淺議個人信息在教學“全生命周期”數(shù)據(jù)治理中的風險防范

魏 娜 歐偉一

近年來，大數(shù)據(jù)、云計算等智能化技術手段在高職院校廣泛應用。2020年6月，教育部頒布《職業(yè)院校數(shù)字校園規(guī)范》提出職業(yè)院校要“構建一體化的校本人才培養(yǎng)工作狀態(tài)數(shù)據(jù)管理系統(tǒng)”；2020年9月，《職業(yè)教育提質(zhì)培優(yōu)行動計劃(2020—2023年)》提出實施職業(yè)教育治理能力提升行動；2020年10月，國務院印發(fā)《深化新時代教育評價改革總體方案》中要求“充分利用信息技術”開展教學評價，一系列的措施都體現(xiàn)了國家支持高職院校開展數(shù)據(jù)治理。

筆者所在的福州職業(yè)技術學院全面貫徹國家政策，通過對師生個人數(shù)據(jù)采集、挖掘、分析，對專業(yè)設置、課程體系、人才培養(yǎng)方案進行統(tǒng)籌規(guī)劃，對教學標準、課程標準、實踐教學進行數(shù)字化管理，繼而達到教學診斷與改進的目的，構建教學“全生命周期”數(shù)據(jù)治理內(nèi)部質(zhì)量保證體系。

一、個人信息在教學“全生命周期”數(shù)據(jù)治理中的應用

福州職業(yè)技術學院把人才培養(yǎng)作為學校建設的首要任務，著力構建“生源質(zhì)量分析”“培養(yǎng)過程監(jiān)測”“培養(yǎng)結(jié)果診斷”的三位一體人才培養(yǎng)質(zhì)量評價框架，以學生學習成果為導向OBE教育理念，以“措施制度+數(shù)據(jù)舉證+師生行為+成效結(jié)果”的評價方式，通過公共數(shù)據(jù)比對、重復數(shù)據(jù)篩查等方式，對大規(guī)模、可核實、全程覆蓋的師生教學行為數(shù)據(jù)進行評測，從學生入學開始即采用信息化手段進行數(shù)據(jù)收集，在培養(yǎng)過程中注重對學生學習行為進行分析，通過授課軟件、教學管理平臺等信息化手段， “以學生為中心、成果導向(OBE)、持續(xù)改進”的核心理念貫穿始終，構建了課堂教學閉環(huán)、課程閉環(huán)、培養(yǎng)期間閉環(huán)、離校發(fā)展閉環(huán)四層次監(jiān)督反饋閉環(huán)，形成了教學準入、學生評教、領導聽課、教學督導、院系評價、同行評價、自我診斷與改進七大常態(tài)化評價機制。

在此過程中學校、教師、學生等諸多信息通過招生管理平臺、教學管理平臺、師資管理平臺、實訓管理平臺、授課軟件等各類平臺間共享，進行數(shù)據(jù)清洗，加工、運用大數(shù)據(jù)、云計算等信息化手段進行分析，從而將教育成果以數(shù)字化的方式呈現(xiàn)。

二、個人信息在教學“全生命周期”數(shù)據(jù)治理中的風險

教學“全生命周期”數(shù)據(jù)治理作為省級課題立項研究，前后歷經(jīng)5年左右的時間，在課題實踐過程中，師生個人信息數(shù)據(jù)不僅包含了法律上的人格屬性與隱私屬性，而且具有法律上的財產(chǎn)屬性及市場競爭屬性，一旦進入市場，可以進行數(shù)據(jù)交易，甚至是精準營銷、大數(shù)據(jù)殺熟。因此，無論是教學管理部門還是第三方評價機構，一旦擁有個人信息，或多或少地存在泄露個人信息的可能性。

在課題實踐過程中，曾對學生進行問卷調(diào)查，共發(fā)布330份問卷，回收111份，答題率33.63%，發(fā)現(xiàn)49%的學生曾經(jīng)歷了各種不同類型的個人數(shù)據(jù)信息泄露，遇到了如下個人信息被侵犯之風險：

(一)違規(guī)收集個人信息

課題研究過程中，曾經(jīng)遇到師生遭遇短信欺詐的案例。在開展信息化教學評價開始不久，接到學生投訴，收到短信，要求其到某網(wǎng)站開展教學評價，經(jīng)學校查實，該網(wǎng)站并未經(jīng)過學校授權，有違規(guī)收集學生個人信息之嫌。

(二)過度挖掘個人信息

學校在數(shù)據(jù)治理中采集數(shù)據(jù)不可避免，但是采集的范圍卻可以控制。有些學校在采集學生信息的同時收集學生家長的信息并進行歸類，引發(fā)了爭議。在《中華人民共和國個人信息保護法》頒布以前，針對App非法獲取、超范圍收集、過度索權等侵害個人信息的現(xiàn)象，國家互聯(lián)網(wǎng)信息辦公室從2020年開始依法對公眾大量使用的部分App的個人信息收集使用情況進行檢測，每隔一段時間就會通報一批違法違規(guī)收集個人信息的App。

(三)顯名共享個人信息

未經(jīng)法律授權或者本人同意的情況下，數(shù)據(jù)治理過程中所產(chǎn)生的個人信息提供給其他機構。2018 年 9月，江蘇某學院出現(xiàn)2600名學生個人信息被泄露。由于個人信息在大數(shù)據(jù)時代背景下已被賦予隱私和財產(chǎn)等法律屬性，因此，兜售個人信息形成了一個新興的犯罪產(chǎn)業(yè)。

三、個人信息在教學“全生命周期”數(shù)據(jù)治理中法律保護的現(xiàn)狀

(一)教學“全生命周期”數(shù)據(jù)治理中個人信息的法律依據(jù)

我國重視個人信息的保護，隨著法治的發(fā)展，法律對個人信息保護不斷完善，自2020年頒布的《民法典》開始，近年來，我國已經(jīng)頒布實施各類法律法規(guī)對個人信息的權利義務進行保護：1.2020年，《中華人民共和國民法典》第六章對個人信息進行專章保護，對處理個人信息的原則、追責方式、保密方法等各方面進行規(guī)制[1]；2.2021年，《中華人民共和國個人信息保護法》為了合理挖掘和使用個人信息的數(shù)據(jù)價值，從管理者、使用者的義務出發(fā)，規(guī)制數(shù)據(jù)處理的活動過程[2]；3.2016年，《中華人民共和國網(wǎng)絡安全法》從維護網(wǎng)絡和國家的安全層面，維護網(wǎng)絡國家、社會、個人法益[3]；4.2021年，《數(shù)據(jù)安全法》從數(shù)據(jù)采集、挖掘等活動入手規(guī)范，調(diào)整和保障個人、社會組織等權益[4]；5. 2019年，教育部等八部門聯(lián)合印發(fā)了《關于引導規(guī)范教育移動互聯(lián)網(wǎng)應用有序健康發(fā)展的意見》……國家從法律和規(guī)章制度等各層面，制定不同行業(yè)規(guī)范開展對個人信息的保護。

(二)教學“全生命周期”數(shù)據(jù)治理中利用個人信息法律規(guī)制存在的不足

盡管如此，在數(shù)據(jù)治理背景下，學校引入行業(yè)、企業(yè)進行數(shù)據(jù)分析，乃至教學“全生命周期”數(shù)據(jù)治理，依然有法律規(guī)范的缺失；強調(diào)個人信息處理結(jié)果保護，忽視信息處理過程的風險；側(cè)重對責任主體的處罰，忽視對信息主體權益的救濟。究其原因主要存在如下幾方面：

1.數(shù)據(jù)自主決定權利的有限性

數(shù)據(jù)自主決定權利是指數(shù)據(jù)信息的主題對自身數(shù)據(jù)等信息處理、刪除等可以支配的權利。由于權利主體掌握信息技術的不對等性，個人信息自決權在一定程度上受到限制[5]，特別是高校學生作為被管理者，無法了解自己的信息在哪些地方被哪些部門或者是第三方所使用，更無法主張對個人信息進行支配的權利。

2.人格權的數(shù)字化趨勢

在大數(shù)據(jù)云計算時代，通過不同層面的數(shù)據(jù)信息，可以刻畫出信息主體的人格屬性特征，如隱私權、姓名權等，但這類人格權并非傳統(tǒng)民法含義中的“人格權”，原本在傳統(tǒng)法律上，人格權具更多提出對世義務主體的不作為，而不是其作為的法律后果,數(shù)字化人格權卻需要義務主體積極地進行保護權利主體的法益。例如如何在保護權利主體隱私不受侵犯的基礎上，實現(xiàn)公眾數(shù)據(jù)和產(chǎn)業(yè)數(shù)據(jù)的價值共創(chuàng)，最大程度地釋放數(shù)據(jù)紅利，是數(shù)據(jù)治理風險防范的瓶頸。

3.告知同意機制有限性

在實踐中，多數(shù)平臺在采集數(shù)據(jù)時，采用了“告知——同意”機制，獲得數(shù)據(jù)所有權人的許可使用個人信息數(shù)據(jù)，且“告知——同意”機制有使用便捷等優(yōu)勢，但也面臨隱私政策冗長、晦澀，信息所有權人與平臺之間信息不對等，存在信息二次利用卻未獲得信息所有權人的“告知——同意”授權等困境。

綜上，現(xiàn)有的法律制度尚不能全面規(guī)范數(shù)據(jù)治理行為，且會因此而導致數(shù)據(jù)紅利的挖掘，局限了數(shù)據(jù)治理向縱深發(fā)展，而管理上存在的缺陷，管理者也不應置之不理，乃是要在數(shù)據(jù)治理的公權力和私權利的博弈中取得平衡，來合理開發(fā)利用數(shù)據(jù)。

四、《個人信息保護法》視域下的保護方法

通過分析，可以看到風險防范的問題集中于如何將防范意識融入個人信息的收集清洗、挖掘、分析的過程[6]，增強各個接觸數(shù)據(jù)的部門或者是企業(yè)的風險防范意識，對教學“全生命周期”數(shù)據(jù)治理的各個環(huán)節(jié)進行規(guī)制，防止數(shù)據(jù)泄露等風險。

(一)合法規(guī)制公權力

1.明確采集目的

《個人信息保護法》第六條明確規(guī)定“處理個人信息應當具有明確、合理的目的，”因此在教學全生命周期數(shù)據(jù)治理實施數(shù)據(jù)采集之前，應當明確個人信息采集的目的，必須符合法律法規(guī)的要求，即要求數(shù)據(jù)采集行為應當與處理目的直接相關，采取對個人權益影響最小的方式。也就是說在特定場景下的運用應當具有正當?shù)哪康男?，并在許可第三方使用的過程中也要將此原則始終如一地貫徹。

2. 數(shù)據(jù)采集標準化

在數(shù)據(jù)治理過程中，應當在各部門各層級間建立規(guī)范的數(shù)據(jù)采集標準，這樣有利于個人信息數(shù)據(jù)在不同的部門或者是不同的系統(tǒng)間可以直接引用，從而達到“數(shù)盡其用”的目標。例如，在生源分析系統(tǒng)里已經(jīng)有學生的個人信息，那么在對在校生數(shù)據(jù)采集時可以延用這些數(shù)據(jù)，沒有必要在錄取前后各采集一次信息，招生系統(tǒng)采集一次，在校生系統(tǒng)采集一次，既浪費了人力與物力，又容易引起個人信息的泄露，實乃弊大于利。

因此，建議對個人信息的關鍵字段加以統(tǒng)一，明確采集標準與規(guī)范，如美國的肯塔基州在學校數(shù)據(jù)信息方面就建立了行業(yè)標準[7]，采用字段的形式對個人信息加密處理，不同字段代表含義不同，所有學校在建立字段時都必須符合統(tǒng)一化的標準，對于無論是學校還是教育管理部門后期的數(shù)據(jù)處理，消除數(shù)據(jù)壁壘有很大的幫助，有利于個人信息數(shù)據(jù)在“全生命周期”數(shù)據(jù)治理過程中發(fā)揮最大效用。

標準的建立至少應包含兩大塊內(nèi)容：技術標準和業(yè)務標準。其中，技術標準指在數(shù)據(jù)標準中定義數(shù)據(jù)技術規(guī)范，用于數(shù)據(jù)質(zhì)量核查等；業(yè)務標準指在數(shù)據(jù)標準中定義數(shù)據(jù)業(yè)務邏輯，明確數(shù)據(jù)采集的內(nèi)涵和外延，用于數(shù)據(jù)正確性判斷，保障數(shù)據(jù)質(zhì)量。此外，還應制定管理標準即定義數(shù)據(jù)管理單位的數(shù)據(jù)責任，質(zhì)量標準即制定可量化的指標并通過區(qū)塊鏈等技術進行智能合約管理，有效地支持數(shù)據(jù)質(zhì)量閉環(huán)管理。

3.挖掘數(shù)據(jù)價值

隨著數(shù)據(jù)治理與大數(shù)據(jù)技術結(jié)合的不斷拓展，由“物盡其用”延伸出的“數(shù)盡其用”，便成為支配教育管理部門數(shù)據(jù)治理的基本準則。建議采用數(shù)據(jù)智能，即大數(shù)據(jù)與人工智能的結(jié)合，在數(shù)據(jù)層面的智能化，數(shù)據(jù)驅(qū)動下的協(xié)同價值深層挖掘，在消除數(shù)據(jù)壁壘的基礎上力求不浪費數(shù)據(jù)的使用價值，不重復采集數(shù)據(jù)做到“數(shù)盡其用”。

以學生學習成效為中心做數(shù)字化轉(zhuǎn)型，建立場景、擴大連接并通過數(shù)據(jù)驅(qū)動實現(xiàn)生態(tài)協(xié)同及數(shù)據(jù)挖掘優(yōu)化，實現(xiàn)數(shù)據(jù)遷徙、交叉共享、數(shù)據(jù)創(chuàng)新的綜合性數(shù)據(jù)治理，通過數(shù)據(jù)在各個系統(tǒng)、場景的應用整合，進行數(shù)據(jù)交換、資源整合，各數(shù)據(jù)間、各系統(tǒng)間相互滲透、各應用場景相互支撐，支持各教學管理層面數(shù)據(jù)資產(chǎn)廣泛應用。

4．數(shù)據(jù)脫敏處理

在數(shù)據(jù)采集的初始階段，采用統(tǒng)一標準采集具有數(shù)字化人格特征的數(shù)據(jù)，并對其進行脫敏處理，隱藏屬于個人敏感數(shù)據(jù)信息[8]，例如生源地無需用文字表述而用一些數(shù)據(jù)字段來替代，進行生源地數(shù)據(jù)分析。

5.加強數(shù)據(jù)質(zhì)量管理

教育管理部門作為數(shù)據(jù)使用與管理者加強數(shù)據(jù)質(zhì)量管理。通過對數(shù)據(jù)的質(zhì)量開展專業(yè)評估、對評估結(jié)果進行量化分析、對數(shù)據(jù)質(zhì)量進行分析評價、進而對數(shù)據(jù)追責等進行規(guī)范，從而達到根據(jù)數(shù)據(jù)標準提高數(shù)據(jù)質(zhì)量，根據(jù)數(shù)據(jù)使用方的數(shù)據(jù)質(zhì)量評價情況進行獎勵，鼓勵其提供高質(zhì)量數(shù)據(jù)；同時要進行不同層面的數(shù)據(jù)質(zhì)量評價，甚至在數(shù)據(jù)分析交換過程中自動開展數(shù)據(jù)質(zhì)量評估管理，評估結(jié)果以量化方式展現(xiàn)，使各利益相對方對數(shù)據(jù)質(zhì)量評估結(jié)果一目了然；數(shù)據(jù)質(zhì)量報告，將質(zhì)量評估結(jié)果反饋給采集院校，自動發(fā)布數(shù)據(jù)質(zhì)量報告，評估結(jié)果將用于數(shù)據(jù)貢獻指數(shù)及數(shù)據(jù)質(zhì)量評價。此外，還需從數(shù)據(jù)規(guī)模、數(shù)據(jù)質(zhì)量、數(shù)據(jù)熱度等三個維度建立數(shù)據(jù)管理模型，對數(shù)據(jù)貢獻指數(shù)進行評價，實現(xiàn)數(shù)據(jù)治理交換共享的量化評價。

(二)充分保護私權利

1.完善內(nèi)部管理制度，數(shù)據(jù)采集透明化

學校作為數(shù)據(jù)的控制者要重視數(shù)據(jù)風險防范，可以看到，個人信息雖然具有數(shù)字化人格特征，在一定程度上具有人格性，但其實際并非為個人所控制，信息主體缺乏自決權，無法處分自己的數(shù)據(jù)。

透明化是指數(shù)據(jù)控制者應當以簡明扼要的方式，明確告訴被采集數(shù)據(jù)的相對方，數(shù)據(jù)采集的目的等，并將個人數(shù)據(jù)信息的狀態(tài)，如當前狀態(tài)和歷史情形，都提供給采集相對方，甚至是數(shù)據(jù)是否被提供給數(shù)據(jù)使用者以外的第三方。當數(shù)據(jù)使用的期限已過時，應當允許數(shù)據(jù)所有人刪除信息或者對錯誤的信息進行更正。例如，學生畢業(yè)了，應該允許其刪除在校期間的個人數(shù)據(jù)信息，或者是變更其學籍狀態(tài)。個人信息由于其特有的人格屬性，在制度保障上理應體現(xiàn)出個人信息的主體自決權能，即承認個人信息的“有價性”“可處分性”等個人信息的私權屬性[9]，并體現(xiàn)其五方面的權利：知情權、查閱權、更正權、變更權、封存權。

2. 加強數(shù)據(jù)質(zhì)量監(jiān)控，信息主體對數(shù)據(jù)可控

根據(jù)《中華人民共和國個人信息保護法》第四章的規(guī)定，個人對其個人信息的處理享有知情權等權利。對于不準確的數(shù)據(jù)信息，可以要求數(shù)據(jù)使用者刪除、變更或者進行補充?？梢钥闯?，這一原則不僅會運用在對個人信息采集的過程中，還會運用于個人信息的儲存和應用等流程。

因此，要保證個人數(shù)據(jù)信息的自主可控，學校層面應通過安全、可靠、防篡改的技術體系提高數(shù)據(jù)質(zhì)量，通過存證確權、產(chǎn)權溯源保障數(shù)據(jù)權利，通過隱私計算保障數(shù)據(jù)共享，通過透明監(jiān)管的機制保障數(shù)據(jù)流動。

3.增強個人法律意識，開展事后法律救濟

在信息化評價的實踐中，筆者發(fā)現(xiàn)不少學生用戶甚至是教師用戶對于個人數(shù)據(jù)信息的保護并不重視，隨意向他人透露密碼。由此可以看到，無論學生還是老師，實際上他們并未真正地認識到其個人數(shù)據(jù)信息的價值所在。因此，筆者建議職業(yè)院校應該定期組織開展網(wǎng)絡安全法制講座活動，在活動中向師生普及個人數(shù)據(jù)信息的概念及其覆蓋范圍，加強其對個人數(shù)據(jù)信息的重視程度，強化其法律保護意識。此外，還可在校園活動中以學生個人數(shù)據(jù)信息被侵犯的相關案例為媒介和途徑，引起學生對個人數(shù)據(jù)信息保護的重視，幫助學生建立數(shù)據(jù)信息被侵犯的危機意識。

五、結(jié)語

綜上所述，數(shù)據(jù)治理是職業(yè)院校內(nèi)部質(zhì)量管理之趨勢，運用大數(shù)據(jù)信息化手段對師生的教學行為、學習行為進行分析，亟待進一步完善現(xiàn)行法規(guī)及管理制度，保護個人數(shù)據(jù)信息；相關數(shù)據(jù)的使用部門，如教育行政管理機構、學校等，需要進一步發(fā)揮監(jiān)督使用和數(shù)據(jù)管理職責，完善數(shù)據(jù)采集標準、質(zhì)量標準以及數(shù)據(jù)運用規(guī)范等，強化規(guī)制個人數(shù)據(jù)信息合法使用；職業(yè)院校則需制定校內(nèi)規(guī)章，明確采集、使用、管理職能，并強化個人信息保護意識，以期全方位多層次合理地使用合法手段保護個人信息。