会有四个主要部门参与泄露事件的处理：

除了这四大主要部门，其他部门和人员也同样重要，例如校长办公室、院长、学生事务副教务长等。凯斯西储大学将应对流程分为十步：

1.校内教职人员发现一处私有信息可能泄露。

2.迅速将这一可疑的泄露情况报告给隐私办公室。

3.隐私办公室与发现者联系，确认信息，尽快调查泄露事件。

4.若隐私办公室确认没有私有信息遭到泄露，会将这一决定记录下来，调查过程至此结束。

5.若隐私办公室确认有私有信息遭到泄露，会与遭受影响的办公室或部门一起合力控制住数据泄露的局面。之后，隐私办公室会对泄露事件的范围和影响程度进行评估，其他部门此时也有可能加入进来。例如，如果泄露的信息是电子信息，信息技术安全服务部门会参与事件的处理。

6.控制住数据泄露的局面后，隐私办公室会与法律顾问办公室交换意见，确定泄露的信息是否明确受法律保护，并找出法律条文里相关的责任认定条例。之后，隐私办公室和法律顾问办公室会互相协作，确定所有会对学校的回应产生影响的法律条例。

7.隐私办公室按照相关的法律规定，拟定正式的通知信并发送给受泄露事件影响的每个人。

8.除了发布通知，隐私办公室还会寻找其他的补救措施以减轻数据泄露带来的影响，同时还会确认是否有其他制度流程上的缺陷必须处理。若缺陷存在，隐私办公室会与受影响的人一起努力，保证学校的工作流程得到改进，避免未来有类似的泄露情况再次发生。

9.隐私办公室拟定数据泄露事件报告，数据泄露事件的处理过程至此结束，关于泄露事件的内部记录会被视为学校的机密文件被保存。考虑到泄露事件当事人和学校领导层的意见，隐私办公室会自行决定是否公开数据泄露事件报告。根据收集到的可用信息，数据泄露报告应当包括以下所有的内容：

◆ 数据泄露被发现的具体时间。

◆ 数据泄露的物理位置、系统和涉及的学校服务。

◆ 负责该系统或服务的部门或办公室。

◆ 被盗数据的类型和范围。

◆ 简要概述导致数据泄露的安全隐患。

◆ 泄露事件对个人、校内操作和学校资源的潜在影响。

◆ 学校应对泄露事件的总结。

10.隐私办公室将每份事件报告收集汇总，可以将报告用于向相应的政府机构履行法律报告义务。此外，大学办公室在遵守隐私相关法律的前提下，持续记录事件过程。

本期责编 | 麦可思 王捷

往期推荐

01.学生、同系教师和专家都参与了教评，但这所大学还让教师自己准备这个

02.我们统计了近700所高校2020“双万计划”入选情况！发现这所大学获批数量最多

03.大数据披露：艺术生毕业更愿意当老板

声明：欢迎转载和分享，转载请注明来自“麦可思研究”。获取白名单或建立长期合作请联系编辑部（电话或微信搜索18602824882）。

 ☞

---致麦粉：

微信公众号平台近期改变了推送规则，不再按发布时间排序推荐。想要不错过每日推送，可以把【麦可思研究】设为星标。

阅读之后点赞或在看，将获得更多您感兴趣的内容。