南京信息工程大学 南康

近些年，在信息时代的大背景下，个人信息的收集与使用愈加广泛。在此过程中，部分高校为了更便利高效地开展管理工作，加快了校内信息化建设，这也相应地产生了诸多个人信息保护问题。例如，个人信息过度收集、并且在管理过程中由于失误导致信息泄漏，进而侵犯学生合法权利。我国《民法典》第111条确认了自然人的个人信息受法律保护，随着《个人信息保护法》的生效，《民法典》中的相关规定被进一步完善与落实。在此基础上，我们应当思考：高校在其信息处理过程中的诸多问题能否通过《个人信息保护法》相关规定加以规制？如何进行规制？在规制的同时如何实现管理效率与信息安全、隐私的平衡？

一、高校个人信息问题现状

在高校加快信息化建设的大背景下，高校个人信息问题愈发突出，这一问题主要表现为三个方面。其一，高校在收集信息时，存在信息过度收集现象，即学生信息隐私保护问题。其二，高校在处理信息过程中存在技术漏洞、管理混乱等问题导致个人信息存在泄漏的安全隐患。最后，现阶段，法规范在高校这一特定领域内还存在诸多适用与冲突问题有待解决。接下来笔者将展开论述：

（一）信息隐私问题

于2021年11月1日，《个人信息保护法》生效，其对个人信息处理者的信息收集范围、利用目的、使用原则等做内容做出规定。例如，《个人信息保护法》第6条规定：收集个人信息，应限于实现处理目的的最小范围，不得过度收集个人信息。该条规定直指近年来争议较大的刷脸进校问题，人脸这一敏感生物信息，在高校管理活动中是否有收集的必要？高校收集人脸信息是否超出《个人信息保护法》第6条所表述的：应限于实际处理目的的最小范围？

为明确高校收集了哪些信息，这些信息是否存在被过度收集的情况，笔者针对高校学生个人信息收集情况，实证调查如下：

以五所高校学生信息管理系统中收集的信息为例，将这些信息做出如下区分：本人基本情况信息，例如姓名、性别、民族等；家庭基本情况信息，如父母姓名、就业单位、政治面貌等；本人健康信息，如体检情况、病史等；本人学业信息，如课程成绩、等级考试成绩、奖惩情况；本人部分生物信息，如人脸信息、指纹信息。鉴于2020年以来爆发的新冠疫情，疫苗接种信息、行程信息等公共安全相关信息也纳入了高校信息采集的范围。在这些信息中，的确存在高校正常学生管理工作所必需的部分信息。但其他非必要信息的收集管理工作更值得我们深入思考。例如，学生已经符合《高等学校体检标准》，被高校录取的情况下，高校是否依然有必要收集体检标准之外的学生本人健康情况这一敏感个人信息？基于什么样的使用目的收集？

（二）信息安全问题

国内大部分高校均采取了以教学单位和行政机构为核心的管理结构，学生个人信息在教学单位和行政机构之间双向流动。

大部分高校管理方式以教学单位为基础，故笔者以学院为调查单位，以单个学生为调查对象，一对一发放相关问卷共40份。在笔者本校，收有效问卷8份，其余32份问卷分别取自二十余所不同公办高等院校的近三十个学院。在问卷中，笔者调查了相关高校信息收集范围、处理方式、处理目的并对受调查者针对这一现象的看法和意见做了专门性收集。

问卷显示，以“QQ”“微信”为核心的文件、信息传递方式是大部分高校的主要信息流通途径。这一途径虽具有便捷性，但其较高的安全风险同样值得注意：其一，能直接接触相关个人信息的账号存在安全风险，如账号盗取、他人登陆等；其二，大部分高校以“QQ”群为中心展开学生工作，此类“QQ”群聊中，人数较多，因此难以逐一核实身份，同时也伴随着信息过度公开问题：即本该由管理者掌握、并负有保密义务的信息，为提升填报、核查等工作的效率，被公布在“QQ”群中，且未及时删除，这一现象不仅增加了信息安全风险，同时也侵犯了学生隐私。我国教育部办公厅于2017发布的要求各高校进一步规范学生资助信息公示工作的通知即针对这一乱象；其三，因这种粗放管理方式易操作、无门槛，甚至导致了冒充校方管理人员非法收集学生个人信息的情况出现，其严重威胁了个人信息安全。问卷结果显示，在笔者所调研的四十个高校教学单位中有二十二个存在综上问题，占比达到55%。足见高校个人信息安全问题之严峻。

（三）法规范问题

在《个人信息保护法》出台前，主要包括《网络安全法》《教育法》在内的部门法虽可为高校学生个人信息的法律保护提供一定支持,但在法律适用和法律制度层面均存在不足。更为重要的是，我国高校虽然可依照《高等教育法》自主设置章程和管理制度，但截至《个人信息保护法》生效前并无高校出台学生个人信息保护的相关政策。综上所述，高校信息化建设加快的背后是高校个人信息保护问题的突出，要想对两者做出平衡，必须明确高校这一特殊场景下学生个人信息权的权利属性。

二、高校学生个人信息的类型化

高校学生个人信息因其特殊性而成为本文的研究对象，为实现高校学生个人信息最终保护路径之建构。本文将在高校学生个人信息特殊性的基础上，对高校学生个人信息的应用场景及高校学生个人信息本身做出类型化的区分。

（一）高校学生个人信息应用场景类型化

欲探明高校学生个人信息的保护路径，作为管理主体的高校和被管理的学生之间可能存在的场景首先应得以明确，只有这样才能捋清高校在学生个人信息保护中处于何种地位，享有何种权利，应当负有何种义务。

1.内部管理场景

依《教育法》《高等教育法》和《学位条例》等法律法规，高校是经国家授权的，行使国家行政权力或公共管理权利，进行相应管理活动的事业法人，具备行政主体资格。在本文所研究的高校管理领域内，高校基于教育行政权实施教育管理行为，属于典型的公法上的行政执法行为。在此意义内，高校对学生个人信息的管理权责划分可按照《个人信息保护法》《高等教育法》等相关法律法规进行建构和明确。

值得注意的是，依《普通高等学校学生管理规定》第四十条规定：学校应建立和完善学生参与管理的组织形式，支持和保障学生依法、依章程参与学校管理。该条明确赋予了学生一定的自治权利，在些情况下，学生不再作为纯粹的被管理者，基于该条规定，学生具备了一定的行政主体地位，不再是单一的行政相对人。因此针对这一过程中可能涉及的学生个人信息保护问题，高校与学生之间对个人信息保护的权责划分需要相应做出调整。

学生自治具体表现形式可以区分为学生组织和学生社团。

在一般情况下，学生通过办公室助理、学生会等学生组织形式参与高校的内部管理活动，所涉及和处理的学生个人信息仍旧是在高校“教学单位”——“行政机构”二元结构框架下，其行为属于辅助管理行为，其信息隐私问题和信息安全问题与前述情况并无区别，亦无需作特别阐述与规制。需做出区别的是学生社团这种学生组织形式。

2.涉外管理场景

近些年，随着校园活动的丰富，由学生自发成立和组织学生社团等日益繁多，各高校的学生社团数量众多，且以高校学生兴趣为导向，学生参与度高，覆盖面广。但因其庞大的数量，在实际管理过程中，很难得到团委的具体指导与支持，它们基于举办活动、维持运作的资金需求，其存在向部分商家谋求“赞助”的行为。，在此过程中，作为商家提供资金支持的交换条件，学生社团需要举办相关活动，或者以自身乃至他人的个人信息的财产性价值作为交换，因为学生个人信息的特殊属性，个人信息安全风险凸显。

在中共教育部党组、共青团中央印发的《高校学生社团建设管理办法》（教党发〔2020〕13号）中明确了学生社团的性质为群众性学生团体，同时也明确了高校对学生社团的管理责任与义务，例如组织建设，加强领导等。部分高校如南京理工大学、南京财经大学、南京信息工程大学等同样根据《普通高等学校学生管理规定》（中华人民共和国教育部令第41号）和《高校学生社团管理暂行办法》（中青联发〔2015〕39号）等相关规定制定了学生社团管理办法。但值得肯定的是，学生社团属高校管理，而在学生社团面临信息风险时，学校以何种方式承担何种责任，需要在保护路径中得到明确。

基于综上区分，高校与学生的关系也可以随之确定：在高校行使管理权情况中，高校是纯粹的行政主体，其与学生的关系即单纯的管理与被管理，此时高校处于主导地位，需要按照《民法典》和《个人信息保护法》的要求对学生个人信息做出严格保护；学生参与治理的情况则相对复杂，在此状况下，高校与学生间虽然存在管理关系，但是学生同样也被赋予了部分管理权利。在此部分自治基础上，学生需要对其决策承担责任，高校也同样存在类似民法上的安保义务，二者的责任配比则依具体情况而定。

（二）高校场景下学生个人信息类型化

为高校学生个人信息提供保护，如果按照普通信息分类进行一般性处理，势必导致诸多不便和保护效果的减损。因此对高校领域内个人信息进行基于其特征的特殊分类，并在此分类的基础上，针对不同类型的信息制定专属的保护规则，才有可能实现对高校学生个人信息更加周全的保护。

1.可推测信息与独立信息

以学号为例，作为高校学生身份的核心、校园内可直接识别特定学生的唯一号码，高校的学号安排具有规律性。通常以年级、专业、班级、序号的体例构成，并且存在初始密码的设定，在校内系统中，此特征通常可以帮助行为人在未经同意的情况下获得他人信息，虽然此一行为可能并无特定针对对象（初始密码有可能已被修改，但同样存在例外）。这一特征在信息密集的高校场景中，将导致少量有限的个人信息的价值也往往大于普通信息，换言之，学生个人信息一旦泄漏，可能导致严重后果。

基于综上所述特征高校个人信息易分为可推测信息与独立信息。

高校内，最常使用的身份识别方式有二：学号、居民身份证号（包括护照、港澳台通行证等）。其中以学号为核心，关联信息包括年级、院系、专业等高校内特有的个人识别方式。这一信息的泄漏影响将不止局限于个人，有规律的学号排列方式将导致一条泄漏，一个系部受其影响的可能，故这一部分信息应着重加以保护。

以居民身份证号为核心，其关联信息包括手机号码、户籍信息等一般社会管理信息，这一部分信息的构成方式不是以高校为中心，而是以国家户籍管理、电信管理等制度为核心，因此其泄漏之影响仅局限于个人而不至殃及高校中特定集体的信息安全，故对这部分信息加以一般性保护即可。

2.可公开信息与非公开信息

在高校的日常管理活动和教学秩序中，公示是一项常用且必需的制度，其适用范围涵盖了奖学金、学业预警、学生干部选任等校园生活的各个领域，同时也是学校管理行为的重要组成部分，并且学生作为被管理主体，也更关切这类与自身关联密切的公示信息。再者，根据《个人信息保护法》第28条之分类，生物识别、医疗健康、家庭状况等敏感个人信息也可能处于高校收集范围甚至公开的范围之内。这一制度决定了学生敏感个人信息的公示与否迫切需要更加严格的区分。在高校工作实际中，可公开与否，可能存在较大争议。例如如近期热议的“复旦大学三名学生在校外嫖娼被开除学籍”一案，校方依据《复旦大学学生纪律处分条例》开除三名学生并无不妥，但是对其原因加以公示却引起了截然不同的讨论。再者，如前文提及的《教育部办公厅关于全面清理和规范学生资助公示信息的紧急通知》同样针对这一问题。

结合《个人信息保护法》对敏感个人信息的规定，笔者认为：一旦公开，就容易导致自然人人格尊严受到侵害或者、人身财产安全受到危害的个人信息属于隐私信息，并不宜公开。例如，接受国家资助的贫困生的家庭情况信息，如若公示，极有可能对其人格尊严造成损害，这一部分信息即非公开信息，这一分类也较为符合教育部《教育部办公厅关于全面清理和规范学生资助公示信息的紧急通知》之精神，这部分信息应到得到高校的重视与特殊保护。当然这并不意味着公开信息即无须保护，公开方式、公开范围、公开可能造成的影响均是高校行权时所必须做的考量。

综上所述，高校在公示学生个人信息时，必须明确公开内容与范围，如贫困生公示中，教育部即规定，仅公示必要的姓名、学号等，家庭情况、个人情况等涉及学生人格尊严的内容不得公开。与此同时，高校有义务保障这一部分之信息不为学校以外的单位或者个人获取。

三、高校个人信息保护路径之建构

在明确了高校个人信息的权利属性、特征及分类、应用场景后，笔者力图提出一种“一主多辅”的保护路径。一主即以“结果保护”为主以法律法规授权的高校自治地位和章程创制权为核心，结合各高校实际管理情况制定专门的高校《个人信息保护管理办法》；多辅即以“过程保护”为主，通过赋予学生救济性权利、发挥民事司法裁判的个案指导功能等手段，从而实现学生个人信息之保护。笔者将在下文就此做出详细论述。

（一）“结果保护”：以制定个人信息管理办法为主

在明确结果保护的路径之后，笔者将结合《个人信息保护法》《民法典》等法律法规及上文对应用场景和个人信息分类的论述，对高校《个人信息保护管理办法》提出若干原则性规定：

1.内部管理场景

（1）高校为履行职责处理个人信息，应依照法律、行政法规规定的权限、程序进行，不得超出履行法定职责所必需的范围和限度。此处的权限、程序和必要范围及限度应结合隐私信息与公开信息之分类做出考量：涉及个人隐私信息之收集，高校应当审慎对待，结合《个人信息保护法》第6条之规定将其限于实现处理目的最小范围，应明确该隐私信息收集之必要性，不得过度收集；涉及公开信息之处理，高校应制定切实的流程与制度，并结合《个人信息保护法》第7条之规定明确为何公开，如何公开，什么范围内公开，并尽到告知义务。（2）高校处理个人信息过程中，应当保证学生校对自身信息核查的权利，确保保证个人信息质量，以避免因个人信息不准确、不完整对学生造成影响。这一原则是对《民法典》第1037条及《个人信息保护法》第8条之落实，高校因其管理工作之特征，学生个人信息将涉及其在校园生活的各个方面且使用频率较高。因此高校有义务保证信息的正确性，同时这也是对管理效率的提升。（3）高校应当采取必要措施，加强对个人敏感信息保护。这一原则是对《个人信息保护法》第9条要求的落实，同时也是高校信息隐私性和关联性这两种特征的必然要求。（4）高校在信息处理过程中，应当做到随用随取，用后即删。这一原则是基于高校信息的使用体制做出的规定，综上所述，绝大部分高校采用“教学单位”—“行政机构”的二元管理体制，数以千百计的大量个人信息在两者之间双向流动，任由这部分信息在网络上存在，将极大地增加个人信息泄漏风险，所以即使可能牺牲部分管理效率，但这一原则要求所获得的个人信息安全收益将远超于损失的管理效率。

2涉外管理场景

（1）严格限制学生使用高校内特有的识别方式参与涉外活动，如有需要，需向校方进行报备。这一规定基于可推测信息与独立信息之划分，如前所述，高校领域内学生个人信息，因其可推测性与密集性决定了其更高的信息价值与更严重的泄漏后果。学生使用高校特有的个人信息参与社会活动其影响将不再局限于个人，而是对一定范围内诸多学生的公益造成了影响，因此需要严格限制。相对而言，学生使用个人独立信息参与社会活动，应视作个人权利。在无显著风险之情形下，高校不应对个人自由加以限制。笔者认为，上述原则性规定足以为高校个人信息提供一个完善的保护框架，各高校应结合自身实际情况，在不违反《民法典》与《个人信息保护法》的前提下，适当做出补充即可实现个人信息保护之目的。

（二）“过程保护”：多种手段构成的辅助性保护

1.提升技术保障

技术手段通常是高效解决问题的办法之一。如本文第二部分中信息安全所述，依本文有关调查，“QQ群”往往是个人信息收集和传递的重要工具，但“QQ”作为一款社交软件，其服务对象广泛，使用主体多元，同时存在账号泄露，信息泄露等多种风险，并不是信息收集、公布的理想软件。高校可以基于自身的信息化管理平台，构建一套具有严格加密标准的信息收集和公布系统，从而最大程度上减少信息泄露风险。笔者认为，完善的管理体制同样属于必要的技术保障，并且可以借此机会在保证个人信息安全的基础上，最大可能地实现高校管理。正如本文所分析的，目前大部分高校均采取“教学单位”——“行政机构”的二元管理体制，信息需要在教学单位内部按照班、系、院的层级流动，再由提出相应信息需求的行政部门加以处理，在这一固有体制上实现个人信息之安全保护确有可能降低管理效率。对此高校可以结合实际情况，减少部分信息的流通环节，例如对少量、隐私性可以直接由相关行政机构向学生收集。

高校工作中因学生个人信息保护丧失的部分管理效率完全可以通过软件技术和管理技术之提升加以弥补，甚至更加高效。

2.受限制的学生个人信息救济性权利

《个人信息保护法》第四章中规定了个人在个人信息处理活动中的权利，这部分权利是否能在本文场景中应用？如何应用？这一问题之回答将成为能否给予学生救济性权利的基础。

综观《个人信息保护法》的立法过程，不难体悟出立法者认为个人信息权利应受公益之限制的立法精神。体现如下：《个人信息保护法（草案）》第三十五条的表述为：国家机关为履行法定职责处理个人信息，应依照本法规定向个人告知并取得其同意；法律、行政法规规定应当保密，或者告知、取得同意将妨碍国家机关履行法定职责的除外。从常见要求可知，国家机关为履行法定职责处理个人信息，需要“告知+同意”，一定程度上能提高国家机关处理个人信息的透明度。但是最终版本的《个人信息保护法》表述为国家机关为履行法定职责处理个人信息，应依照本法规定履行告知义务；有本法第十八条第一款规定的情形，或者告知将妨碍国家机关履行法定职责的除外。对比《个人信息保护法》第十三条第一款之规定，明显可以看出，立法者在此对个人权利加以了适当的限制。

依此立法精神，前述问题之答案也呼之欲出：《个人信息保护法》第四章中个人在个人信息处理活动中的权利的应当适用于本文场景，但是其中部分权利应当受到限制。对此,笔者稍作区分：（1）无需限制的权利。例如《个人信息保护法》第四十六条规定的个人对其信息的校验权，这即是对《民法典》相关规定的落实，也是对本文在高校个人信息保护办法中1.2原则的落实。相类似的权利还包括《个人信息保护法》第四十五条的查阅权和复制权、第四十八条的请求解释权。（2）需要受到部分限制的权利。针对无需限制的个人权利，高校乃至司法实践都应当对之加以周全的保护，以保证学生的个人信息安全以及相关权利，至于需要部分限制的个人权利，相关各方应当针对为何限制，限制之后果，以及在限制之情况下发生权利受损情况下的责任分配问题做出详细研究，结合实际情况，做出合适的处理。本文立足于高校这一特殊领域，以有效保护高校学生个人信息之办法的提出为目的。针对高校个人信息保护所面对的问题，结合高校个人信息特征与分类以及不同的应用场景，提出了以设置高校个人信息管理章程为主，三种技术和民法手段为辅助的保护方式，以期为高校领域内的个人信息保护提供参考。