魏 娜 欧伟一

近年来，大数据、云计算等智能化技术手段在高职院校广泛应用。2020年6月，教育部颁布《职业院校数字校园规范》提出职业院校要“构建一体化的校本人才培养工作状态数据管理系统”；2020年9月，《职业教育提质培优行动计划(2020—2023年)》提出实施职业教育治理能力提升行动；2020年10月，国务院印发《深化新时代教育评价改革总体方案》中要求“充分利用信息技术”开展教学评价，一系列的措施都体现了国家支持高职院校开展数据治理。

笔者所在的福州职业技术学院全面贯彻国家政策，通过对师生个人数据采集、挖掘、分析，对专业设置、课程体系、人才培养方案进行统筹规划，对教学标准、课程标准、实践教学进行数字化管理，继而达到教学诊断与改进的目的，构建教学“全生命周期”数据治理内部质量保证体系。

一、个人信息在教学“全生命周期”数据治理中的应用

福州职业技术学院把人才培养作为学校建设的首要任务，着力构建“生源质量分析”“培养过程监测”“培养结果诊断”的三位一体人才培养质量评价框架，以学生学习成果为导向OBE教育理念，以“措施制度+数据举证+师生行为+成效结果”的评价方式，通过公共数据比对、重复数据筛查等方式，对大规模、可核实、全程覆盖的师生教学行为数据进行评测，从学生入学开始即采用信息化手段进行数据收集，在培养过程中注重对学生学习行为进行分析，通过授课软件、教学管理平台等信息化手段， “以学生为中心、成果导向(OBE)、持续改进”的核心理念贯穿始终，构建了课堂教学闭环、课程闭环、培养期间闭环、离校发展闭环四层次监督反馈闭环，形成了教学准入、学生评教、领导听课、教学督导、院系评价、同行评价、自我诊断与改进七大常态化评价机制。

在此过程中学校、教师、学生等诸多信息通过招生管理平台、教学管理平台、师资管理平台、实训管理平台、授课软件等各类平台间共享，进行数据清洗，加工、运用大数据、云计算等信息化手段进行分析，从而将教育成果以数字化的方式呈现。

二、个人信息在教学“全生命周期”数据治理中的风险

教学“全生命周期”数据治理作为省级课题立项研究，前后历经5年左右的时间，在课题实践过程中，师生个人信息数据不仅包含了法律上的人格属性与隐私属性，而且具有法律上的财产属性及市场竞争属性，一旦进入市场，可以进行数据交易，甚至是精准营销、大数据杀熟。因此，无论是教学管理部门还是第三方评价机构，一旦拥有个人信息，或多或少地存在泄露个人信息的可能性。

在课题实践过程中，曾对学生进行问卷调查，共发布330份问卷，回收111份，答题率33.63%，发现49%的学生曾经历了各种不同类型的个人数据信息泄露，遇到了如下个人信息被侵犯之风险：

(一)违规收集个人信息

课题研究过程中，曾经遇到师生遭遇短信欺诈的案例。在开展信息化教学评价开始不久，接到学生投诉，收到短信，要求其到某网站开展教学评价，经学校查实，该网站并未经过学校授权，有违规收集学生个人信息之嫌。

(二)过度挖掘个人信息

学校在数据治理中采集数据不可避免，但是采集的范围却可以控制。有些学校在采集学生信息的同时收集学生家长的信息并进行归类，引发了争议。在《中华人民共和国个人信息保护法》颁布以前，针对App非法获取、超范围收集、过度索权等侵害个人信息的现象，国家互联网信息办公室从2020年开始依法对公众大量使用的部分App的个人信息收集使用情况进行检测，每隔一段时间就会通报一批违法违规收集个人信息的App。

(三)显名共享个人信息

未经法律授权或者本人同意的情况下，数据治理过程中所产生的个人信息提供给其他机构。2018 年 9月，江苏某学院出现2600名学生个人信息被泄露。由于个人信息在大数据时代背景下已被赋予隐私和财产等法律属性，因此，兜售个人信息形成了一个新兴的犯罪产业。

三、个人信息在教学“全生命周期”数据治理中法律保护的现状

(一)教学“全生命周期”数据治理中个人信息的法律依据

我国重视个人信息的保护，随着法治的发展，法律对个人信息保护不断完善，自2020年颁布的《民法典》开始，近年来，我国已经颁布实施各类法律法规对个人信息的权利义务进行保护：1.2020年，《中华人民共和国民法典》第六章对个人信息进行专章保护，对处理个人信息的原则、追责方式、保密方法等各方面进行规制[1]；2.2021年，《中华人民共和国个人信息保护法》为了合理挖掘和使用个人信息的数据价值，从管理者、使用者的义务出发，规制数据处理的活动过程[2]；3.2016年，《中华人民共和国网络安全法》从维护网络和国家的安全层面，维护网络国家、社会、个人法益[3]；4.2021年，《数据安全法》从数据采集、挖掘等活动入手规范，调整和保障个人、社会组织等权益[4]；5. 2019年，教育部等八部门联合印发了《关于引导规范教育移动互联网应用有序健康发展的意见》……国家从法律和规章制度等各层面，制定不同行业规范开展对个人信息的保护。

(二)教学“全生命周期”数据治理中利用个人信息法律规制存在的不足

尽管如此，在数据治理背景下，学校引入行业、企业进行数据分析，乃至教学“全生命周期”数据治理，依然有法律规范的缺失；强调个人信息处理结果保护，忽视信息处理过程的风险；侧重对责任主体的处罚，忽视对信息主体权益的救济。究其原因主要存在如下几方面：

1.数据自主决定权利的有限性

数据自主决定权利是指数据信息的主题对自身数据等信息处理、删除等可以支配的权利。由于权利主体掌握信息技术的不对等性，个人信息自决权在一定程度上受到限制[5]，特别是高校学生作为被管理者，无法了解自己的信息在哪些地方被哪些部门或者是第三方所使用，更无法主张对个人信息进行支配的权利。

2.人格权的数字化趋势

在大数据云计算时代，通过不同层面的数据信息，可以刻画出信息主体的人格属性特征，如隐私权、姓名权等，但这类人格权并非传统民法含义中的“人格权”，原本在传统法律上，人格权具更多提出对世义务主体的不作为，而不是其作为的法律后果,数字化人格权却需要义务主体积极地进行保护权利主体的法益。例如如何在保护权利主体隐私不受侵犯的基础上，实现公众数据和产业数据的价值共创，最大程度地释放数据红利，是数据治理风险防范的瓶颈。

3.告知同意机制有限性

在实践中，多数平台在采集数据时，采用了“告知——同意”机制，获得数据所有权人的许可使用个人信息数据，且“告知——同意”机制有使用便捷等优势，但也面临隐私政策冗长、晦涩，信息所有权人与平台之间信息不对等，存在信息二次利用却未获得信息所有权人的“告知——同意”授权等困境。

综上，现有的法律制度尚不能全面规范数据治理行为，且会因此而导致数据红利的挖掘，局限了数据治理向纵深发展，而管理上存在的缺陷，管理者也不应置之不理，乃是要在数据治理的公权力和私权利的博弈中取得平衡，来合理开发利用数据。

四、《个人信息保护法》视域下的保护方法

通过分析，可以看到风险防范的问题集中于如何将防范意识融入个人信息的收集清洗、挖掘、分析的过程[6]，增强各个接触数据的部门或者是企业的风险防范意识，对教学“全生命周期”数据治理的各个环节进行规制，防止数据泄露等风险。

(一)合法规制公权力

1.明确采集目的

《个人信息保护法》第六条明确规定“处理个人信息应当具有明确、合理的目的，”因此在教学全生命周期数据治理实施数据采集之前，应当明确个人信息采集的目的，必须符合法律法规的要求，即要求数据采集行为应当与处理目的直接相关，采取对个人权益影响最小的方式。也就是说在特定场景下的运用应当具有正当的目的性，并在许可第三方使用的过程中也要将此原则始终如一地贯彻。

2. 数据采集标准化

在数据治理过程中，应当在各部门各层级间建立规范的数据采集标准，这样有利于个人信息数据在不同的部门或者是不同的系统间可以直接引用，从而达到“数尽其用”的目标。例如，在生源分析系统里已经有学生的个人信息，那么在对在校生数据采集时可以延用这些数据，没有必要在录取前后各采集一次信息，招生系统采集一次，在校生系统采集一次，既浪费了人力与物力，又容易引起个人信息的泄露，实乃弊大于利。

因此，建议对个人信息的关键字段加以统一，明确采集标准与规范，如美国的肯塔基州在学校数据信息方面就建立了行业标准[7]，采用字段的形式对个人信息加密处理，不同字段代表含义不同，所有学校在建立字段时都必须符合统一化的标准，对于无论是学校还是教育管理部门后期的数据处理，消除数据壁垒有很大的帮助，有利于个人信息数据在“全生命周期”数据治理过程中发挥最大效用。

标准的建立至少应包含两大块内容：技术标准和业务标准。其中，技术标准指在数据标准中定义数据技术规范，用于数据质量核查等；业务标准指在数据标准中定义数据业务逻辑，明确数据采集的内涵和外延，用于数据正确性判断，保障数据质量。此外，还应制定管理标准即定义数据管理单位的数据责任，质量标准即制定可量化的指标并通过区块链等技术进行智能合约管理，有效地支持数据质量闭环管理。

3.挖掘数据价值

随着数据治理与大数据技术结合的不断拓展，由“物尽其用”延伸出的“数尽其用”，便成为支配教育管理部门数据治理的基本准则。建议采用数据智能，即大数据与人工智能的结合，在数据层面的智能化，数据驱动下的协同价值深层挖掘，在消除数据壁垒的基础上力求不浪费数据的使用价值，不重复采集数据做到“数尽其用”。

以学生学习成效为中心做数字化转型，建立场景、扩大连接并通过数据驱动实现生态协同及数据挖掘优化，实现数据迁徙、交叉共享、数据创新的综合性数据治理，通过数据在各个系统、场景的应用整合，进行数据交换、资源整合，各数据间、各系统间相互渗透、各应用场景相互支撑，支持各教学管理层面数据资产广泛应用。

4．数据脱敏处理

在数据采集的初始阶段，采用统一标准采集具有数字化人格特征的数据，并对其进行脱敏处理，隐藏属于个人敏感数据信息[8]，例如生源地无需用文字表述而用一些数据字段来替代，进行生源地数据分析。

5.加强数据质量管理

教育管理部门作为数据使用与管理者加强数据质量管理。通过对数据的质量开展专业评估、对评估结果进行量化分析、对数据质量进行分析评价、进而对数据追责等进行规范，从而达到根据数据标准提高数据质量，根据数据使用方的数据质量评价情况进行奖励，鼓励其提供高质量数据；同时要进行不同层面的数据质量评价，甚至在数据分析交换过程中自动开展数据质量评估管理，评估结果以量化方式展现，使各利益相对方对数据质量评估结果一目了然；数据质量报告，将质量评估结果反馈给采集院校，自动发布数据质量报告，评估结果将用于数据贡献指数及数据质量评价。此外，还需从数据规模、数据质量、数据热度等三个维度建立数据管理模型，对数据贡献指数进行评价，实现数据治理交换共享的量化评价。

(二)充分保护私权利

1.完善内部管理制度，数据采集透明化

学校作为数据的控制者要重视数据风险防范，可以看到，个人信息虽然具有数字化人格特征，在一定程度上具有人格性，但其实际并非为个人所控制，信息主体缺乏自决权，无法处分自己的数据。

透明化是指数据控制者应当以简明扼要的方式，明确告诉被采集数据的相对方，数据采集的目的等，并将个人数据信息的状态，如当前状态和历史情形，都提供给采集相对方，甚至是数据是否被提供给数据使用者以外的第三方。当数据使用的期限已过时，应当允许数据所有人删除信息或者对错误的信息进行更正。例如，学生毕业了，应该允许其删除在校期间的个人数据信息，或者是变更其学籍状态。个人信息由于其特有的人格属性，在制度保障上理应体现出个人信息的主体自决权能，即承认个人信息的“有价性”“可处分性”等个人信息的私权属性[9]，并体现其五方面的权利：知情权、查阅权、更正权、变更权、封存权。

2. 加强数据质量监控，信息主体对数据可控

根据《中华人民共和国个人信息保护法》第四章的规定，个人对其个人信息的处理享有知情权等权利。对于不准确的数据信息，可以要求数据使用者删除、变更或者进行补充。可以看出，这一原则不仅会运用在对个人信息采集的过程中，还会运用于个人信息的储存和应用等流程。

因此，要保证个人数据信息的自主可控，学校层面应通过安全、可靠、防篡改的技术体系提高数据质量，通过存证确权、产权溯源保障数据权利，通过隐私计算保障数据共享，通过透明监管的机制保障数据流动。

3.增强个人法律意识，开展事后法律救济

在信息化评价的实践中，笔者发现不少学生用户甚至是教师用户对于个人数据信息的保护并不重视，随意向他人透露密码。由此可以看到，无论学生还是老师，实际上他们并未真正地认识到其个人数据信息的价值所在。因此，笔者建议职业院校应该定期组织开展网络安全法制讲座活动，在活动中向师生普及个人数据信息的概念及其覆盖范围，加强其对个人数据信息的重视程度，强化其法律保护意识。此外，还可在校园活动中以学生个人数据信息被侵犯的相关案例为媒介和途径，引起学生对个人数据信息保护的重视，帮助学生建立数据信息被侵犯的危机意识。

五、结语

综上所述，数据治理是职业院校内部质量管理之趋势，运用大数据信息化手段对师生的教学行为、学习行为进行分析，亟待进一步完善现行法规及管理制度，保护个人数据信息；相关数据的使用部门，如教育行政管理机构、学校等，需要进一步发挥监督使用和数据管理职责，完善数据采集标准、质量标准以及数据运用规范等，强化规制个人数据信息合法使用；职业院校则需制定校内规章，明确采集、使用、管理职能，并强化个人信息保护意识，以期全方位多层次合理地使用合法手段保护个人信息。