山東大學(xué)信息化工作辦公室常務(wù)副主任葛連升表示，安全問題事關(guān)每個人，這一認識不到位，高校網(wǎng)絡(luò)安全包括數(shù)據(jù)安全工作的推進就比較困難。他認為高校數(shù)據(jù)安全具有其特殊性：

第一，從數(shù)據(jù)本身的角度來看，現(xiàn)在一切都在數(shù)據(jù)化，可以說，數(shù)據(jù)無處不在，海量的數(shù)據(jù)給安全管理帶來了挑戰(zhàn)。

第二，從高校的特點看，高校管理的鏈條比較長，管理具有松散特點，數(shù)據(jù)也是相對分散的。而且在大部分高校，數(shù)據(jù)集中工作的完成度都不高，導(dǎo)致其數(shù)據(jù)管理成本較高。

在這樣的背景下，當(dāng)高校師生自身數(shù)據(jù)安全的意識和素養(yǎng)比較弱時，安全防護就失去了主動性。因此，雖然當(dāng)前《數(shù)據(jù)安全法（草案）》已公布，但從高校來看，制度、技術(shù)等方面都不夠完善，這是客觀存在的挑戰(zhàn)。

中國教育和科研計算機網(wǎng)應(yīng)急響應(yīng)組鄭先偉認為，教育行業(yè)還沒有相關(guān)指導(dǎo)文件，缺乏統(tǒng)一、明確的分級分類標(biāo)準(zhǔn)。對于哪些數(shù)據(jù)信息屬于隱私，不同的高校可能有不同的解讀。

例如師生員工的個人身份信息屬于隱私已經(jīng)很明確了，但學(xué)生的成績、在校的行動軌跡等數(shù)據(jù)是否涉及隱私其實還存在模糊地帶。要解決這個問題，就要明確隱私數(shù)據(jù)的定義，把握數(shù)據(jù)使用和隱私保護的平衡。

電子科技大學(xué)信息中心主任侯孟書表示，高校隱私信息的內(nèi)涵可分為面向機構(gòu)的學(xué)校敏感信息和面向個人的師生敏感信息。

學(xué)校敏感信息包括重大決策信息、財務(wù)信息、招生信息、資產(chǎn)信息等。師生敏感信息包括身份信息（身份證號碼、學(xué)號、職工號等）、生物識別信息（指紋、人臉等）、健康生理信息（疾病情況）及上網(wǎng)信息、一卡通信息、位置信息等。

復(fù)旦大學(xué)信息化辦公室主任王新則認為隱私信息主要有三種：

• 一是能夠用來對用戶進行身份識別的基本信息，包含姓名、身份證、照片、指紋、人臉特征等；

• 二是用戶敏感信息，包含健康狀況、財務(wù)信息、定位信息、信息化應(yīng)用訪問情況如一卡通消費記錄、網(wǎng)站訪問詳情等；

• 三是學(xué)校的核心信息如重要公文、重要科研成果等。

兩位主任的觀點大同小異，但反映了一個迫切需要解決的問題，即教育數(shù)據(jù)缺少分級分類統(tǒng)一標(biāo)準(zhǔn)。

深圳大學(xué)信息中心副主任江魁表示，數(shù)據(jù)分級保護與分類保護兩者相輔相成，數(shù)據(jù)分類把具有共同屬性的數(shù)據(jù)歸并在一起，數(shù)據(jù)分級根據(jù)數(shù)據(jù)所具有的后果性標(biāo)準(zhǔn)構(gòu)建技術(shù)保護體系，最后通過數(shù)據(jù)類別將其納入對應(yīng)的數(shù)據(jù)分級體系。

在這方面，相關(guān)人士表示，雖然教育部2018年出臺的《教育部機關(guān)及直屬事業(yè)單位教育數(shù)據(jù)管理辦法》中，已對一些數(shù)據(jù)安全相關(guān)標(biāo)準(zhǔn)進行了規(guī)定，但各高校期待教育管理部門盡快出臺更詳細、統(tǒng)一的標(biāo)準(zhǔn)文件，規(guī)范教育數(shù)據(jù)安全分級分類程序，提升高校數(shù)據(jù)安全分級分類的可實施性和可操作性，為各高校數(shù)據(jù)安全管理工作提供指導(dǎo)。

鄭先偉也指出，和所有法律法規(guī)的出臺一樣，這些政策和指導(dǎo)意見必須是廣泛征求各個個體的意見之后才會形成標(biāo)準(zhǔn)。這就要求個別學(xué)校先試先行，從而形成參考意見。因此，高校數(shù)據(jù)分級分類工作可能也遵循螺旋式上升的發(fā)展軌跡。

盡管國內(nèi)高校在數(shù)據(jù)安全防護工作上取得了一定的成績，但整體形勢依然嚴(yán)峻，還有很多風(fēng)險和隱患需要解決。

首先，要充分利用此次《數(shù)據(jù)安全法（草案）》、《個人信息保護法（草案）》出臺的機遇，在學(xué)校進行大力的宣傳并積極與領(lǐng)導(dǎo)層面溝通交流，積極爭取資源，將數(shù)據(jù)安全作為下一步信息化工作重點予以高度關(guān)注。并通過多種數(shù)據(jù)安全相關(guān)溝通、宣傳渠道，以及定期自查和培訓(xùn)機制，切實提升學(xué)校管理者和用戶的數(shù)據(jù)安全意識和素養(yǎng)。

其次，在引起足夠重視的基礎(chǔ)上，對整個網(wǎng)絡(luò)安全和信息化體系，甚至在整個智慧校園的框架結(jié)構(gòu)中進行頂層設(shè)計，形成包括管理、制度、技術(shù)，以及應(yīng)急處置、教育培訓(xùn)、考核等各方面的保護體系。完成數(shù)據(jù)發(fā)現(xiàn)與分級分類，從內(nèi)部安全管控、外部威脅防御、流動數(shù)據(jù)守護、數(shù)據(jù)庫安全運維等各個維度做好數(shù)據(jù)安全保護工作。

例如復(fù)旦大學(xué)信息辦成立了安全中心及預(yù)研與數(shù)據(jù)服務(wù)中心，梳理制定數(shù)據(jù)安全相關(guān)規(guī)章制度和標(biāo)準(zhǔn)等，并進行數(shù)據(jù)安全日常的管理工作。

海南師范大學(xué)黨委委員沈富可表示，數(shù)據(jù)安全隊伍除了必要的信息化技術(shù)人才之外，還需要一定數(shù)量的教育、傳媒等相關(guān)學(xué)科背景人員，能夠?qū)⒓夹g(shù)問題解釋清楚并推廣普及。

如何通過技術(shù)、系統(tǒng)實現(xiàn)安全策略非常重要，例如通過技術(shù)實現(xiàn)數(shù)據(jù)層和應(yīng)用層的解耦，避免原始數(shù)據(jù)直接被推出使用。

在這方面，華南理工大學(xué)通過建立數(shù)據(jù)中臺，對校園各專業(yè)系統(tǒng)和業(yè)務(wù)系統(tǒng)數(shù)據(jù)進行融合，形成主題庫。海南師范大學(xué)的信息化團隊也搭建了包括基礎(chǔ)數(shù)據(jù)在內(nèi)的信息化基礎(chǔ)底座。

兩所學(xué)校均完成了對數(shù)據(jù)的封裝，并以API方式提供使用。在保證職能部門、社會力量等第三方合作伙伴可以在有限范圍內(nèi)授權(quán)使用特定數(shù)據(jù)的同時，又降低了數(shù)據(jù)泄露風(fēng)險。

最后，還應(yīng)重視提升面向新技術(shù)的數(shù)據(jù)安全防護能力。面對云計算、大數(shù)據(jù)分析、5G等新技術(shù)所帶來的挑戰(zhàn)，應(yīng)針對性加強安全管理來確保其合規(guī)使用和健康發(fā)展。

例如，采取數(shù)據(jù)備份、數(shù)據(jù)加密、數(shù)據(jù)脫敏和細粒度訪問控制等措施，加強數(shù)據(jù)安全和隱私保護能力。并深化數(shù)據(jù)安全技術(shù)平臺建設(shè)，利用大數(shù)據(jù)分析和AI技術(shù)，智能預(yù)測和發(fā)現(xiàn)潛在的數(shù)據(jù)安全問題和風(fēng)險，防患于未然，變被動防御為主動出擊。

當(dāng)然，將安全問題從法律條文具體落實到各個單位，建立起覆蓋數(shù)據(jù)全生命周期的安全體系，還需要相當(dāng)長的時間。對廣大高校來說，數(shù)據(jù)安全的防護與探索任重道遠，且可能永遠在路上。