高校保护个人信息路径初探

高校保护个人信息路径初探

龙冰然，陈宇欣 吴伟 黄山岚

天津工业大学法学院，天津市 300387

中文摘要： 近年来，因高校收集学生信息过程规范不完善而导致数起信息安全事件，这在我国现行个人信息保护体系尚未健全的前提下引发了新思考——如何规范高校个人信息保护路径。本论文针对目前高校对学生信息存在的问题，以调查法和研究参考文献等方式，将收集个人信息保护过程分为事前同意（Prevention）—事中保护（Protection）—事后止损（Stop Damages）—救济主体（Remedy）四个阶段，并提出信息分级化保护，规范学校学生个人信息收集路径等可行性建议。

关键词：高校个人信息；事前同意；事中保护；事后止损；救济主体

随着信息技术的发展，大数据时代已经到来。没有无义务的权利，高校作为学生信息收集管理的特殊权利主体，必然有义务管理监督并保护学生信息。然而由于我国现行信息相关法律法规不完善、高校信息技术保护手段有限，学生信息保护意识淡薄，致使高校保护个人信息路径仍有阻碍。

1. 问题的提出

（一）西亚斯学院信息泄露事件

2020年6月6日，郑州西亚斯学院被曝出学校内部信息管理出现漏洞，数万名学生的个人信息，以有形数据形式在各类网络平台上流传，信息具体到名字、年龄、专业及宿舍门牌号等。泄露发生后，个人信息遭到泄漏的学生相继收到部分教育机构及营销机构的骚扰电话和广告推销等。部分学生的准确班级、姓名以及专业等信息被商业机构乃至不法组织所利用，成为侵害学生个人权益的切入点。事件发生后郑州西亚斯学院就学生信息泄露事件发表致歉声明，声称其按照疫情防控要求，由教务科研处整理了计划返校学生名单，用以核查学生返校来源地及个人健康状况等信息。由于工作人员缺乏保密意识，造成部分学生的个人信息泄露，在此次事件中由于学校的信息管理纰漏为学生们的生活和学习带来困扰，学校为此负有不可推卸的责任。^[1]

事发后，郑州西亚斯学院在公安机关的帮助下查清了事情原委，发布公告，声明事件来龙去脉，并及时有效地控制信息扩散源头并追查信息传播渠道，控制了信息的进一步扩散，对泄露信息并收到财产人身损害的同学提供救济，对事涉相关工作人员严肃追究。

在该信息泄露事件中虽对责任主体进行了追究，但这一事件亦折射出当今高校作为手握千百名学生个人信息的主体对于信息管理应建立起一套有效的风险预防及损害救助的运作体系。

（二）问题出现的原因

对当今高校学生个人信息保护的现状进行分析，不难发现目前高校对学生个人信息的收集程序缺乏一套规范的体系，表现为：个人信息收集主体范围不明，从管理层到学生干部都有权利收集信息；个人信息收集内容未有限制，高校信息管理存在“随收随报”的现象；信息收集处理方式不规范，部分高校在收集过程中忽略了对收集信息的有效处理和监督；信息侵权时的救济方式不规范，在信息泄露时帮助学生及时止损应是当今柔性管理应发展的部分。

2. 高校个人信息保护的特殊性

（一）高校管理的特殊性

高校与大学生处于管理与被管理的行政管理关系。高校出于管理需求直接收集的个人信息往往带有行政命令的色彩，是强制执行、必须遵守的。高校教育和管理职能的体现以信息为基础，有效的学生信息也更有利于高校对于大学生健康安全保障的实现。因此，高校基于教育和管理而直接收集的信息是合理且必要的。

一般强调权利与义务对等，学校既然享有收集信息的权利，相应也应当承担保护信息的义务和信息泄露造成的不良后果。^[2]

（二）信息主体的特殊性

高校个人信息保护不可忽略的一点就是其特殊的主体——大学生。他们对新事物的接受力强，与网络数据接触更深。但根据笔者的调查，在524份有效样本之中，针对主动保护个人信息的问题收集，仅有99人对个人信息有自觉保护的意识，占比达18.9%。可见，大学生对于个人隐私信息的重视程度普遍较低，泄露风险较大，同时由于大学生维权能力缺乏，因此一旦发生个人信息泄露的情况，很有可能对学习生活产生严重影响，甚至会危害财产和人身安全。

3. 高校保护个人信息面临的挑战

（一）高校管理与我国现行法律适用困境

随着大数据时代的飞速发展，个人信息的收集和保护的规范不可或缺，但截至目前，我国还未出台一部系统的个人信息保护法，针对高校大学生的个人信息保护的规定更是少之又少，法条内容较为零散，体系也相对庞杂。在宪法中有对公民的通信自由和通信秘密保护的规定；最新实行的《民法典》在人格权编第六章对隐私权和个人信息保护做了专章规定，但还未形成对个人信息保护整个流程的系统性规定；《刑法》也专门设定了侵犯公民个人信息罪，但该罪的刑期较短，未能合理范围内最大程度地起到整治个人信息犯罪活动的作用；此外，我国对个人信息保护的法律还集中分布在《网络安全法》中，但其关于处罚形式和数额的规定与愈演愈烈的违法活动相比也是不相适应的。

^[3]

因相关部门法较多，权力之间相互“打架”的现象也层出不穷。因此，出台专门的《个人信息保护法》刻不容缓，只有对个人信息保护进行集中统一规定，消除部门法之间的冲突，提高保护的效率和水平，才能将个人信息的保护落到实处。 ^[4]

值得一提的是，2020年10月全国人大公布了《个人信息保护法（草案）》（以下简称《草案》），作为首部专门规定个人信息保护的法律，其正式出台后将成为个人信息保护领域的“基本法”。

（二）高校对个人信息的技术保护薄弱

在当今社会，个人信息的收集与处理完全离不开计算机系统和网络，这就要求高校在运作大学生个人信息时应采取相应措施以避免信息安全风险问题。然而，目前众多高校对学生信息技术保护领域尚未涉足，信息未经匿名，收集者可从后台观测学生个人信息，这明显是对学生个人信息保护极其不利的。经笔者调查发现，众多高校网站可通过简单的网络爬虫技术破解，从而极易泄漏个人信息。此外，笔者建议高校对于学生个人信息的重要程度进行分级保护，除了对信息进行基本的匿名保护技术外，还应当针对敏感个人信息采用水印隐藏和溯源技术，将重要信息隐藏嵌入到载体中，生成水印，并通过信息溯源记录信息流从产生到输出的完整过程，以此规避信息泄漏的风险。

4. 以P-P-S-R模式强化高校保护个人信息路径

将高校信息处理的普遍性过程展开来看，可以划分为如下几个阶段——事前同意（Prevention）—事中保护（Protection）—事后止损（Stop Damages）—救济主体（Remedy）在第十三届人大会议上提出的《草案》也基本围绕这个过程展开。

（一）事前同意

事前同意原则在《草案》中得到体现，个人对其信息的提交享有充分的自由，在学生作出同意信息处理的决定前，个人应当对信息处理的全过程享有充分的知情权，由于学生与高校在实际管理中身份不对等，高校应承担起保证学生知情权的责任。

对于高校来说，日常运作中收集的信息冗杂，若不进行分级保护，个人信息保护就仅是纸上谈兵。笔者建议，将高校常收集的信息根据信息对主体的影响大小可分为三个等级，第一等级为无法识别个人身份、特征的各类脱敏信息，这类信息单独被知晓时，不会对个人信息主体造成损失，因此在处理此类信息时，高校只要注意学生未表示明示拒绝即可。第二等级为在一定范围内处于自然公开状态的个人基本信息，如姓名、性别等，二等信息的信息处理者在必要情况下可对其中的部分信息进行公开，原则上的前提是征求被收集者的明示同意，但若信息在处理范围内已经处于自然公开状态，则可视学生以行为方式默认同意。第三等级是公开可能造成主体心理严重不适并侵犯个人权利的信息，信息收集者非必要情况不得收集该信息，信息收集者在特殊情况下收集该类信息时需要向被收集者提供信息用途说明，并必须以书面、电子形式向信息主体争取明示同意。此外，为避免信息收集同意书成为“僵尸条款”，重要文字应以醒目的方式告知。

（二）事中保护

收集信息后的处理时段是保护个人信息的重点即“事中保护”。高校个人信息的保护应分为两个方面——个人对信息状态的控制、高校的信息分级机制。

个人信息的权利是一项非一次性的权利，个人信息一旦被披露、转移，信息主体、信息处理者对个人信息处理都负有长期的权利和义务。信息处理的过程中学生对自己的个人信息应当处在一种可以控制的状态，这一理念在《草案》中的第四十四条得到体现。信息的处理是动态变化的，作为信息主体，信息处理的直接控制主体应将信息处理的经手人、流动去向等过程详细记录下来，一方面为学校自身保留信息处理无过错的证据，一方面有利于发生信息危险情况第一时间追查。

（三）事后止损

根据《草案》总则中的规定，高校应对个人信息处理活动负责，并采取必要措施保障所处理的个人信息安全。与初等教育不同，大学生主体具有独立性和依赖性并存的特点，其学习、生活皆有赖于高校的管理，因此高校在管理义务上应负有较高的注意义务。除对上述信息收集流程的规范，高校仍应对可能出现的信息危险事件作出及时反映。

接收到学生信息产生危险的通知后，高校在将紧急情况上报公安机关或其他相关机构的同时，应配合学生及时控制涉事信息，以求将风险降到最低，并对内部自我检查，追查信息流经去向及处理人并将自查结果在高校范围内予以公开。

（四）事后救济

将个人信息可能危及的权利分为两类，即财产权与人格权。

1.个人信息危及财产权的救济

通过个人信息侵犯财产权，在大学生群体中常见的形式即电信诈骗。

对于个人信息财产权的救济，主要可以通过民事、刑事和行政救济。相比于后两者，民事救济将更直接的保护到信息主体的权益，经济补偿的力度也更大些。^[5]刑事救济则要求更加严苛，一是犯罪的故意，二是违法所得金额较大。行政救济则是对行政机关侵犯个人信息的行为进行纠正、处罚等行政措施。

2.个人信息危及人格权的救济

狭义的人格权分为精神性人格权和物质性人格权。显然，精神性人格权的侵权行为都有赖于信息的传递才能实现，个人信息经过过度披露或在传播途中捏造、改造等不法行为后对信息主体的精神性人格权产生严重影响。精神损害赔偿往往伴随物质侵权损害赔偿来请求，如通过电信诈骗导致女大学生心脏骤停的徐玉玉案，就是通过侵犯财产权间接损害到被害人的生命权。若高校对此过程负有责任且并无证据证明自己无过错，则须承担赔偿责任。

救济途径有仲裁、诉讼、报案、行政复议，方向有民事、刑事、行政甚至更为专业的知识产权等领域。然而高校管理中，相较于可寻求专业法律人士帮助的高校，学生寻求维权困难。因此，高校可承担起对学生寻求救济的帮助义务，提供咨询渠道。组织学校中的相关法律人士，开放法律咨询通道，为学生指明维权路径。

1[]映象网. 郑州西亚斯学院近两万名学生信息疑泄露 学院发表致歉声明.[EB/OL] https://baijiahao.baidu.com/s?id=1669122109657172299&wfr=spider&for=pc.2020/06/10

2[] 马丽梅.大数据时代高校大学生信息保护的重要性及措施研究[J].无线互联科技,2020,17(10):90-91.

3[] 张智浩.公民个人信息保护现实困境与突破[J].洛阳理工学院学报(社会科学版),2021,36(01):54-62.

4[] 黄道丽 , 胡文华 .《个人信息保护法（草案）》的立法评析与完善思考 [J]. 信息安全

与通信保密 ,2021(2):2-9.

5[] 邹笑笑.浅析个人信息的财产权保护[J].法制博览,2020(12):178-179.