经过近几年的持续推进,在校务数据治理实践中,北京大学成立了校务数据管理工作小组及其办公室(数据办),构建了校务数据共享平台,出台了《北京大学校务信息数据管理办法(试行)》(以下简称《办法》),实现了数据治理工作的整体统筹推进。
近期,为推进校务信息数据的共享应用及分级分类管理,规范数据申请审批流程,确保数据使用高效、合规、安全,依据《办法》,网信办(数据办)牵头制定了《校务信息数据共享审批管理规定》(以下简称《规定》)。《规定》的出台,是对《办法》要义的贯彻落实,体现了数据平台共享试用的经验总结,有一个长期酝酿、集体审议修订的过程,经过4月21日网信工作小组暨数据工作小组全体会议审议原则通过并再次修订后,5月16日,学校审批同意《规定》发布试行。
《规定》的发布试行,是北大立足本位,探索形成跨部门数据协同管理的尝试,网信办(数据办)诚挚欢迎校内外专家和用户朋友惠赐宝贵意见建议(可发送至gwxb@pku.edu.cn)。
《规定》要点与特色
1、落实责任机制,进一步明确校内专门管理机构
根据《关于成立北京大学校务信息数据管理工作小组的通知》(校发〔2020〕126号),北京大学校务信息数据管理工作小组下设办公室(简称“数据办”),日常管理机构设在网络安全和信息化委员会办公室(简称“网信办”),网信办代行数据办职能。
2、优化治理结构,明确数据分级分类管理及使用
根据校级制度关于数据范畴的分类,在结合管理实践的整体情况,完善数据的用途类别;明确因数据安全情况及等级的不同,参照上级专业部门的分类标准,结合学校管理运行实际,将数据分为一般级、敏感级、重要级。
3、回应广泛期待,明确数据共享的申请条件和方式
《共享审批规定》明确全校各单位及相关人员,经所在二级单位(实体)主要领导审核同意或授权批准,均可提出使用确定范围的校务信息数据的申请,并且申请方式由学校主动提供。申请条件和申请方式的主动开放将极大促进校内各单位进行广泛的数据共享工作。
4、加强规范管理,明确逐级审批与分级分类征求意见
根据学校工作长期以来关于数据共享不同做法取长补短,对共享管理中的协议方式、备案机制、征求意见、技术审核、管理审批进行具体规范,提出初审一般不超过3个工作日,要求各单位未经正式审批不应开展新的数据共享实施活动,明确涉及敏感或等级较高的数据处理等特殊情况由网信办报请学校数据工作领导小组同意后进行审批。
5、优化闭环流程,完善技术实施与使用反馈具体做法
明确获得正式审批通过的申请由学校计算中心负责具体实施,实施方案应报网信办备案;申请人获得共享数据之后,应严格按照审批意见进行使用,保护个人信息,落实数据安全责任。所获数据使用后应及时删除,不应擅自留存或另作他用,以及申请人及所在单位应及时测评数据使用结果,并在实施完成后1个月以内向网信办反馈结果。
《规定》全文
北京大学校务信息数据共享
审批管理规定
为推进校务信息数据的共享应用及分级分类管理,规范数据申请审批流程,确保数据使用高效、合规、安全,依据《北京大学校务信息数据管理办法(试行)》制定本规定。
第一条 管理机构
根据《关于成立北京大学校务信息数据管理工作小组的通知》(校发〔2020〕126号),北京大学校务信息数据管理工作小组下设办公室(简称“数据办”),日常管理机构设在网络安全和信息化委员会办公室(简称“网信办”),网信办代行数据办职能。
第二条 分类使用
学校数据共享管理平台及相关校务信息系统提供各类管理信息数据,范围包括:人员身份、资产设备、教学科研、学术支撑、行政运行、服务保障等,可用于支持校园身份认证、基础数据预填、群体行为分析、个性化服务、特定信息推送等。申请人结合工作需要,按照最小必要原则确定数据申请范围。
校内跨领域数据查询(非应用开发)原则通过上述申请办理。在信息系统应用开发及联网使用过程中,共享数据的具体内容一般设置为可用不可见。
第三条 分级管理
数据的共享使用原则上要求在使用方、提供方、管理方及相关各方一致同意的基础上进行。因数据安全情况及等级的不同,参照上级专业部门的分类标准,结合学校管理运行实际,分为一般级、敏感级、重要级:
(1)一般级数据共享,申请人可与数据提供单位直接签订数据共享协议,并报网信办备案;
(2)敏感级数据共享,申请人在正式填报之前,应与相关各方充分沟通,并形成书面结果,在填报中附相应材料。网信办根据各方沟通情况协调形成一致意见;
(3)重要级数据共享,由网信办在审批过程中征求相关部门意见或者建议并召集多部门论证会,完成征求意见的工作。
第四条 申请条件
全校各单位及相关人员,经所在二级单位(实体)主要领导审核同意或授权批准,均可提出使用确定范围的校务信息数据的申请。申请人须知悉《北京大学校务信息数据管理办法(试行)》各项要求,拥有必要的数据安全意识和适当的数据管理能力,配合审批流程,遵守管理规定。
第五条 申请方式
学校提供线上和线下两种申请方式,申请人应优先采用线上方式提出申请,并在正式提交申请之前通过电话或电子邮件等方式咨询网信办及时获得填报支持,联系方式详见网信办网站(ocac.pku.edu.cn)。
第六条 技术初审
技术初审环节由计算中心相关科室承担,一般不超过3个工作日。在技术初审阶段,计算中心分析申请人所需数据的存储及应用情况,在形成技术可行结论后方可进入后续流程,否则流程结束。
第七条 行政初审
行政初审环节由网信办相关科室承担,一般不超过3个工作日。在行政初审阶段,申请人需向网信办提供数据共享必要性分析,明确数据安全使用方案,并形成拟同意或原则同意结论后方可进入后续流程,否则流程结束。
第八条 正式审批
正式审批环节由网信办(数据办)相关负责人承担。各单位未经正式审批不应开展新的数据共享实施活动;已开展未经审批的数据活动,应及时完成审批程序。涉及敏感或等级较高的数据处理等特殊情况,由网信办报请学校数据工作领导小组同意后进行审批。
第九条 具体实施
获得正式审批通过的申请,由计算中心负责具体实施。计算中心按照数据的类别及内容分配实施任务。实施环节申请人应配合计算中心制定实施方案和安全策略,明确实施时间与具体安排。实施方案应报网信办备案。
第十条 使用要求
申请人获得共享数据之后,应严格按照审批意见进行使用,保护个人信息,落实数据安全责任。所获数据使用后应及时删除,不应擅自留存或另作他用。周期性重复使用数据经过审批后一般不再重复申请,原则纳入学校数据平台共享数据进行统筹管理,按照专门的授权程序确定使用方式及授权期限。
第十一条 反馈环节
实施完成后,申请人及所在单位应及时测评数据使用结果,并在实施完成后1个月以内向网信办反馈结果。
第十二条 流程结束
申请人不能顺利提交填报、不能获得所在单位同意、技术初审不通过、行政初审不通过、正式审批不通过、无法按计划实施以及反馈完成等情况发生,均可出现流程结束。
第十三条 监督检查
使用单位及相关负责人应坚持审慎处理原则,落实数据安全和个人信息保护责任,配合学校开展数据共享管理及监督检查工作。网信办、计算中心及数据管理相关部门组成联合监督管理队伍,对数据共享应用开展常规监督、专项检查及年审工作。对于不按审批意见、违反实施方案、擅自处理数据、泄露个人信息等行为,取消相关责任人员再次申请权限,并视情行进一步追究责任。
第十四条 例外情形
校内单位依法或依职权向上级报送业务范围相关数据(非共享),不适用本规定。
因重大紧急等特殊原因,经学校数据工作领导小组组长批准,申请单位可直接联系推进具体实施,获取相关数据,并及时报网信办备案。
第十五条 其它
本规定自发布之日起实施,由网信办负责解释。
声明:本文来自未名赛博空间,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。