高校學生個人信息法律保護現(xiàn)狀及優(yōu)化

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了高校學生個人信息法律保護現(xiàn)狀及優(yōu)化范文，希望能給你帶來靈感和參考，敬請閱讀。

摘要：肺炎疫情防控中發(fā)生的“返鄉(xiāng)大學生”信息泄露事件反映出高校學生個人信息的法律保護存在困境。目前信息網絡法、教育法以及其他部門法雖可為高校學生個人信息的法律保護提供一定支持，但在法律適用和法律制度層面均存在不足。應當確立高校學生個人信息有限披露機制，出臺《普通高等院校學生信息安全保護辦法》，推動高校學生個人信息法律保護的優(yōu)化。

關鍵詞：高校學生個人信息；信息泄露；法律保護；利益平衡

2020年初，一場突如其來的肺炎疫情在全國乃至世界范圍內蔓延?；谄鋫魅拘院痛哼\的人員流動性迅速傳播，造成了極其嚴重的社會后果。與2003年的“SARS”疫情不同，肺炎疫情發(fā)生時我國正在信息時代的高速公路上飛馳，信息在疫情防控中的地位與作用也呈現(xiàn)出前所未有的重要性。其中，對武漢返鄉(xiāng)人員的重點防控即與信息化緊密結合，但是由此也引發(fā)了對這些人員個人信息的過度侵犯問題，特別是“返鄉(xiāng)大學生”信息更是成為個人信息被泄露的“重災區(qū)”。在信息化、法治化的時代浪潮中，重大疫情對于信息披露的要求自不必言，但是高校學生個人信息的保護問題也不容忽視，否則可能對其造成長遠的傷害。文章從高校學生個人信息法律保護的現(xiàn)狀著手，對高校學生個人信息法律保護的優(yōu)化進行了探索。

一、高校學生個人信息法律保護的現(xiàn)狀

1.高校學生個人信息保護立法的梳理。隨著信息時代的發(fā)展，我國也在不斷出臺個人信息保護的法律，以促進個人信息保護的實現(xiàn)。在基礎層面，《中華人民共和國憲法》（以下簡稱“憲法”）第三十八條規(guī)定公民的人格尊嚴不受侵犯，第四十條規(guī)定對公民的通信自由和通信秘密予以保護，這可以作為高校學生個人信息保護的憲法依據。在此基礎上，還需要結合各個法律的具體規(guī)定來維護高校學生個人信息的安全。一是信息網絡法?！吨腥A人民共和國網絡安全法》（以下簡稱《網絡安全法》）第四十一條規(guī)定了個人信息的收集與使用規(guī)則，指出網絡運營者收集、使用個人信息要做到目的適正、公開透明和個人同意，同時不得違反法律和約定收集個人信息。而《網絡安全法》第四十一條第二款、第四十二條則規(guī)定了個人信息的保管規(guī)則，指出網絡運營者應當依照法律規(guī)定和約定處理其保存的個人信息，不得泄露、篡改、毀損和未經同意向他人提供個人信息，應在發(fā)生或者可能發(fā)生上述情況時采取補救措施，并且告知個人和報告有關部門?！毒W絡安全法》的第四十四條明確指出任何個人和組織不得非法獲取、出售或提供個人信息。二是教育法?！吨腥A人民共和國教育法》（以下簡稱《教育法》）第四十三條規(guī)定，“受教育者享有法律、法規(guī)規(guī)定的其他權利”?！吨腥A人民共和國高等教育法》（以下簡稱《高等教育法》）第五十三條規(guī)定，“高等學校學生的合法權益，受法律保護”。三是其他部門法。如民法部門，《中華人民共和國民法總則》（以下簡稱《民法總則》）第一百一十一條規(guī)定：“自然人的個人信息受法律保護。任何組織和個人需要獲取他人個人信息的，應當依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息?！庇秩缧谭ú块T，《中華人民共和國刑法》（以下簡稱《刑法》）第二百五十三條規(guī)定，對違反國家有關規(guī)定向他人出售或者提供公民個人信息（含將在履行職責或者提供服務過程中獲得的公民個人信息出售或者提供給他人），以及竊取或者以其他方法非法獲取公民個人信息的行為均予以處罰。

2.現(xiàn)有法律保護的不足。通過以上法律構成的個人信息立法體系，在一般情況下可以相當程度上為高校學生的個人信息提供法律層面的保護。但是在重大疫情防控中，現(xiàn)有法律保護體系則在保護高校學生個人信息的過程中呈現(xiàn)出較大的不足，具體體現(xiàn)在兩個層面。其一，在法律適用層面表現(xiàn)為缺乏公共利益和高校學生個人信息權利的平衡機制。對于社會發(fā)展而言，個人信息的流動與保護同樣重要。一味強調信息的保護，禁止信息的流動，勢必導致國家信息產業(yè)乃至社會發(fā)展的停滯；反之，如果只強調信息的流動，不注重個人信息的法律保護，也會導致社會的無序和混亂，從而產生極其嚴重的后果。因此，平衡理念在個人信息法律保護的過程中十分重要。有學者就這一問題進行探討，如有學者提出“三方平衡”的觀念：“‘三方平衡’是指個人對個人信息保護的利益（核心是人格自由和人格尊嚴利益）、信息業(yè)者對個人信息利用的利益（核心是通過經營活動獲取經濟利益）和國家管理社會的公共利益之間的平衡。”[1]或以具體領域為例進行闡述，如“在公共健康領域，應平衡個人隱私權、第三人知情權與健康權及公共利益三者的關系”[2]。對于高校學生個人信息的保護而言也是如此，必須考慮法益保護的平衡。比如，高校及其工作人員對于學生個人信息的占有、利用，只要和教育教學活動相關，具有正當性，則應當在法律允許的范疇。但是如果超越了平衡的界限，則需要通過法律予以禁止。[3]比如，公開張貼學生的學業(yè)成績，公開申請資助學生的個人信息，在心理咨詢中不注意保護咨詢學生的隱私，在宿舍管理中未告知或未經學生同意擅自進入學生私人空間等行為，都在不同程度上侵犯了大學生的隱私權。[4]在重大疫情防控期間，這種平衡確實需要進行調整，特別是注重向公共利益保護進行傾斜，但是并不意味著完全忽視對于高校學生個人信息的保護。其二，在法律制度層面表現(xiàn)為缺乏有效的、科學的高校學生個人信息規(guī)范體系。雖然現(xiàn)有立法可以在一定程度上為高校學生個人信息提供保護依據，但是其針對性、有效性有限，及至重大疫情等重大公共事件發(fā)生，根本難以在法律層面對其個人信息進行完善保護?，F(xiàn)行立法中，《網絡安全法》《民法總則》《刑法》等立法雖然規(guī)定對個人信息進行保護，但是均是基于一般主體作出，而非專門針對高校學生作出，不具有針對性。

二、高校學生個人信息法律保護的優(yōu)化

基于高校學生個人信息法律保護的不足，應當從多個視角采取對策，推動其信息安全維護和社會利益維護的有機協(xié)調，以及制度體系的全面完善。

1.確立高校學生個人信息有限披露機制。在重大疫情防控等特殊時期，應全面統(tǒng)籌疫情防控需要和高校學生個人信息保護需要，基于平衡的視角尋找妥當的保護邊界，防止偏廢。在此過程中，應特別注重對于兩重法律機制的構建，實現(xiàn)其個人信息有限披露：一是確立高校學生個人信息定向披露機制。毋庸置疑，武漢“返鄉(xiāng)大學生”個人信息向公安、防疫等部門的披露對于重大疫情防控至關重要，但是也應當對于這種披露進行必要的限定，即只對特定主體進行定向披露，而非向社會進行不定向披露。二是確立高校學生個人信息間接披露機制。在平時無論是直接識別個人信息還是間接識別個人信息（需與其他信息結合識別自然人個人身份的各種信息）都屬于法律所保護的個人信息范疇。然而在重大疫情防控中，確實對于“行蹤軌跡”等信息的披露有助于公眾自覺檢視疫情風險，采取預防措施，防止疫情擴大。由此，應當基于公共利益和個人權利平衡的視角，允許對高校學生個人間接信息的披露。

2.出臺《普通高等院校學生信息安全保護辦法》。應圍繞高校學生個人信息保護的重點、難點和焦點問題出臺專門的法律文件。具體而言，應在規(guī)章層面出臺由教育部頒布的《普通高等院校學生信息安全保護辦法》，其目的既在于規(guī)范高校及其工作人員的行為（防范內部信息危險），也在于督促相關責任主體積極履行大學生個人信息保護義務（防范外部信息危險），為重大疫情等社會公共事件中該類主體的個人信息保護提供專門的保護規(guī)范。主要內容應包括以下四個部分。第一部分為總則?？倓t中應規(guī)定以下兩項內容：一是適用范圍。應基于對于個人信息安全的界定，明確其適用高校學生的個人信息收集、使用、加工和傳輸。二是基本原則。具體應包括合法原則、正當原則、同意原則、保護原則。合法原則即要求對學生的信息收集合法，在違反相關法律法規(guī)或未經學生知情同意的情況下，不得收集其信息。合理原則即對學生的信息收集須有正當性理由。同意原則即對學生個人信息的處理和利用必須與收集目的一致，必要情況下的目的變更應當符合法律要求并征得信息主體的同意。保護原則即收集、處理和利用學生個人信息的主體應當采取合法有效的措施保護學生個人信息安全，防止學生個人信息丟失、毀損、泄露等。第二部分為管理機構與職責。其內容主要包括以下三項：一是管理方針與機構。應明確規(guī)定教育行政部門、高校必須重視學生個人信息保護工作，同時應當成立專門的組織機構履行其保護職責。二是管理事項與要求。應明確規(guī)定教育行政部門、高校建立全員性的教師行為準則、保密規(guī)定等學生個人信息保護工作制度，同時要求教育行政部門、高校收集學生個人信息時應就信息內容等必要事項向各級主管部門進行登記。三是限制性規(guī)定。應明確規(guī)定教育行政部門、高校將第二款所規(guī)定的學生個人信息提供給信息主體之外的第三人的，應當同時就使用目的、方法、再交換條件以及其他重要事項做出明確限制。第三部分為權利與義務。具體分為學生的個人信息權利與義務與教育行政部門、高校的個人信息權利與義務。一是學生的個人信息權利與義務。具體包括對學生個人信息行使的自主決定權、對信息內容的查詢權等權利，以及教育行政部門、高校在管理和安全保衛(wèi)活動中需要收集、使用、加工和傳輸學生個人信息時，予以必要配合的義務。二是教育行政部門、高校的個人信息權利與義務。包括因教學管理和安全保衛(wèi)確實需要的，可以強制收集、使用、加工和傳輸學生個人信息的權利，以及在法律規(guī)定的范圍內收集、使用、加工和傳輸學生個人信息的義務，保護學生個人信息安全的義務，建立學生個人信息查詢備案制度等義務。第四部分為法律責任。具體分為以下三個方面：一是教育行政部門、高校非法收集、使用、加工和傳輸高校學生個人信息的，或者將獲取的信息用于其他用途的，或者違反本辦法第三章規(guī)定的，可以根據情節(jié)不同處以責令改正、警告或罰款的處罰。二是教育行政部門、高校不履行本辦法規(guī)定的保護學生個人信息義務的，由其上級機關或者有關機關責令改正，并給予負責人處分。三是構成刑事責任、民事責任或者其他行政責任的，依照相應的規(guī)定予以處罰。

3.推動高校學生個人信息立法的完善。第一，盡快出臺專門的《中華人民共和國個人信息保護法》。結合目前的立法規(guī)劃，其內容應該包括個人信息保護的基本原則，個人信息保護的管理體制，個人信息收集、處理、傳輸和利用制度，以及法律責任。個人信息保護的基本原則中應明確個人信息保護所應該遵循的基本方向和要求。個人信息保護的管理體制中應明確主管機構及其職責、管理程序、管理責任等。個人信息收集、處理、傳輸和利用制度中應明確上述行為的具體內涵和法律邊界，以及實施過程中的具體要求。法律責任中應規(guī)定相關主體違反義務所承擔的法律責任，包括行政主體、企業(yè)主體和個人主體。此外，也應在相關條款中作出專門規(guī)定，特別是關于高校學生等特殊主體的問題。第二，協(xié)調相關部門法的具體規(guī)定。其核心內容應為協(xié)調教育法和其他部門法的規(guī)定，比如，應基于《網絡安全法》以及新制定的《中華人民共和國個人信息保護法》等法律規(guī)定，在《教育法》《高等教育法》等教育法中明確規(guī)定（高校）學生的個人信息依法受到法律保護，并且明確相關教育主體的義務和責任。最重要的即為高校等主體的義務與責任，既需要確保其自身及工作人員不成為學生個人信息的侵權人，也要做好學生個人信息的“守夜人”，全面實現(xiàn)學生個人信息的保護義務。具體可從縱向與橫向兩個維度展開：在縱向維度，保證教育行政主體及其工作人員不侵犯學生個人信息安全的義務，以及在必要程度上保護學生個人信息安全免受其他主體侵犯的義務。在橫向維度，保護學生個人信息不被非法獲取、非法提供、非法利用。[5]在此基礎上，推動建立高校、學生個人、相關部門共同參與的信息保護模式。

參考文獻：

[1]張新寶.從隱私到個人信息：利益再衡量的理論與制度安排[J].中國法學，2015，（3）.

[2]李燕.限制與保護：公共健康領域的個人隱私權[J].政法論叢，2017，（2）.

[3]劉磊，彭云杰.高校管理中大學生隱私權保護的法律思考[J].教育科學，2012，（4）.

[4]陳廷根，賴嫦媛.高校管理中大學生隱私權的保護[J].高教探索，2011，（5）.

[5]王肅之，馬力.論大數據環(huán)境下教育行政主體的學生個人信息安全保護義務[J].中國教育法制評論，2019，（1）.

作者：鄧琬心 單位：武漢大學法學院博士研究生