我國高校數(shù)字校園建設(shè)中大學(xué)生個人信息保護的路徑探索

摘 要 隨著數(shù)字校園建設(shè)的推廣和深化，大學(xué)生的個人信息安全問題日益突出。解決這一問題的關(guān)鍵在于制度保護，我國《個人信息保護法》中關(guān)于個人信息保護原則、信息主體權(quán)利，以及對個人信息安全管理方面的制度規(guī)范需具體化為保護大學(xué)生個人信息的各種要求。而這些具體要求的實現(xiàn)有賴于高校個人信息保護宣傳教育與個人信息處理公開的結(jié)合、個人信息保護規(guī)程和數(shù)字校園學(xué)生參與機制的確立，以及高校個人信息侵害救濟途徑和對第三方信息處理監(jiān)督途徑的暢通。

關(guān)鍵詞 數(shù)字校園；個人信息；大學(xué)生

中圖分類號：G647 文獻標(biāo)識碼：A DOI：10.16400/j.cnki.kjdk.2024.25.002

Discussion about College Students' Personal Information Protection in the

Construction of Digital Campus of Chinese Universities

CUI He

（School of Law， China Jiliang University， Hangzhou， Zhejiang 310018）

Abstract With the promotion and deepening of digital campus construction， the issue of personal information security for college students is becoming increasingly prominent. The key to solving this problem lies in institutional protection. The principles of personal information protection， the rights of information subjects， and the institutional norms for personal information security management in China's Personal Information Protection Law need to be concretized into various requirements for protecting the personal information of college students. The implementation of these specific requirements depends on the combination of personal information protection publicity and education in universities with the disclosure of personal information processing， the establishment of personal information protection regulations and digital campus student participation mechanisms， as well as the smooth channels for remedies for personal information infringement and supervision of third-party information processing in universities.

Keywords digital campus; personal information; college students

1 高校數(shù)字校園建設(shè)中大學(xué)生的個人信息安全問題

根據(jù)教育部《高等學(xué)校數(shù)字校園建設(shè)規(guī)范》，數(shù)字校園建設(shè)是指圍繞立德樹人根本任務(wù)，結(jié)合業(yè)務(wù)需求，充分利用信息技術(shù)實現(xiàn)高等學(xué)校在信息化條件下育人方式的創(chuàng)新性探索、網(wǎng)絡(luò)安全的體系化建設(shè)、信息資源的智能化聯(lián)通、校園環(huán)境的數(shù)字化改造、用戶信息素養(yǎng)的適應(yīng)性發(fā)展及核心業(yè)務(wù)的數(shù)字化轉(zhuǎn)型。其中信息資源的智能聯(lián)通包含了師生互動等智慧課堂的教學(xué)活動信息，排課、排考、成績等教學(xué)管理信息，招生、學(xué)籍、獎懲等學(xué)生管理信息，以及門禁、餐飲、消費等后勤保障信息。該規(guī)范自2021年3月出臺至今，我國高校數(shù)字校園建設(shè)已如火如荼地鋪開，各類學(xué)校牽頭研發(fā)或主導(dǎo)使用的智慧教學(xué)、智慧文體、智慧后勤、智慧安保及綜合校務(wù)服務(wù)App或智能設(shè)備已成為大學(xué)生的生活必需。

而在此期間，高校大學(xué)生個人信息泄露、不當(dāng)使用等問題日益突出，如某大學(xué)畢業(yè)生盜取全校學(xué)生個人信息制作顏值打分網(wǎng)站、某學(xué)院多名學(xué)生學(xué)信碼被盜用、多所高校單方實行“刷臉入?！薄八⒛樞@跑”“攝像頭監(jiān)控考勤”等。這些大學(xué)生個人信息安全問題的關(guān)鍵指向了個人信息保護制度。

2 高校數(shù)字校園建設(shè)中大學(xué)生個人信息保護的制度要求

《中華人民共和國個人信息保護法》（以下簡稱《個保法》）以個人信息商業(yè)應(yīng)用為主要規(guī)范內(nèi)容，其中雖補充了國家機關(guān)處理個人信息的特別規(guī)定，但僅占五條（第三十三至三十七條）篇幅，且這些條款僅是原則性規(guī)定。在此，有必要將我國個人信息保護相關(guān)法律規(guī)定與高校數(shù)字校園建設(shè)場景相結(jié)合，梳理出其對高校保護大學(xué)生個人信息的具體要求。

2.1 高校對大學(xué)生信息處理的法律原則

《中華人民共和國民法典》（以下簡稱《民法典》）第一千零三十五條規(guī)定：處理個人信息應(yīng)遵循合法、正當(dāng)、必要原則。《個保法》第五條又增加了誠信原則。具體到數(shù)字化校園建設(shè)，高校對大學(xué)生個人信息處理的全過程應(yīng)滿足如下要求[1]：其一，處理大學(xué)生個人信息的權(quán)限、依據(jù)和手段必須合法，或在法律授權(quán)范圍內(nèi)，或取得大學(xué)生本人同意；其二，處理大學(xué)生個人信息的目的和手段必須正當(dāng)而明確，不僅不能超過其明確的業(yè)務(wù)目的使用大學(xué)生個人信息，還應(yīng)盡量滿足透明的要求；其三，應(yīng)收集對于實現(xiàn)其正當(dāng)目的范圍內(nèi)最小夠用的個人信息，且采取對大學(xué)生權(quán)益影響最小的方式處理其個人信息，不得超出所告知的目的范圍處理大學(xué)生個人信息；其四，不得通過誤導(dǎo)、欺詐、脅迫或變相強迫等方式處理大學(xué)生個人信息（如要求大學(xué)生同意處理其與某項管理不相關(guān)的信息，否則視為違紀(jì)）。

此外，2020年發(fā)布的《信息安全技術(shù) 個人信息安全規(guī)范》還強調(diào)確保安全、主體參與等原則，要求高校具備與安全風(fēng)險相匹配的安全能力，并采取足夠的管理措施和技術(shù)手段，保證大學(xué)生個人信息的保密性、完整性、可用性；向大學(xué)生提供信息查詢、更正、刪除服務(wù)，以及撤回授權(quán)同意、注銷賬戶、投訴的方法。

2.2 高校對大學(xué)生信息主體權(quán)利的保護

《民法典》明確規(guī)定了信息主體的知情權(quán)、決定權(quán)、查閱權(quán)、復(fù)制權(quán)、更正權(quán)、補充權(quán)，《個保法》在細化這些權(quán)利的基礎(chǔ)上，對公共部門及其授權(quán)的組織處理個人信息做了特殊規(guī)定。而高校作為公共部門，在數(shù)字校園建設(shè)中需兼顧《個保法》對大學(xué)生個人信息主體權(quán)利保護的公法與私法要求。

第一，在知情、同意權(quán)方面：首先，除法律特殊規(guī)定外，高校應(yīng)以顯著方式、清晰易懂的語言真實、準(zhǔn)確、完整地告知大學(xué)生其個人信息的處理部門名稱及負責(zé)人聯(lián)系方式，其個人信息處理的目的、方式、種類及保存期限，其信息主體權(quán)利的行使方式、程序（高?？芍朴喯鄳?yīng)規(guī)則代替告知，但該規(guī)則須公開、便于查閱和保存）；其次，當(dāng)大學(xué)生對高校個人信息處理規(guī)則有異議時，高校應(yīng)予以解釋說明；再次，高校原則上應(yīng)在大學(xué)生充分知情的前提下，征得其自愿、明確同意后處理其個人信息，并且允許大學(xué)生有不同意或撤回同意的選擇（對于特定身份、健康狀況、行蹤軌跡等敏感信息還需獲取其單獨同意，即“一處理一告知一同意”）；最后，除因公共利益、緊急情況等，高校為履行法定職責(zé)或義務(wù)所必需，可不征得大學(xué)生同意而依法定權(quán)限、程序處理其個人信息，但仍需履行前述告知義務(wù)。第二，在查閱、復(fù)制、更正、補充權(quán)方面，高校應(yīng)為大學(xué)生提供便捷、及時、安全的個人信息查閱、復(fù)制路徑和更正、補充審核服務(wù)。第三，在刪除權(quán)方面，除非獲得大學(xué)生單獨同意，否則高校應(yīng)在大學(xué)生離校后刪除其必要存檔信息以外的其他不公開信息；即便大學(xué)生在校，為特定處理目的收集、存儲的其個人信息保存期限也應(yīng)限定在實現(xiàn)目的所必要的最短時間內(nèi)。

2.3 高校對大學(xué)生個人信息的安全管理

《民法典》第一千零三十八條規(guī)定了信息處理者的個人信息安全保障義務(wù)。依據(jù)《個保法》第五十一條、五十七條，高校對大學(xué)生個人信息的安全保障義務(wù)具體包括：制定內(nèi)部管理制度和操作規(guī)程；對大學(xué)生個人信息分類管理；采取相應(yīng)加密、去標(biāo)識化等安全技術(shù)措施；合理確定操作人員權(quán)限，定期對其進行安全教育培訓(xùn)；制定并組織實施個人信息安全事件應(yīng)急預(yù)案；發(fā)生或可能發(fā)生大學(xué)生個人信息泄露、篡改、丟失等安全事件時，應(yīng)采取補救措施并通知大學(xué)生本人（如能有效避免危害，也可以不通知本人）。

在數(shù)字校園建設(shè)中，《個保法》的如下信息安全管理要求尤需高校注意：其一，在圖像采集、身份識別設(shè)備安裝方面，高校應(yīng)設(shè)置顯著提示標(biāo)識，且所采集的大學(xué)生信息只能用于公共安全目的。其二，在利用大學(xué)生個人信息進行自動化決策時，高校應(yīng)保證決策的透明度和結(jié)果的公平、公正，且就通過自動化決策方式作出的對大學(xué)生權(quán)益有重大影響的決定，應(yīng)提供相應(yīng)說明，并保障大學(xué)生拒絕僅通過自動化決策作出決定的權(quán)利。其三，在委托校內(nèi)人員或第三方機構(gòu)處理大學(xué)生個人信息時，應(yīng)明確委托處理的目的、期限、處理方式、個人信息種類、保護措施等事項，且對其信息處理活動進行監(jiān)督。其四，高校原則上未經(jīng)大學(xué)生個人單獨同意，不得公開或向他人提供其個人信息，此項需與《高等學(xué)校信息公開辦法》所保障的公眾知情權(quán)相平衡[2]。就這四項處理活動，高校均應(yīng)在事前進行個人信息保護影響評估，相應(yīng)評估報告與處理情況記錄還需保存3年以上。

3 高校數(shù)字校園建設(shè)中大學(xué)生個人信息保護的具體實現(xiàn)

3.1 個人信息保護宣傳教育與個人信息處理公開相結(jié)合

此前相關(guān)研究常提到的對策就是學(xué)校要加強宣傳教育、提高學(xué)生個人的信息保護意識。而事實上，即便大學(xué)生有個人信息保護意識，也并不知道如何保護，甚至不知道其個人信息是如何被處理的。雖然高校與大學(xué)生的法律關(guān)系是行政隸屬還是平權(quán)合同并無定論，但二者間終究存在極大的信息不對稱。因此，在個人信息保護宣傳教育時，高校需將公開其個人信息處理的過程及結(jié)果作為前提，或者至少應(yīng)作為其中一項重要內(nèi)容，這樣才能使高校信息處理的合法、正當(dāng)、必要、誠信，尤其透明原則得到有效實行。此外，相關(guān)人員不僅應(yīng)掌握制度要求，還要在具體職責(zé)履行中保持對大學(xué)生個人信息規(guī)范處理的意識。因此高校個人信息保護的宣傳教育還應(yīng)做出如下完善：其一，宣傳內(nèi)容既要包括對大學(xué)生個人信息的自我保護，也要包括對他人個人信息的保護，這里尤需結(jié)合本校學(xué)生信息處理過程和條件進行，使利益相關(guān)方真實了解；其二，教育對象既包括學(xué)生也包括教師，而從事學(xué)工管理的教師和從事教學(xué)科研的教師、普通學(xué)生與學(xué)生干部的個人信息保護教育培訓(xùn)應(yīng)分層次，內(nèi)容與形式也應(yīng)根據(jù)職責(zé)而有所區(qū)分。

3.2 個人信息保護規(guī)程與數(shù)字校園學(xué)生參與機制的確立

前述個人信息保護制度的直接實現(xiàn)既取決于將前述個人信息保護制度要求內(nèi)化為高?，F(xiàn)實的工作規(guī)程，又取決于在數(shù)字校園建設(shè)中吸納利益相關(guān)方的真實意見和現(xiàn)實參與，尤其是高校中作為數(shù)字校園受惠者和個人信息主體的大學(xué)生參與機制的建立。

關(guān)于個人信息保護工作規(guī)程，這是《個保法》第五十一條對個人信息處理者明文規(guī)定的義務(wù)。而各高校在確立內(nèi)部管理規(guī)程時，需要注意結(jié)合本校實際，以及相關(guān)條款內(nèi)容長期執(zhí)行的可持續(xù)性。關(guān)于數(shù)字校園建設(shè)的學(xué)生參與機制，雖然數(shù)字校園建設(shè)“堅持全域聯(lián)動，發(fā)動全員參與”的重要性已經(jīng)引起高校注意，但其“全員”僅指高校各部門[3]，將學(xué)生作為參與主體目前鮮有先例。因此，如下三點可以作為參照：其一，定期與學(xué)生代表溝通，在常規(guī)的學(xué)生座談中及時公開數(shù)字校園建設(shè)舉措及其對大學(xué)生個人信息的積極與消極影響；其二，在特定數(shù)字校園舉措推行前，（可以聽證形式）向?qū)W生說明可能處理的相關(guān)個人信息范圍、權(quán)限、時限、目的等，并最大限度聽取學(xué)生的意見，向其征集損害最小化的可替代方案，及時作出反饋；其三，定期隨機邀請部分學(xué)生參觀數(shù)字校園相關(guān)舉措的效果及這些舉措落實過程中所采取的個人信息保護措施。

3.3 個人信息侵害救濟與第三方信息處理監(jiān)督途徑的暢通

大學(xué)生在智慧校園建設(shè)中處于信息弱勢，尤須高校暢通其個人信息受到侵害的救濟途徑。大學(xué)生個人信息受到侵害可分為校外和校內(nèi)兩種，而對于與教學(xué)、管理活動無關(guān)的校外侵害，由學(xué)校安保部門負責(zé)與當(dāng)?shù)毓膊块T對接；對于教學(xué)、管理活動相關(guān)的校內(nèi)侵害，基于“高校對學(xué)生的教育行政管理權(quán)和高校基于法律法規(guī)對學(xué)生權(quán)利的保護義務(wù)”[4]，高校需負直接責(zé)任。因此，高校需將學(xué)生個人信息侵害處理職責(zé)落實到特定部門，且在搜集、處理其個人信息前明確告知大學(xué)生。事實上，“大學(xué)生維權(quán)能力較弱……通常不選擇民事訴訟或者行政訴訟方式進行維權(quán)”[5]，而且訴訟也不利于高校數(shù)字校園建設(shè)，因此，個人信息安全投訴制度能使高校更加有效地保護大學(xué)生的個人信息：高校在收到大學(xué)生維權(quán)訴求后應(yīng)及時反饋和處理，否則，大學(xué)生有權(quán)申請當(dāng)?shù)亟逃鞴懿块T介入。當(dāng)然，這也需要教育主管部門有相應(yīng)的處理依據(jù)和規(guī)程。

此外，在數(shù)字校園建設(shè)中，高校與第三方平臺進行深度合作已成趨勢，而第三方平臺的信息處理無疑會擴大大學(xué)生個人信息的安全風(fēng)險，因此需要學(xué)校對其進行監(jiān)督，這也是《個保法》第二十一條明文規(guī)定的個人信息委托處理者應(yīng)向受委托人執(zhí)行的義務(wù)。不過，該要求的具體實現(xiàn)有賴于高校將監(jiān)督路徑具體化，如接口的檢查、聽取學(xué)生操作的反饋；也有賴于高校將監(jiān)督過程和結(jié)果透明化，這既可以使第三方平臺有明確的合作預(yù)期，又能使大學(xué)生有足夠的信息安全感。

基金項目：浙江省教育科學(xué)規(guī)劃課題“高校數(shù)字化校園建設(shè)中大學(xué)生的個人信息保護研究”（2022SCG432）。

參考文獻

[1] 江必新，郭鋒.《中華人民共和國個人信息保護法》條文理解與適用[M].北京：人民法院出版社，2021：48-52，143.

[2] 謝偉壇.高校信息公開中大學(xué)生個人信息保護[J].文化學(xué)刊，2023（4）：150-153.

[3] 曾平江.高校數(shù)字化改革的現(xiàn)實困境與路徑探索[J].中國新通信，2023（12）：66-68.

[4] 盧晉，吳陽虹.高校學(xué)生個人信息行政法保護研究[J].中國法學(xué)教育研究，2021（4）：237-256.

[5] 馬海桐.高校處理大學(xué)生個人信息的問題研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2023（3）：92-93.