《中华人民共和国个人信息保护法》在高校学生工作实践中的应用
2024-04-14徐天然
徐天然,王 慧
(西南财经大学 会计学院,四川 成都 611130)
随着近年来高校学生工作的数字化、信息化发展,学生的个人信息被获取、被泄露、被滥用的行为或现象越来越普遍[1]。不少高校学生工作者在交流中提及,在工作中自己要处理并保管大量学生个人信息,若不留意,就可能因分寸把握不当引发学生的不满[2]8,甚至有过被投诉的经历[3]17。据既有的研究总结,常见的学生信息保护问题包括助学金评定时对学生隐私保护不足、心理咨询中泄漏个人信息、通报批评的范围把握不当、超范围搜集个人信息、寝室突袭检查等[4]。针对这些问题,高校既有保护机制的设计更多只停留在原则层面,缺乏权威性和可操作性[5]。同时,我们也观察到,如果过度强调学生信息保护,学生工作的正常行政效率也会受到较大冲击[6]。
《中华人民共和国个人信息保护法》(以下简称《个保法》)于2021年11月1日正式施行,该法是我国第一部系统、全面保护个人信息的专门性法律,为个人维护其合法权益提供了保障,也为规范利用个人信息提供了指引[7]。通过文献搜索,能发现该法的应用研究大多集中于大数据、云计算、互联网等数字行业,尚未看到公开发表的在高校学工场景下适用该法的学术文献,但不少高校召开了专题学习会议,牵头学习的部门大多为高校信息中心。鉴于高校信息部门扮演的是处理学生信息的工具角色,其技术指令往往遵循学生工作的管理需要[8],本文即从学生工作角度出发探索《个保法》在学工场景下的具体适用。
一、《个保法》的立法背景与核心要求
(一)立法背景
《个保法》颁布的背景主要有三点。第一,诸多相关单行法陆续出台。从2016年起,《中华人民共和国网络安全法》《中华人民共和国电子商务法》《中华人民共和国数据安全法》等涉及个人信息保护的单行法律陆续出台,再加上《中华人民共和国民法典》《中华人民共和国刑法》相关章节的规制,关于个人信息保护的法律矩阵已经形成,但仍以碎片化的方式呈现,相关规范急需专门立法加以整合与明确[9]。第二,大数据行业发展迅猛。随着移动通信、互联网、人工智能等科技的发展,近年来基于大数据挖掘与运用的新兴经济体蓬勃发展,深刻改变了人们的生活方式,但也带来了个人信息数据的无限索取与无序利用,对个人隐私保护带来了严重威胁[10]。第三,国外相关立法趋势明显。近年来,国外关于个人信息保护的相关立法陡然加速,新增的个人信息保护法比过去几十年的数量都要多,逐渐形成了以欧盟《通用数据保护条例》(2018年制定)等为代表的国际通行规范,以法律的强制力督促政府机关、商业实体、社会组织优化自身的合规管理与内部控制[11]。
从制定背景不难看出《个保法》的立法目的至少包括三点。第一,整合既有成果。充分吸收借鉴分散在各处的既有法条规范与制度框架,注重法律政策的平稳衔接。第二,聚焦问题解决。从行业发展的现状出发,着力平衡个人信息保护的需求与信息数据的有效利用之间的关系。第三,顺应国际标准。秉着兼容并包的理念,积极吸收世界实践经验并对标国际标准,以个人信息保护水平的提升促进数字经济领域的国际合作。
(二)核心要求
《个保法》分八章共七十四条,总计九千余字。受制于篇幅与本文主题,下面仅对可适用于高校学生工作的重要条款与制度进行梳理与解读。
(1)个人信息的概念。个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。这一概念所涵盖的范围极广,意味着与个人相关的信息都属于个人信息,不仅仅局限于姓名、身份证号、手机号等。仅将匿名化信息排除在概念范围外,所谓匿名化,是指个人信息经过处理无法识别特定自然人且不能复原的过程。(2)个人信息的处理。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。可见,不仅常见的收集、发布行为需要遵法谨慎,加工、删除等行为也都应该强化审慎义务。(3)处理个人信息的原则。处理个人信息的原则包括合法、正当、必要、诚信、公开、透明,重点是必要原则。必要原则体现在“两个最小”:处理方式对个人权益影响最小,收集个人信息限于实现处理目的的最小范围。(4)处理个人信息的合法性基础。一般情况下,处理个人信息的前提条件也即合法性基础为取得个人的同意,但《个保法》也列明了包括履行法定职责等六种例外情形,在例外情形下,不需要取得个人同意。(5)利用个人信息进行自动化决策的规则。应当保证决策的透明度和结果公平、公正,如通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。(6)个人在个人信息处理活动中的权利。《个保法》设专章保障个人权利,核心内容包括个人对其个人信息的处理享有知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理,有权向个人信息处理者查阅、复制其个人信息。(7)个人信息处理者的义务。个人信息处理者应当制定内部管理制度和操作规程,对个人信息实行分类管理,采取相应的加密、去标识化措施,定期对从业人员进行安全教育和培训,也要对处理个人信息遵守法律、行政法规的情况进行合规审计。
二、高校学生工作适用《个保法》面临的难题
毋庸置疑,《个保法》作为全国人大常委会出台的法律,能为高校学生工作在个人信息保护方面提供权威的遵循与指引,有助于提升学生对个人信息保护的安全感,也有助于学生工作管理水平的不断提升。然而,高校学生工作由于其固有特性、历史实践等,在适用《个保法》过程中恐怕会面临诸多难题。
(一)与惯常实践冲突
最直接的冲突莫过于学生信息的收集范围,以学生卡片为例,大多数高校在学生进校之初即要求其填写相关个人信息,并以学生卡片的形式存储于档案馆,这些可谓是学生档案的基础底稿。这类学生卡片的内容一般不仅包括学生姓名、联系方式、身份证号等基本信息,还包括学生父母工作单位、职务、工资收入等家庭信息。《个保法》第六条确立了“两个最小”原则:“处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。”此处收集学生的家庭信息,是否与高校的教学或管理目的相关?有学生工作者可能指出,了解学生的家庭背景及家庭收入情况与高校资助工作密切相关,能够用于判断贫困生身份是否成立[12]。如按如此逻辑,收集统计家庭的收入即符合“实现处理目的的最小范围”,那统计父母单位职务信息是否超出了“最小范围”?另外,学生资助政策一般依申请制,大多数学生并不需要申请资助,则该项家庭信息统计超出了“最小范围”。当然,我们也可以从因材施教[13]、强化家校联动等角度去论证收集统计的必要性,但毫无疑问,高校应当重新反思梳理学生信息的收集范围,避免与《个保法》的规定发生显而易见的冲突。
(二)影响行政效率
高校学生工作繁杂,“上面千条线,下面一根针”,各个行政职能部门的工作任务,凡是跟学生工作相关的,往往都需要由辅导员等学生工作者最终落实完成,更不用说还有谈心谈话、主题班会等常规育人工作。因此,行政效率尤为重要,否则将陷于事务性工作的汪洋大海之中[14]。《个保法》第十三条确立了以“取得个人的同意”为原则,其他六种情形为例外的信息处理合法性规则。对于高校而言,如果不能将相关学生信息处理工作解释纳入某一例外情形,那“取得个人的同意”带来的工作量势必严重影响行政效率。纵观六种例外情形,“为订立、履行个人作为一方当事人的合同所必需”“为公共利益实施新闻报道、舆论监督等行为”“法律、行政法规规定的其他情形”这三种情形与高校学生工作基本无关联或属于兜底条款;“为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需”“依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息”这两种情形适用的范围有限,显然不能涵盖学生工作的大部分常规场景;唯一可能普遍适用的情形即“为履行法定职责或者法定义务所必需”。然而如何理解“法定职责”或者“法定义务”?高校的法定职责或法定义务又包括哪些?若仅从全国人大制定的法律层面讨论,我们可以尝试从《中华人民共和国教育法》和《中华人民共和国高等教育法》中寻找答案,如《中华人民共和国教育法》第三十条提及的“学校及其他教育机构应当履行下列义务”,其中包括贯彻国家的教育方针、维护受教育者的合法权益、以适当方式为受教育者及其监护人了解受教育者的学业成绩及其他有关情况提供便利等;再如《中华人民共和国高等教育法》第三十一条规定“高等学校应当以培养人才为中心,开展教学、科学研究和社会服务”。可以看出,法律层面的规定非常笼统,将学生信息处理工作归入任何一项职责均属牵强,不具有说服力。若将法定职责或法定义务的来源扩展至部门规章,依据教育部《普通高等学校学生管理规定》第九条、第三十九条、第四十九条等规定,高校负有学籍审查、秩序维护、表彰奖励等职责,这些足以囊括大部分学生信息处理工作。鉴于学理上尚未有统一的观点,出于谨慎考虑,凡是跟学生信息处理相关的工作均可通过“取得个人的同意”确保工作合法性,虽然工作方法上可以借助信息工具等进行整体优化,但这对行政效率的消极影响是直接且显著的。
(三)工作可能陷入僵局
承接上文,若学生在“取得个人的同意”工作流程中答复“不同意”,相关学生工作该如何推进?我们看到,依据《个保法》第四十四条,除法律、行政法规另有规定外,学生确实“有权限制或者拒绝他人对其个人信息进行处理”。面对工作僵局,可能的走向有两种。第一种即通过动之以情、晓之以理的思政工作将“同意”的好处与“不同意”的弊端加以阐述。例如,在心理普查工作中,若学生拒绝填写问卷或拒绝配合心理回访工作,我们可以将心理健康的意义、学习心理知识的好处、心理健康的负面案例等进行讲解,同时向学生解释相关的保密原则和保密措施,最终征得学生的同意。第二种即学生不为所动,坚持不同意,则问题是学校是否有权采取相关行动或措施。《个保法》第十六条规定“个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外”,这一条说明,学校不能因为学生不同意而简单粗暴地限制或剥夺其在校学习、生活的权利,如前文述及的心理案例,了解学生的心理状态尤其是心理问卷中的各类个人信息,并不是高校培养人才、实施教学所必需的,因此并不能否定学生在读享有的相应权利。当然,当学生不配合相关信息的收集工作,可能严重影响学校教育教学秩序、生活秩序以及公共场所管理秩序时,则另当别论,高校完全可以动用处分权进行处分。无论如何,我们不可否认的是,《个保法》赋予学生的选择权将增加相关学生工作的难度,某种情况下甚至会削弱校园安全把控,虽然在极端情况下,我们也可以援引《个保法》第十三条第(四)款“紧急情况下为保护自然人的生命健康和财产安全所必需”绕开学生的选择权进行强制处理。
三、实现《个保法》与高校学生工作的有机衔接
虽然挑战和困难不少,但不能“因噎废食”,更不能“拒之门外”,贯彻落实《个保法》是高校学工场景下提升学生信息保护水平的必然要求和法律责任。法律的运行有一个适应和协调的过程[15],应结合高校学工实际实现《个保法》的有机衔接,具体而言,应做到《个保法》与学生工作的思想贯通、规则落实与行为融入。
(一)思想贯通
《个保法》第一条开宗明义:“为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,根据宪法,制定本法。”这说明《个保法》的立法宗旨包括两个方面,一方面是保护权益,另一方面是促进信息的合理利用。无论是教师还是学生,从思想上充分认识这两者的辩证关系,对《个保法》的贯彻落实至关重要。对学生工作者而言,《个保法》并不单纯是工作中加强学生信息保护的“紧箍咒”,在符合《个保法》相关要求的前提下收集储存学生信息大数据,能够成为做好学生工作的有力工具,如《个保法》第二十四条提及的“自动化决策”、第二十六条提及的“个人身份识别”,以及实践中正在加快普及的“智慧学工”等工作应用平台,都为学工场景下的统计、追踪、分析、决策工作提供了助力,提升了工作效率。对高校学生而言,《个保法》也并非逃避学校日常监管的借口或理由,诚然,《个保法》赋予了学生保护个人信息、维护个人隐私的诸多权利,但也确立了个人行使权利的边界与底线,如《个保法》第十三条确立的例外情形、第七十二条明确的适用范围等。应当帮助学生认识到,正因《个保法》对信息处理活动加以规范,学生更应该放心配合学校进行相关信息的收集与利用[16],从而享受到数字时代高校学习生活的便利与安全。
(二)规则落实
《个保法》的落实应与高校学工既有制度规范结合起来,可通过修订和完善相关校规校纪体现《个保法》的最新要求与精神。
1.旧规的完善。《个保法》的相关规定对高校学工的既有制度与实践造成了一定冲击,提出了更高的工作要求,学校应重点关注以下几点。(1)限缩信息收集范围。应牢牢把握《个保法》第六条确立的“限于实现处理目的的最小范围”原则,在常见的诸如新生登记、贫困生评定、就业摸排等学工场景下,从信息收集的目的出发,严格限缩信息收集范围,凡是不相关的或多余的信息均应排除在收集范围之外。(2)敏感个人信息制度的完善。《个保法》第二十八条到第三十二条确立了敏感个人信息的概念及一系列处理规则,根据其中“一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息”的概念描述,应当重点关注学工场景下的人脸识别信息、行踪轨迹信息、违纪处分信息、心理健康信息、成绩排名(主要涉及末尾排名及挂科记录)信息、贫困生信息等。同时依据“只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息”的保护规则,结合高校既有的政策,分类型、分场景做好用途管控与制度优化。比如,行踪轨迹是新冠疫情爆发以来各高校普遍向学生收集的个人信息,但疫情结束后,特定的目的已经不再成立,则高校应该停止收集该类信息;再比如,虽然不少高校的违纪处分需要张榜公布,但高校完全可以禁止除按程序以外的其他形式的公示与传播行为,以免对违纪学生造成人格的歧视与侮辱。(3)修补安全制度漏洞。《个保法》赋予了学生在面对高校信息处理活动(比如收集、加工、公开等)时一定程度的拒绝权,在绝大多数情况下,拒绝与否属于学生的个人选择,最多影响的是他人对其的评价,除了必要的思政工作外,我们无须过度干涉。然而,当学生的拒绝行为影响到校园安全秩序的稳定,如拒不提供自己的心理疾病状况信息(主要指近期有伤害他人的倾向或行为)或者疫情期间拒绝提供个人行踪轨迹,则应当有相应的惩处办法加以限制。高校应当进行相关制度的排查,尤其是结合教育部《普通高等学校学生管理规定》第五十二条第(六)款“违反本规定和学校规定,严重影响学校教育教学秩序、生活秩序以及公共场所管理秩序的”规定,制定和完善相应的细化规范,为与信息处理活动相关的学生消极行为提供明确的处分依据,从而引导学生提升安全意识[17]。
2.新规的设立。《个保法》的许多提法和要求对于高校学生工作具有创新性的启发和借鉴意义,高校可以结合学生工作实际情况探索以下制度的设立。(1)一次性同意制度。《个保法》确立了以“取得个人的同意”为核心的信息处理合法性规则,虽然前文探讨了高校学工场景下适用例外情形的可能性,但由于存在一定程度的政策不确定,高校完全可以严格围绕“取得个人的同意”构建一次性同意制度,以提升工作的合规水平与行政效率。具体而言,借助信息手段,在新生注册时即参考《个保法》第十七条告知信息收集的目的及种类、未来可能的处理方式、保存期限等事项,并设置勾选同意的选框,学生勾选同意后,即完成对学校接下来信息收集等处理活动的合法性授权。至于《个保法》第二十九条提及的“处理敏感个人信息应当取得个人的单独同意”,同样可以借助“智慧学工”等类似的高校信息平台,在发起某项学生工作时,即设置单独同意按钮作为前置性条件,如贫困生认定工作中要求申请学生同意学校收集处理其家庭贫困情况等敏感信息。(2)自动化决策制度。《个保法》第二十四条就“利用个人信息进行自动化决策”进行了规范,所谓自动化决策,指“通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,并进行决策的活动”。在高校学工场景下,自动化决策的实践方兴未艾,最常见的案例莫过于根据学生的饭卡消费信息精准发放贫困生餐补[18]。不难想象,未来评优评奖、违纪处分等学工场景也可能引入自动化决策,其大数据技术优势及算法应用甚至可能给学生工作方式方法带来一场重大变革[19]。为了保障这一新兴事物的作用有效发挥,同时确保决策的公平公正,高校应当结合实际制定自动化决策的相关制度,其核心内容应当落实《个保法》“通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定”的明确要求,确保学生有渠道了解相关决策信息并有权拒绝单纯的自动化决策结果。(3)信息权利保障制度。《个保法》设专章(第四十四条至第五十条)明确了个人在其个人信息处理活动中的诸多权利,凸显了对个人权利的重视与保障。相应地,高校也应当明确学生在信息处理活动中享有的权利,重点应当包括第四十四条提及的知情权、决定权及限制或拒绝权,第四十五条查阅与复制权,第四十六条更正与补充权,第四十七条删除权,第四十八条请求解释说明权。应围绕上述权利制定适应学工场景的落实保障制度,如知情权、查阅与复制权可会同档案馆等职能部门加以落实,决定权、限制或拒绝权、更正与补充权及删除权可借助高校相关智慧信息平台赋予学生便捷的操作渠道,请求解释说明权则可交由辅导员落实并要求解释工作与思政教育相结合,以达到解惑息事的目的[20]。
(三)行为融入
《个保法》在高校学工领域的真正落地最终需要依赖学生工作者的自觉遵守与正确执行。虽然《个保法》是一门全面规范个人信息保护的专门法律,但鉴于法律的概括性与普遍性,具体的理解与适用并不能精准对应,再加上学工场景的繁杂与多变,很难据此形成一份完整且详细的行为操作指南。因此,学生工作者只有正确理解与把握《个保法》相关规则的立法意图与精神,方能在复杂多变的学工场景下做出正确的决策与行为。应主要理解以下《个保法》立法要旨及其对行为的启示:(1)多做告知工作。“取得个人的同意”作为《个保法》确立的合法性基石,其中告知是同意的必要前提。绝大多数情况下,接到教师的告知,学生能感受到自身被尊重,进而顺理成章地同意教师的相关信息处理行为。所以,不管相关信息是否可以归属于《个保法》第十三条的例外情形,多做告知工作征得学生同意,能够有效降低学生工作的风险与阻力。例如,辅导员想通过早已收集的家长信息与家长取得联系时,不妨提前告知学生自己的联系目的,或许能激发学生加快对相关学习生活事项的落实与执行,从而达到更好的家校联动效果[21]。再如,有辅导员喜欢在主题班会等集体活动中用自己掌握到的个别在座学生的信息或经历作为思政素材加以讲解,如果可以提前告知当事学生,就能够有效避免因讲解不当而让学生产生误解甚至爆发情绪。(2)多做留痕管理。《个保法》第六十九条规定“处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任”,可以看出,该条采纳了过错推定原则,在举证责任上适用举证责任倒置[22]。这为学生工作者给出了行为指引,在力求工作确无过错的前提下,教师在与学生沟通的过程中,无论是线上还是线下,最好均形成方便查阅的工作痕迹(如线下见面后再进行简单文字提醒)。(3)践行“两个最小”。《个保法》第六条的“采取对个人权益影响最小的方式”“限于实现处理目的的最小范围”是必要性原则的具体体现与要求。“两个最小”可以成为学生工作者的两把尺子,在不同的学工场景下加以分析与运用。如在贫困生评定中,贫困生的权益主要在于家庭隐私的保护,因此在符合工作要求的情况下让最少的人参与、最少的人接触应成为工作的准则,可以采取限定评议小组规模、签订保密协议、盲审贫困生书面材料等方式加以督促实现。再如寝室检查,应从保障寝室卫生安全的目的出发确定检查频率与检查时间,避免一段时间内的重复多次检查对学生正常寝室活动与休息造成影响。(4)善用“去标识化”。所谓“去标识化”,《个保法》定义为“个人信息经过处理,使其在不借助额外信息的情况下无法识别特定自然人的过程”。采取“去标识化”等安全技术措施是《个保法》第五十一条确立的个人信息处理者的义务之一,也可以成为学生工作者进行信息处理的有效法宝,尤其在成绩排名发布、通报批评、警示教育等学工场景下较为实用。常见且便捷的“去标识化”措施包括将学生姓名替换为学号、将学生姓名进行打码处理等。例如,辅导员得知学校近期有不少学生存放违章电器被处分,则在转发相关处分信息时将学生的名字隐去,既保护了涉事学生免受不必要的信息公开,也达到了警示目的。