校园个人信息保护问题

2023-01-05谢婧雯

合作经济与科技 2022年10期

□文/谢婧雯

（厦门大学福建·厦门）

［提要］校园个人信息作为个人信息中具有高值性的子类，在信息保护热潮中备受关注。但不论是信息主体、学校、第三方机构还是社会对校园个人信息的保护都不足。为给校园个人信息保护寻求出路，在分析校园个人信息保护中的法律关系、权责划分基础上，针对不同主体提出保护校园个人信息的有效措施。

2016 年电信诈骗案轰动全国，人们由此注意到校园个人信息的泄露可能产生巨大危害。但法律中有关个人信息权的规定尚不足以保护校园个人信息。此前研究更多是公民群体的个人信息保护，而少有对校园个人信息保护的研究。故本研究将主题定位为校园个人信息保护，并将结合实证调研的成果，为校园个人信息的保护寻求出路。

一、校园个人信息保护中的法律问题

（一）多方利益的平衡问题分析。校园个人信息的保护涉及信息主体的个人信息权、学校的管理权及各用益主体的权利，如银行与学校合作办理新生银行卡时拥有的获知学生部分个人信息的权利。但校园个人信息的保护必然不是一刀切式的学校能获取或不能获取校园主体的个人信息，而是获取个人信息的数量多寡、多方利益的平衡问题。学校涉校园个人信息的活动应受比例原则、知情原则及透明度原则的限制，才不至于侵害校园主体的个人信息权。下文将分别阐释这三项原则。

首先，学校作为行政主体，收集校园个人信息要遵循比例原则。高校为实现培养青年学生的基本目的，有权保存学生的学业信息、奖惩记录等与在校学习生活直接相关的个人信息；为帮助学子走向社会，高校则有权获知学生的发展意向信息，以展开毕业实习项目等项目。上述几类信息本就产生于校园内，学校掌控这些信息没有太大争议，但有些信息不产生于校园之内，如学生的财产信息，学校对此则没有和对学业信息同等的权限，而只能在特定情形下获取学生的财产信息。如，学校只在发放助学贷款时才能收集学生的财产信息，因助学贷款的目的在于保障贫困学生的基本生活；而在发放奖学金等其他情境下则无此权限，因为奖学金的目的在于奖励学业优秀的学生，它是以学生学业信息为必要判断标准的，有且仅有贫困学生奖学金的发放需以学生财产信息为附加判断标准，故学校也仅能在该特殊类奖学金发放时才有权获取学生的财产信息。且学校对财产信息的获取也只能是由学生提交证明材料，而不能去主动调查。学校对财产信息的保存时间也相对在校内产生的信息要短，通常仅限于异议期间。同时，学校在后续使用该财产信息时，仅能在特定部门间流转，而不能像学业信息的使用那样各部门皆可调取，故助学金与贫困生奖学金在发放时应分别由学生提交财产证明材料，而非由学校直接从信息库中调取。

其次，知情同意原则。一方面是知情，学校在收集或使用特定校园个人信息时应告知校园主体实情，包括告知其信息被收集及信息的使用情况等。比如，在疫情防控的特殊时期，学校将人脸信息用于门禁时应告知校园主体，若情况紧急则应在事后告知。其原因在于不特定多数人的生命健康权这一法益高于特定个体的信息权，故学校有权收集使用人脸信息。但该行为又构成对校园主体个人信息权的侵犯，故应对学生施以告知义务，以缓和双方的权利冲突。且人脸信息属生物敏感信息，故学校在存储使用人脸信息时还负有更重的保障信息安全之义务，为此学校在实际操作中应采用保密性更强的技术等以提高人脸信息的安全程度。另一方面则是同意，学校应在取得校园主体的同意后方可收集使用其个人信息，且这里的同意应是出于完全自愿的意思表示，而非受到相关主体胁迫，比如学校或者教师的强制、利诱或欺诈。但在疫情防控下，学校对信息的使用可不经信息主体同意，这也是因公益优先。

最后，还应遵循透明度原则。也就是学校对校园个人信息的收集使用应受监管，不仅在学校内部应设立专门机构纪委办公室、监察处进行监管，还应接受外部机关的监管。进一步探究怎样才能让监管发现的问题得以实际解决，笔者认为学校应设立核心责任部门，由该部门享有收集校园个人信息的权利，也由该部门承担校园个人信息使用不当等的责任。通过设置层级式组织架构，一方面使涉校园个人信息的业务更规范地开展，保障校园个人信息在收集、使用各个环节上的安全性；另一方面则利于责任的追究，在事故发生后能通过调取记录来确定泄露信息的部门，针对性地改善信息保护措施。就信息管理中心而言，各项目的开展需责任到人，才能从根本上提升监管力度。

再看校园个人信息三方关系的利益平衡问题。很典型的情况便是学校将学生个人信息传输给银行办理新生卡，我们就以此为例来阐述信息主体、信息收集方与信息受让方间的权利义务关系。第一个要解决的问题是学校是否有权为学生办理银行卡。当前，学校学费、住宿费的缴交都是以银行卡扣费的形式实现的，且学校生活费用的支付实行的是学生卡制度，而学生卡需与银行卡绑定来完成扣费，故学校为达成校园统一管理的目的，有权为学生统一办理银行卡。在此之上需要思考学校及银行能获取多大限度的校园个人信息。在这里，我们先跳过学校这一信息中介，而看校园个人信息流通的终端——银行，它所能获取的信息量。同样的，银行获取校园个人信息应遵循比例原则和透明度原则，且承揽办卡业务的银行属商业机构，故银行处理校园个人信息时还应遵守禁止二次交易原则，但由于银行并非直接面向信息主体收集信息，故禁止二次交易应在信息收集方与信息受让方的合同中体现。但涉及校园个人信息活动还应满足知情同意原则，那知情同意原则在三方关系中又该如何体现。知情原则有信息主体对信息被收集的知情与对信息使用情况的知情两个子内容。学生信息是由学校收集，但却由第三方使用，那对信息主体的告知义务该由哪方负担呢？笔者认为信息收集方应负此义务，因为收集方与信息主体直接接触，由收集方告知较为便利，且知情同意原则下使用情况的告知是以信息被收集的告知为基础的，故由收集方一并告知更为合理。同时，收集与使用的分离还将引申出收集使用的一致性原则，即收集方不得利用信息主体与信息受让方间的信息屏障而超使用范围地收集校园个人信息。但目前机制、法律还未能对此进行有效的监管。且总体上我国当下的法律大多只涉及信息主体与信息收集者间的利益平衡，而缺乏规定去界定涉及个人信息的三方关系中如何达到利益平衡。

（二）校园个人信息保护中的权责划分。校园个人信息涉及信息主体、学校及商业机构三大主体。先看信息主体的权利。提供个人信息的主体有所有权、知情权、决定权、处分权。校园个人信息顾名思义是个人的信息，即信息所有权在个人。虽然信息主体有时会将个人信息告知第三人，但这不是所有权的转移，也非信息使用权的授予。第三人享有他人的个人信息使用权需个人信息所有者与信息使用者间缔结使用合同。该合同的订立则涉及信息主体的知情权。若信息主体对合同中使用者使用信息的方法等不明，可要求使用者做说明，直至清楚。若使用者超过双方所约定的使用范围使用个人信息，则构成侵权。再者，知情不等于同意，除非信息主体有明确意思表示，即行使决定权来确认使用者可使用自己的个人信息、使用的种类及场合等事项。再看学校。学校对校园师生的个人信息有管理权、监督权。学校应完善管理部门主体来统管校园个人信息。同时，要监督相关部门保护校园个人信息，通过权利制衡，保障学校所管理的信息不被非法泄露。不仅要对收集存储于校内的个人信息进行把控，也需对外来的需要收集师生个人信息的商户企业进行监督。最后是商业机构。商业机构与其他主体不同，它对校园个人信息的权利是基于合同约定，不赘述。

二、建议

（一）信息主体。信息主体的个人信息保护意识亟待提升，应了解主动信息侵权后的维权方式，还应主动获取个人信息的相关知识和反诈骗知识，确立起高度的防范意识。

（二）学校。学校可从制度、技术及意识引导几方面加强对校园个人信息的保护。学校可以设立核心责任部门制度，将业务上涉校园个人信息的诸多部门中最关键的一个部门如信息管理中心确立为核心责任部门，由该部门来统一收集、存储及管理校园个人信息并设立应急预案。校内其他部门对相关信息的使用需向核心责任部门报批，由核心责任部门按需调出信息供其使用。同时，核心责任制度的设立也有利于达到知情同意原则及透明度原则对涉校园个人信息活动的要求。由专门部门负责收集校园个人信息能缓解信息主体对信息安全性的顾虑，利于信息主体在知情后同意信息被收集。总而言之，核心责任部门制度通过统一权责，既能有效避免校园个人信息的重复收集，规范化信息的使用，降低信息泄露的风险；又能在信息泄露事件发生后，让信息的流转更有迹可循，利于危害的控制与事后责任的追究。而在数字化信息化校园的趋势下，学校与外部信息公司合作前，应由核心责任部门对有关公司的资质进行严格考察。此外，学校要加强对相关人员保护校园个人信息意识的引导。一方面是要加强涉校园个人信息业务人员的意识；另一方面则是要加强信息主体的保护意识。

（三）第三方机构。为保护校园个人信息安全，需对第三方机构的权利进行限制。目前，其对于个人信息的采集，大部分还是采取人工的方式，工作人员很容易在一线采集信息的过程中接触到个人信息，故第三方机构可采机器采集方式收集，减少泄露。对不再使用的信息做删档处理，以防校园个人信息的二次交易。而且目前我国的人脸识别等技术已经比较发达，若可通过人脸识别全网信息连锁，由政府采集个人信息并授权，第三方通过政府授权收到更为明确分类和精确的信息，以此来开展业务，既减少信息收集，也利于信息泄露时究责。

（四）社会国家。社会国家也能够助力校园个人信息的保护。如，成立专门的信息交易中心来开展并规范个人信息的交易，及时制止涉校园个人信息的不正当交易行为。而信息交易中心应由有关行政部门，如互联网信息化办公室主持设立。因为中心事务的实施需要强制力与公信力，而由政府设立中心的原因不仅在于个人信息的保护具有社会公益性，还在于社会未来的发展越来越需要信息资源，信息数据已经成为一项重要的生产要素，故政府需要加强对信息交易的规范化引导，以保证社会的平稳发展。当然，校园个人信息的社会性保护离不开社会保护意识的提升，故需媒体曝光恶性校园个人信息泄露事件，定期推送你我都可做的校园个人信息保护方法，向公众介绍《个人信息保护法》等法律。国家层面则需完善个人信息保护的法律体系，保持对侵害校园个人信息行为的严厉打击。校园个人信息的种类随着时代的发展将愈发繁多，故国家的有关立法需与时俱进地补正，同时侵害校园个人信息的行为也将愈发多样，故国家可逐渐针对不同领域、不同形式的侵害行为针对性地出台治理政策，及时填补校园个人信息保护的漏洞。司法方面，国家可制定针对侵害校园个人信息的民事赔偿及量刑指导意见，对该行为施以重于侵害普通个人信息的惩罚。

（五）拓展应用。上述建议还适用于社会个人信息的保护。如，核心责任部门制度的理念便可应用于社会个人信息保护。对涉个人信息业务的公司，设置独立的核心部门管理全部个人信息，既能加强社会个人信息保护，也有利于树立良好的企业形象，规避信息泄露的风险。

校园个人信息是社会个人信息的一部分，而校园个人信息保护也离不开社会整体对个人信息的保护。例如，政府设立信息交易中心，加强对信息交易的规范化引导，不仅适用于校园个人信息，也广泛地适用于其他社会个人信息。有关部门、各类媒体应当积极宣传引导，促进信息主体提高个人信息保护意识，加强对处理个人信息企业的监督，对侵害公民个人信息权利的行为予以严惩。