“互联网+”时代高校学生隐私保护研究*
2020-01-07王京阳
王京阳
(南京工业大学,江苏 南京 211816)
1 “互联网+”时代的高校隐私泄漏问题
1890 年缪赛尔·沃伦(Samuel D WARREN) 和路易斯·布兰代斯(Louis D BRANDEIS) 第一次提出“隐私”这一概念,并将其定义为“不受干涉的权利”。威斯汀(A F WESTIN) 于1968 年提出“信息隐私”概念,将其定义为个人、组织或机构能够自主决定私人信息传播的时间、方式及程度。
隐私信息主要有以下4 种:第一种是个人基本信息,包含姓名、年龄、性别、民族、身高、体重、血型、照片等;第二种是社会信息,包含身份证号码、住址、籍贯、电话号码、政治信仰、家庭情况、学籍、学历、学号、成绩、奖惩等;第三种是财产信息,包含收入、资产、负债、低保类型、信用等;第四种是网络信息,包含网购记录、邮箱、网络支付等账号与密码、位置、行为习惯等。
随着“互联网+”时代的到来,办公自动化管理系统、学籍管理系统、考试管理系统等各类信息系统在高校工作中得到普遍应用,中国互联网络信息中心(CNNIC) 发布的第42 次《中国互联网络发展状况统计报告》 (2018 年8 月) 中指出学校通过电脑接入互联网的比例增长了0.5 个百分点。截至2018 年6 月,中国网民中,学生群体最多,占比达24.8%,互联网在受过高等教育的人群中渗透率高,受过大学本科及以上教育的网民占比为10.6%[1]。各种信息化手段的普及提升了高校管理日常工作、发布相关信息的效率,同时个人隐私泄露的可能性也随之加大。
近年来,高校隐私泄露事件屡见不鲜,新闻媒体先后报道了湖北、湖南、山东、浙江、河南、吉林、广西、福建、江苏、陕西等地的众多高校,在公示信息过程中出现了学生隐私被大量公布的现象。这些事件损害了涉事学生的相关隐私权利,也给所属高校造成了极坏的负面影响,后续处理需要消耗相当的人力、物力资源。与此同时,技术的进步推动了微信、微博等社交应用的普及。在日常网络社交行为中,会产生大量的个人信息、社交关系、地理位置等信息,形成庞大的信息数据库,社交应用对这些数据进行挖掘,能创造新的经济价值,同时也催生了数据交易出现。对数据的二次利用可以挖掘、预测学生的许多重要信息,例如:购物倾向、贷款能力、个人、位置信息等。高校在校学生受教育程度高,接受新事物能力强,但社会经验和安全意识相对不足,在使用社交软件的过程中会无意识地暴露自己的隐私信息,这些隐私信息被第三方基于各种用途收集、加工以后,会给自己的人身、财产安全带来很大的隐患。
1.1 造成高校隐私保护问题层出不穷的主要原因
1) 公民个人隐私信息保护的法律条文散布在《宪法》 《民事诉讼法》 《消费者权益保护法》等多部法律及《中华人民共和国政府信息公开条例》《征信管理条例》等条例、条文中。2010 年教育部也发布了《高等学校信息公开办法》,其中规定高等学校对涉及个人隐私的信息不予公布。但这些法律法规中相关隐私保护条文碎片化严重,缺乏可操作性,没有形成系统的法律框架,对个人的隐私保护要求表达不准确,立法也比较滞后,不能适应“互联网+”时代隐私保护的新形势。
2) 高校缺少隐私保护的相关制度文件,更没有系统的隐私保护组织体系,权责不明确。许多部门和管理人员对相关信息发布和管理工作很不规范,缺乏科学的指导和监督。国外许多高校都有完善的隐私保护规章制度,并建立了隐私保护工作小组,由相关的副校长统筹管理。在这方面,国内的高校需要学习国外同行的先进经验。
3) 高校管理人员及学生都缺乏隐私保护意识,培训工作不到位,许多人只是简单执行信息公开的要求,无法区分可公开信息与隐私信息的区别。信息公开是为了增加透明度,满足大众的知情权,保证相关管理工作的公平公正,是为了更好地接受监督。但信息公开决不能以牺牲公众权益、个人隐私作为代价。
4) 黑客手段日新月异。2018 年上半年国家信息安全漏洞共享平台收集整理的信息系统安全漏洞累计7 748 个,较2017 年同期的6 653 个增长16.5%。高校的网络安全压力很大,相关系统的安全防护技术不足,缺乏专业的技术团队,无法应对无孔不入的网络入侵。
1.2 国内外研究现状
BARNES 和KOWALSKI[2]从行政管理视角探讨了隐私保护的相关内容,提出应在国家层面保护学生隐私,帮助教育部门提高保护学生信息的能力。TRAINO[3]从法律方面进行研究,如《保护学生权利修正案》 (PPRA) 《家庭教育权利和隐私法》(FERPA) 等,建立法律框架保护学生的隐私数据。国内关于高校隐私保护的研究刚刚开始,以介绍国外经验为主。王正青[4]介绍了美国政府如何通过立法和政策引导,加上行业协会的自律性政策,构建起大数据时代的数据隐私保护法规体系。周孟[5]从隐私安全基本需求、隐私等级设置、隐私安全风险3 个维度对大数据时代下教育隐私保护进行了讨论。刘梦君[6]从教育视角下的信息安全技术体系出发,总结了应用信息安全技术进行教育数据安全与隐私保护的流程。国内外学者一般都是关注某个具体方面的问题,例如网络安全、档案安全、技术防范、法律制度建设等,但隐私信息保护牵扯到众多部门和个体,涉及到法律法规、技术保护、宣传等诸多因素,只要有一个环节没做好,就会出现很大的漏洞。相关研究并没有给出在大数据广泛应用、智慧服务大量普及、犯罪手段不断升级的现实环境下,如何系统地避免高校相关隐私泄漏,从根本上解决问题,而不是头痛医头、脚痛医脚。本研究首创性把高校隐私保护作为一个整体来研究,对各个影响因素都提供了相关解决举措,给高校隐私保护工作的实际操作提供了新的思路和方法,在实际工作中可以参考借鉴。
2 高校隐私保护的可行性举措
2.1 完善法律制度
在相关侵权事件、案件频发,隐私权日益受到重视的背景下,立法机构应该加快制定独立的、高层次的《隐私权法》,系统、规范地保护公民的正当隐私权利。国外许多国家都制定了专门的《隐私权法》,可以借鉴这些法律执行的效果,取其精华、去其糟粕,制定符合中国国情的法规条文,明确个人信息的收集边界。针对个人信息挖掘和信息倒卖等违法行为,出台相应的惩罚措施、提高违法成本,形成法律震慑效应。
1) 制定单行的适用于不同领域的隐私权保护法,对政府部门、高等院校等行政事业单位收集、管理、利用个人信息过程中涉及的隐私行为加强规范。确立高校学生隐私权的概念,明确不同责任主体的权利义务,并具体规定高校学生隐私权的外延、高校对学生隐私权的保护规则和救济方式等。如在《教育法》中进一步规定学生在合法权益被侵害后应该去哪些机构申诉,申诉的处理流程、期限,申诉不被处理的责任,相关机构的处理权限等,完善申诉机制。
2) 制定“互联网+”环境下的信息公开制度或规章。各大高校对于人事管理、项目管理等都会制定适合本校校情的管理文件,但很少有高校会出台隐私保护的文件。管理人员实际工作中缺乏指导,往往把隐私也视为可以公开的信息。新形势下,有必要制定相应的隐私管理章程,指导隐私保护工作,区分信息公开和隐私保护,明确哪些信息属于学生隐私,哪些属于需要公开的信息。对于信息公开涉及到的个人信息,应制定规范、科学地审核发布流程,明确其公示方式及范围,防止隐私泄漏事件的发生。制定系统的隐私保护法律体系是一项长期的基础性工作,这一工作需要全社会关注和推动,从而使高校信息公开和隐私保护工作有法可依,从法律上保障高校人员的隐私权利。
2.2 设计完善的高校隐私保护组织架构
高校的信息发布、信息管理权限散布在不同的部门和院系,缺乏统一的组织和管理,权责不清、各自为政,这也是高校隐私泄漏事件频发的一个重要原因。为了更好地管理高校隐私,需要制定科学的管理体系,以完善管理—执行—审核—监督的机制。可以由校级领导牵头建立隐私保护工作委员会,包括各级部门/学院负责人、信息发布人、技术专家、法律专家等,统一负责学校的隐私保护工作,建立学校—职能部门—学院三级隐私管理架构,设立独立的监督岗位,甚至可以邀请校外人员。在各自职责范围内各级单位需明确哪些信息可以公开,哪些是不能公开的隐私,明确信息公开的流程、发布范围,并制定隐私泄漏的危机处理预案。各个部门可设立一名隐私保护专员,所有经过网络、移动平台发布的信息应经专员审核,确认是否有泄漏学校人员的隐私,通过审核的信息才可以正式发布。制定隐私泄漏追责机制,对于造成严重后果的人员要做出处分,触犯法律的移交司法机关处理。教育主管部门也应完善隐私侵害行为的处理程序、处理机构、处理措施及其执行等,完善侵害隐私权的责任制度。
2.3 加强宣传教育
“互联网+”时代,信息发布更容易,传播范围也更为广泛。但是,在高校,无论教师、学生、管理人员对于隐私的定义、隐私泄露的危害性、隐私保护相关的法律法规、如何防范隐私泄露、隐私泄露后如何弥补都没有很清楚的概念。隐私保护工作最关键的就是人,人的主观能动性因素调动起来才能保证隐私信息的安全。高等院校可以开设隐私保护的法律及网络安全知识课程,制作相关隐私保护宣传手册,利用入学教育、选修课、校外专家讲座等方式,使教师、学生、管理人员拥有尊重他人及保护自己隐私权利的意识,认识到侵犯他人隐私权的行为不只违反道德,更违反了法律。明白隐私保护的重要性,知道哪些信息属于隐私权的范畴,隐私被人利用会导致的严重后果;普及隐私权常识,教导相关人员如何在日常生活中保护自己的隐私,隐私受到侵害之后该如何处理,等等。
2.4 采取相关技术保护措施
1) 在公示信息时,可以采取一些技术手段,例如设置只有校内用户才能查看,屏蔽校外网络用户;公示期一旦结束就删除相关信息;银行卡号、身份证号码的若干位数字用X 替代,重要的公示信息用图片格式不用文字的形式展示,避免被网络爬虫工具自动收集。可以定期邀请信息安全领域的技术专家,组织对高校信息安全人员的培训,不断提升他们的技术防护水平。
2) 教育及信息管理部门应加快制定隐私保护的技术标准,基于统一的技术标准开展个人隐私保护认证工作。对于高等院校信息系统的开发人员、维护人员、使用人员,针对信息的收集、存储、传输、发布、使用等环节,应制定明确、具备可操作性的技术规范,规定相关产品必须采用身份认证、数据加密、权限控制等安全技术。在此基础上达到标准的系统开发商和服务商才可以为高校提供信息系统服务,根据开发商产品的安全性、使用情况制定不同的分级并动态调整,促进开放商直接竞争,鼓励开放商提供安全性更高的产品,淘汰技术含量低、容易泄露相关信息的系统产品开放商。从源头上降低隐私泄露的风险,提高学生隐私保护水平。
3) 引导相关的信息服务、软件行业协会和运营商出台隐私保护自律政策,承诺将会对相关高等院校的隐私信息严密保护,在法律法规的框架内监督这些信息的传输和使用,保证这些信息不会被加工、出售或者用于广告等用途。
3 结束语
“互联网+”时代,各类新技术、新平台的推广开启了重大的时代转型,这对高校学生的学习、工作、生活均产生重大影响。但科技是双刃剑,作为最活跃的群体,高校在校学生面临众多的隐私安全挑战。社会、学校、管理部门及学生需共同努力,做好隐私保护工作,创造安全有序、健康发展的“互联网+”时代,使科技在教育管理、学生的学习工作中发挥更大的积极作用,避免消极作用,实现社会效益的最大化。