欧盟教育数据隐私保护立法与治理体系构建
2024-06-08赵泓源
◎赵泓源
当前,数字技术正以前所未有的速度和规模向社会各领域融合渗透,引起了新一轮的科技和产业革命。将全新的数字技术融入教育领域,推动教育数字化转型升级已经成为世界范围内教育发展的一项重要议题。教育数字化转型的顺利开展需要以海量数据信息为支撑。在对学习者和教育工作者信息进行收集、汇总、存储、传输、分析、处理、共享的过程中,教育数据的安全治理和隐私保护问题随之而来。近年来,全球范围内教育领域个人信息过度采集、隐私泄露、网络攻击等安全事件频发,教育数据开放共享与隐私保护之间的固有矛盾日益凸显,引起了各国政府和学界的广泛关注。
在全球范围内,欧美发达国家和地区在数据安全整体治理和教育数据隐私保护等问题上拥有相对丰富的法律制度和实践经验。在此背景下,对先进国家和地区的立法和实践经验进行系统研究并加以借鉴,为我国在现有数据安全法律制度基础上构建教育数据隐私保护体系提供一种合理优化途径。欧盟制定的《通用数据保护条例》(General Data Protection Regulation,以下简称GDPR)作为面向各领域各类型数据的一般性保护条例为保护教育数据安全和隐私,规范数据采集和处理行为提供了明确规范。因此,本文将以欧盟教育数字化转型过程中实施的教育数据隐私保护立法与实践为分析对象,梳理欧盟保护教育数据安全的手段和经验。
一、欧盟教育数字化转型中的数据隐私问题
作为教育水平发达地区之一,欧盟在教育数字化转型战略上一直处于世界前列,并于2020 年发布了最新纲领性文件——《数字教育行动计划(2021—2027)》,将“发展高绩效数字教育生态系统”作为两大战略之一,旨在推动数字技术在日常教与学中的广泛应用。同时,全球性新冠肺炎疫情导致多数学生开始居家接受远程在线教育,迫使教育数字化进程大幅提升。因此,当前欧洲地区教育理念和实践模式不断创新,数字化转型正处于蓬勃发展阶段。与此同时,包含学习者和教育工作者个人信息的海量数据被不断收集、汇总、存储、传输、分析、处理、共享,并被应用于不同的教育场景之中,导致近年来欧洲地区的教育数据在整个生命周期的各个环节均面临着隐私侵犯的风险与危机。
(一)教育数据采集和汇总阶段
数字技术在教育领域的全方位应用大幅度削弱了学习者和教育工作者在信息采集时的选择权。一方面,数据主体为了获得平等的教育机会和更多的教育资源,不得不做出授权个人隐私信息的被动选择,且难以掌控其数据信息的使用方式和最终走向。另一方面,多数教育数据主体尚不具备足够的数据保护意识和数字素养,与高速发展的数字技术之间存在明显的不对称性,使得数字技术可以以网络为切口,在数据主体不知情或未经数据主体同意的情况下采集个人信息。
(二)教育数据存储和传输阶段
存储和传输阶段是教育数据泄露的高发阶段。首先,教育机构内部的管理人员缺乏数据保护意识且技术水平欠缺。例如,2019 年,挪威卑尔根市的市政用户计算机系统在投入使用前未进行充分的安全性和保密性测试,导致其管理的一所市政小学的小学生及雇员的个人数据处于不受任何保护且完全公开的状态[1]。(注:挪威虽然不是欧盟成员国,但属于欧洲经济区(European Economic Area)成员。GDPR 已经纳入欧洲经济区协议,并于2018 年7 月在挪威适用。挪威与欧盟成员国一样受到GDPR 的约束。因此,本文在对欧洲地区教育数据隐私问题进行研究时,将挪威也纳入研究对象的范围内。)其次,教育机构薄弱的数据保护与加密系统也为黑客制造网络攻击和勒索事件提供了可乘之机。有研究报告显示,教育行业是最缺乏网络攻击防御能力的行业。近一半教育机构选择通过支付赎金以恢复数据,但数据恢复不仅速度慢、成本高,且很难恢复到被攻击前的正常水平[2]。
(三)教育数据分析和处理阶段
对教育数据进行分析处理的过程中也存在隐私侵犯的潜在风险。人工智能算法利用大量教育历史数据完成学习和训练,进而对教育主体未来的行为活动做出准确预测或提供合理规划。但是,由于人工智能算法的训练数据在实际分布上存在一定偏差,其基于学生学业成绩、学习行为以及社会背景等数据信息的分析可能含有种族、性别或其他歧视因素,形成数据偏见,不仅会影响决策的公正性,也会阻碍对学习者创造力和发展潜力的发掘[3]。
(四)教育数据共享和使用阶段
实现教育数据的互通共享,并利用数据分析结果为学习者和教育工作者提供科学的规划和指引,是教育数据生命周期的最后环节,也是真正发挥教育数据实际效用的关键阶段。在这一阶段,教育机构通常需要与第三方服务提供商建立合作,通过云储存、学习管理系统、线上学习平台或教育软件等实现教育数据的有效利用。第三方不充分的数据保护协议或数据的不当处理可能会导致侵犯隐私和未经授权访问教育信息等行为。教育主体的个人隐私信息被滥用于非教育行为的现象屡见不鲜。
二、欧盟教育数据隐私保护的立法与政策
(一)欧盟教育数据隐私保护立法背景
1.欧盟向来重视对公民隐私权和个人信息的保护。欧洲地区在公民隐私权和个人信息保护的问题上存在立法传统。欧洲在保护公民隐私权的问题上注重发挥政府公权力之效用,通过立法和政策手段赋予公民隐私权以更高位阶的保护。
1981 年,欧共体首次尝试通过《个人信息保护公约》在欧洲地区建立统一的个人信息保护法律制度,但收效甚微。仅有少数成员国批准该公约生效,且未能建立配套的国内法帮助实施,无法从根本上解决问题。1995 年,欧盟订立《关于个人信息处理保护及个人信息自由传输的指令》(以下简称《指令》),以推动个人信息保护在各成员国内部的有效落实。但是各成员国在将其转化为国内法的过程中,结合自身实际需求采取了不同的法律解释方法,反而加剧了成员国之间个人信息保护制度的冲突与矛盾,更加阻碍欧洲个人信息保护法的一体化进程。一直到2016 年,欧盟理事会表决通过《通用数据保护条例》(General Data Protection Regulation,以下简称GDPR),欧洲地区才在个人信息保护的立法问题上取得突破性进展。区别于《指令》,GDPR 在欧盟法体系中享有更高的法律效力,可直接适用于欧洲公民,正式在欧盟各成员国之间建立起统一的个人信息保护和数据流动规则,为教育数据隐私保护治理体系的构建打下了坚实基础。
2.教育数据开放共享与隐私保护之间日益突出的矛盾关系。科技发展的两面性始终是一个不可避免的议题。在全球教育数字化转型的时代背景下,欧盟在教育数据采集存储、分析处理、开放共享和互通互联方面存在强烈的现实需求。具体而言,数据采集样本数量越大、多样性越强,数据分析的可行性和准确度越高;不同部门、教育机构及平台之间尽可能地消除数据壁垒和数据垄断,也有助于发挥教育数据的最大效用价值[4]。但与此同时,教育数据生命周期长、数量庞大且成分复杂等特征赋予其自身明显的隐私属性。如果一味无限度、无秩序地将教育数据开放共享,且不能采取有效措施加以保护,将会对公民的人身和财产安全,社会和经济秩序的稳定发展以及国家安全造成威胁。由此可见,教育数据开放共享与公民隐私保护之间存在着固有的利益冲突。因此,如何建立与教育数字化转型相匹配的立法和治理体系,在教育数据开放共享和教育数据隐私保护之间寻求动态平衡,是欧盟一直以来不断探索的关键性议题。
(二)欧盟教育数据隐私保护的原则性法律框架
虽然目前欧盟在教育数据隐私保护方面尚未制定专门的法律,但GDPR 作为现阶段欧盟数据安全治理领域的纲领性法律文件,为欧洲经济区内教育数据的隐私保护和安全治理搭建起了原则性框架。因此,本文尝试将GDPR 中的基础性原则放置在教育数据治理的语境下,研究GDPR 在欧洲经济区教育数据隐私保护中的具体应用和重要意义。
GDPR 尤其强调数据处理过程中数据控制者和数据处理者的重要性。在教育数据保护领域,学校作为主要的数据控制者需要与在线学习平台、数据分析软件等数据处理者签订合同,以完成一系列数据处理行为。由于数据处理者只是代表控制者处理数据,处理数据的手段和目的均由数据控制者,即学校决定,故下文将重点讨论学校作为数据控制者如何在GDPR 规定的原则性框架下承担保护个人信息安全的责任。
1.数据处理行为必须以合法依据为基础。学校只能在有法律依据的情况下对个人数据进行处理。因此,学校在处理个人数据之前需要根据GDPR 第6 条[5]的规定确定其合法依据,包括:
第一,同意:数据主体同意基于一个或多个特定目的而处理其个人数据,且控制者能够提供合理证据证明数据主体已经同意处理其个人数据。
第二,合同:数据处理是为履行数据主体作为一方的合同所必需。当学校与家长之间为某些目的(如研学旅行)签订合同时,可能适用合同依据。
第三,法律义务:数据处理是为履行控制者所负担的法律义务所必需。
第四,切身利益:数据处理是为保护数据主体或另一自然人的重大利益所必需。该法律依据主要涉及到数据主体无法表示同意的情况下对生命的保护,例如,当学生发生严重事故时,为保护其切身利益,学校可以向救护人员提供该学生的医疗记录、健康状况等个人资料,便于及时开展紧急医疗服务。
第五,公共利益:数据处理是为执行公共利益领域的任务所必需或是为行使控制者被赋予的公务职权所必需。
第六,合法利益:数据处理是为实现控制者或者第三方所追求的合法利益所必需。如果学校开展不属于基础教育活动的活动,例如出租学校设施、开展课后或课外活动或筹办学校范围外的体育赛事,则学校可能拥有进行个人数据处理的合法权益。
2.根据数据信息的敏感程度对其进行分级分类处理。教育领域收集并处理的个人数据涵盖范围极广,任何已识别到的或可被识别的自然人的所有信息都属于个人数据的范畴,既包括学生、家长以及教职员工的姓名、地址、分数、联系方式、学业报告等具有较强人身属性的一般信息,也包括健康状况、饮食要求以及生物识别数据等敏感信息。由于敏感信息可能导致对个人的基本权利与自由的非法歧视和区别对待,风险等级更高,因此,学校作为数据控制者应有效识别不同的个人数据并根据GDPR 的规定对其进行分级分类处理。对于敏感信息,除了满足个人数据处理的一般合法基础外,还必须满足特殊种类数据处理的附加条件。
3.数据处理行为必须遵循基本原则。在GDPR 的原则性框架下,学校作为数据控制者开展的任何数据处理行为都必须遵循以下七项基本原则[6]:
第一,合法、公平和透明原则。具体而言,学校需要制定数据隐私声明或政策条款,向有关教职员工、学生及学生家长明确解释自己将如何处理他们的个人数据。
第二,目的限制原则。学校不得以超出预期目的的任何方式获取、持有或处理数据,更不能出于“以防万一”的目的收集有关人员的全部个人数据。
第三,数据最小化原则。学校必须对能够实现预期目的所必需教育数据信息做出准确判断,并且不收集任何进一步的数据,最大限度地减少其持有的个人数据量。
第四,准确性原则。学校应当定期对其所持有的个人数据进行审核,对发生变化的个人数据及时予以更新或同步,对不准确或已过期的个人数据及时予以删除或修正,以确保其准确无误并始终保持最新状态。
第五,存储限制原则。对于具备识别数据主体功能的个人数据,学校可以根据数据处理的目的自行决定保留数据的必要时间,但目的达成后,学校必须在必要留存期限到期前及时予以删除或销毁。
第六,完整性和保密性原则。学校在确保个人数据安全的前提下对其进行处理,包括使用适当的加密或禁止访问措施以防止未经授权或者非法的数据处理、数据遗失、灭失或损毁。
第七,问责制原则。学校需要记录数据处理活动的每个节点,包括处理什么数据、使用什么系统进行处理、是否存在第三方合同、该数据处理行为是否需要接收数据保护影响评估等,便于在数据处理行为受到质疑时,随时提供充分且详细的证明证据。
4.数据控制者的义务贯穿于个人数据处理的全过程。
(1)数据保护影响评估和事先咨询。教育涉及生活、教学、服务,学校、家庭、社会多个场景,其所包含的个人数据信息具有层级多、种类杂、跨度长、数量大等特点,电子存储、数据访问和共享传输的引入和广泛使用又增加了数据丢失、泄漏、损坏或滥用的可能性,导致教育领域的数据保护问题通常具有较高的风险系数。因此,学校作为数据控制者应当及时开展有效的风险评估和分析流程,全面了解数据处理过程中可能面临的各类风险,以采取有效措施降低风险。
(2)个人数据泄露事故的事后通知。学校等教育机构需要建立起一套完备的个人数据泄露应急预案,便于在事故发生时及时发现、随时记录、评估事故风险、采取补救措施、通知监管机构及相关数据主体,尽可能地将个人数据泄露造成的危害和损失降到最低。此外,如果个人数据泄露可能对数据主体的权利和自由造成高风险,学校应当即刻通知相关的数据主体,并与之展开实时沟通交流。
5.对未成年人的教育数据隐私予以特殊保护。未成年人是教育领域,尤其是基础教育领域的主要数据主体,因此,GDPR 中对于未成年人信息保护的特殊规定,在教育数据保护过程中得到了广泛应用。由于未成年人处于心智尚不成熟的阶段,缺乏独立的民事行为能力,对个人数据处理的风险、后果以及防范意识较薄弱,因此应当获得特别保护。GDPR 第8 条“关于信息社会服务相关的儿童同意的条件”特别强调,“只有在取得儿童监护人同意和授权的情况下进行的数据处理才属于合法处理”[7]。具体表现为,父母或其他监护人可以以自己的名义代为行使知情权、访问权、纠正权、拒绝权等各项权利,有权代为表明对未成年人个人数据进行处理的知情和同意意愿,通过撤回授权的方式代为行使被遗忘权[8]。此外,为了确保监护人同意或授权的真实性,GDPR 引入“验证机制”,要求在考虑到现有技术水平的前提下,数据控制者和处理者应当做出合理的努力以核实该同意或授权确由未成年人的监护人真实作出,为未成年人个人数据保护提供了双重保障。
三、欧盟教育数据隐私保护的治理体系
(一)欧盟教育数据隐私保护的组织架构
为确保上述原则性法律框架得到迅速落实和有效实施,GDPR 对于个人数据保护的组织架构同样做出了具体的规定。
目前,欧盟形成了欧盟数据保护委员会(European Data Protection Board)、各成员国数据监管机构以及数据保护专员(Data Protection Officer)三位一体、协调合作的综合组织架构。欧盟数据委员会负责向各成员国发布GDPR 个人数据保护指南、建议和最佳实践范例,并在促进监管机构合作和多边交流上发挥着重要作用;各成员国监管机构对本国境内所有领域涉及个人数据处理的行为和活动进行管理和监督,并开展跨国合作,为实现个人数据的互通共享和跨境合作扫清障碍;数据保护专员则在个人数据保护工作中发挥着沟通协调的桥梁作用,将数据控制者或处理者与监管机构联系起来,便于监管机构对数据控制者或处理者进行审查、纠正、建议。三者相互配合、相辅相成,共同推动GDPR 规则在欧洲经济区内的一致适用,促进个人数据在欧洲境内的自由流动。
在教育数据保护领域,该组织架构则具体表现为:
第一,学校作为教育数据控制者必须任命至少一位数据保护专员。数据保护专员作为学校数据安全保护的监督者和辅助者,对专业性有较高的要求,不仅需要掌握数据保护知识和网络安全技术,而且需要熟悉数据保护相关的法律法规和学校的运作方式及业务内容等。在欧盟各成员国教育行政部门发布的学校教育数据保护指南中,数据保护专员必须积极参与学校内部所有与个人数据保护有关的事务,包括向学校领导和工作人员就其数据保护义务提供建议、监控学校数据控制和处理的合规性、定期进行数据审核与国家数据监管机构沟通等等。
第二,监管机构充分发挥监督和执法作用,有权对违反GDPR 的学校等教育机构处以行政罚款。由于学校等教育机构具有特殊的信任地位,尤其涉及未成年人个人数据的处理,需要严格遵守数据保护法。近年来受全球疫情影响,学校主要通过视频会议工具等实时通讯软件举行在线课程和考试,数字技术的使用大幅增加。在这种情况下,各国数据监管机构对教育部门作出处罚的数量有所增加,并且呈现持续上升趋势。例如,2021 年,意大利博科尼大学在在线考试中使用远程监控软件对学生进行视频监控并拍摄照片,但并未以适当的方式告知考生数据处理情况,被意大利数据监管机构处以20 万欧元的罚款[9]。
(二)各成员国共同治理的教育数据隐私保护体系
欧盟教育数据隐私保护治理体系的构建离不开各成员国的积极参与。一方面,GDPR 作为欧盟层面的上层法律制度,虽然可以直接适用于各成员国公民,但其具体执行仍需要各国政府的积极配合和合理调节;另一方面,GDPR 在部分法律问题上采取了较为抽象的表述方式,赋予成员国一定自由选择的空间,可以在此基础上根据本国实际需求进一步细化。鉴于篇幅限制,本文选择欧盟成员国法国和德国作为重点研究对象,归纳总结它们在GDPR 法律框架下保护教育数据隐私安全的各项举措。
1.法国。法国政府从20 世纪初就开始致力于公民隐私的保护工作。早在1978 年,法国就出台了《法国数据保护法》(French Data Protection Act,以下简称FDPA),成为欧洲地区第一个针对个人数据的收集、处理和使用引入隐私保护法的国家。2018 年,FDPA 进行了大幅修订,在主体内容上与GDPR 的现代数据保护机制保持高度一致,仅在个别问题上结合本国实际需求做更详细的规定。国家信息与自由委员会(National Commission on Informatics and Liberty,以下简称CNIL),作为法国的首要数据监管机构,负责监管FDPA 和GDPR 在法国各领域的执行,并通过发布大量针对特定部门的建议和指南,指导各企业或机构更好地遵守数据保护的各项法律法规。
(1)与教育行政部门开展合作,助力教育领域数据安全治理。法国国家教育和青年部于2018 年与CNIL 签订协议以建立长期合作伙伴关系,在培养教育领域成员个人数据保护意识、支持教育机构遵守GDPR、对数据进行教育性使用等领域开展联合行动。同时,成立由国家教育和青年部以及CNIL 代表共同组成的指导委员会,对教育领域的个人数据保护和处理工作进行监督和审查,确保各行动计划得到妥善实施[10]。
(2)在未成年人数据保护和其自主意愿表达之间寻求平衡。CNIL 长期以来一直致力于保护未成年人数据安全与隐私,尤其强调对“被遗忘权”的保护。2021 年,CNIL 对法国未成年人数据保护工作进行了全面审查,并针对审查结果发布了8 项建议,旨在为未成年人提供一个安全开放的数字环境,在未成年人数据保护和其自主权之间寻求动态平衡[11]。根据GDPR 和FDPA 的规定,原则上应当由父母及其他监护人代表未成年人行使其个人数据权。但是,CNIL 主张,对于与年龄、认知和智力水平相匹配的数据处理行为,未成年人需要拥有较大程度上的数据自主权。这有助于培养未成年人的个人数据保护意识,帮助他们更好地理解并学会合理地行使自己的个人数据权。同时,未成年人的父母及其他监护人在该法律框架下发挥着“安全阀”作用,当父母认为有必要保护未成年人的最大利益时,可采取及时有效的补救措施,守住未成年人数据隐私安全底线。
(3)为尚处于开发阶段的教育科技项目提供数据保护建议。从2022 年开始,CNIL 积极介入教育科技项目的开发工作,在促进数字技术在教育领域广泛应用的同时,为其中涉及的教育数据隐私问题保驾护航。以DATA 项目为例[12],其目的是建立一个针对开放性在线课程网站学习者的学习痕迹库。在使用在线课程网站学习时,学习者的行为,如观看视频、点击内容和测试结果等均会产生数据。这些可以准确描述学习者的学习进度、揭示他们遇到的困难或他们感兴趣的课程主题等的数据被称为“学习痕迹”。该学习痕迹库将数据分析处理的结果向学习者和教学团队做出反馈,以改进教学实践、提高学习者的透明度、制定个性化的学习路径。CNIL 要求项目负责人在项目开发过程中就做好教育数据隐私的保护和防范工作,对学习痕迹进行匿名化处理,排除其中具备明显个人特征的数据,弱化匿名数据与其他数据之间的关联关系,以便将此类数据开放共享;同时,对数据开放情况进行长期监测,时刻评估数据开放存在的可能风险。
2.德国。德国数据保护的历史最早可以追溯到二战后,黑森州联邦通过了全球第一部数据保护法。1978 年,德国通过《联邦数据保护法》(BDSG),确立了德国数据保护原则,规定了数据控制者和处理者的权利和义务,并设立联邦数据保护专员确保法律执行。2018 年,为配合GDPR 的同步运行,德国出台了全新的联邦数据保护法案(BDSG-new),在GDPR 尚未涵盖或允许例外的情况下起到补充作用。
(1)联邦制下教育数据保护的去中心化。德国的联邦制决定了德国学校在实现教育数字化转型和实施教育数据保护中的独特性。德国的教育政策属于16 个州的独立事务,由各州的教育部门自主管辖,各州之间的合作由联邦机构——德国教育和文化事务部长常设会议管理。因此,德国约11000 个市镇学校网络基础设施的建立、数字教学设备的引进等均由其各自的能力和财力决定,彼此之间的教育数字化进程和教育数据保护能力存在较大差异。因此,为平衡这一差异,确保不同地区的教育机构均符合数据保护法的要求,德国的教育数据保护整体呈现去中心化形态,尤其注重对各学校教育数据保护专员的选聘与培训。各监管机构要求,学校的数据保护专员承担数据文件管理、数据处理登记、数据保护监督、风险影响评估等一系列工作,不仅需要拥有高水平的专业知识,而且需要具备足够的时间和精力,因此必须设置全职职位,不能由学校教职员工兼任。此外,德国联邦教育体系在进行差异化管理的同时,也会对资源有限、发展落后的地区予以重点关注和帮扶,尽可能地实现教育数字化和教育数据保护的多层次、一体化发展进程。
(2)优化教育数据保护的技术保障。学校等教育机构只能与能够充分保证遵守数据保护规定的网络信息系统服务商合作,服务商则需要通过认证(Certification)向其客户证明其信息系统的安全性。2021年,德国联邦教育和研究部(BMBF)资助开展“教育信息系统数据保护认证研究项目”,为学校信息系统提供数据保护认证的概念设计、示范实施和测试。该项目计划设计一个质量印章(Quality Seal),通过进一步开发和应用将其发展成为数据保护认证,并根据GDPR 制定认证的标准目录,为符合标准的数据控制者或处理者提供规范化、模块化、高效率的认证程序。
(3)改革未成年人保护法为儿童数据隐私提供多重保护。为积极回应GDPR 对于未成年人数据保护的特别规定、执行联合国《数字环境中儿童权利一般性意见》的要求,德国于2021 年对其《联邦未成年人保护法》进行改革,对未经授权向第三方披露和使用数据的风险进行了明确规定,要求在线平台服务商在提供服务的过程中通过儿童友好的条款和条件、安全默认设置、确保搜索引擎无法找到用户个人资料等预防措施来应对此类风险,以保障未成年人的高水平隐私安全。同时,为帮助上述各项立法发挥实际效用,德国联邦政府成立“数字世界中的儿童保护和儿童权利”项目,制定和实施儿童与青少年数据保护相关的政策战略,并积极与欧盟和联合国层面的互联网治理机构开展合作,将德国儿童和青少年数据保护的行动和经验传达到欧洲和国际层面。
(三)欧盟教育数据隐私保护的伦理构建
尽管GDPR 作为欧洲经济区内通行的数据保护法律已经取得了显著成效,但要有效应对数字时代的挑战,仍需要探索综合性的方法来解决数据保护问题。在当前产业发展势头迅猛、法律监管尚不成熟的时期,伦理规约作为一种软性约束发挥着不可或缺的作用,在实现有效监管的同时,赋予数字技术和数据共享传输自由发展的弹性空间。总的来说,现阶段想要实现对个人数据的良好治理,离不开伦理与法律的共同效用,需要软硬兼施、取长补短,实现自律与他律的有机协调。
具体到教育领域,教育数据伦理是“对教育数据产生、采集、存储和分析利用过程中所应秉持的道德信念和行为规范的理性审视”[13]。教育数据安全涉及的主体不同,他们所承担的伦理责任也不同,需要各主体将教育数据隐私保护的道德共识内化于心、外化于行,共同形成具有软性约束力的伦理规约。目前,欧盟在教育数据隐私保护领域的伦理规约构建主要表现在公民素养和行业自律两个方面:
1.提升公民对教育数据隐私的自我保护意识和保护能力。公民缺乏数据保护意识、对数据收集和处理行为的忽视和不理解,是当前很多网络安全和数据保护事故发生的根源所在。因此,为培养公民数据素养,提升其自我保护意识和保护能力,欧盟自2013 年开始发布公民数字能力框架,并在2022 年最新发布的2.2 版公民数字能力框架中特别规定了如何在学习场景下保护个人数据和隐私,包括在学校数字学习平台上分享个人信息时如何选择最合适的保护方式、如何评估个人数据在数字平台使用时可能带来的权利和隐私风险、如何理解和克服数据隐私遭受侵犯复杂情况等等。欧盟资助的欧洲学习分析协会也积极推进教育数据伦理和隐私问题的相关研究和实践。自2014 年起,欧洲学习分析协会组建多个学习分析道德和隐私有关工作坊,加强教育工作者对数据伦理和隐私问题的认识,使他们能够在教育活动中合法、合规地使用数据[14]。
在欧盟的领导和倡议下,出台数字伦理道德倡议、培养教育主题数字素养的欧洲成员国数量迅速增加。2020 年法国出台《疫情背景下教育数据使用的伦理问题》,提出开展对于各类在线教育参与者的信息技术与信息化公民素养培训,包括数据隐私保护意识、数字主权维护意识以及道德培养等相关内容[15]。德国则在学校开展对教师和学生数据保护的全面培训,并通过klicksafe 网站向整个欧洲地区发起倡议,通过提供有关互联网数据风险的实用指南、参考手册和培训课程等,提高德国和欧洲范围内儿童、青少年、家长和教育工作者的互联网数字素养。
2.基本立法与自律性政策相结合的共同监管模式。行业自律性政策是企业经营者、社会合作伙伴、非政府组织或协会之间采取的共同行为准则。相较于政府公权力监管而言,自律性政策成本更低,可以根据教育机构及整个行业的实际需求定制特有的自我监管政策,从而实现更高质量的管理和更高效率的执行。此外,法律法规的制定需要经历复杂的起草、审议和出台程序,而自律政策更具有灵活性和及时性,能够结合行业的实际发展状况迅速做出反应。欧盟在数据保护问题上倾向于采取共同监管模式,即通过基本立法GDPR 规定共同监管的框架和范围,然后由行业内相关各方达成自我监管协议,以实现基本立法的目标。教育数据隐私保护和安全治理也离不开行业自律政策的调节。欧盟鼓励学校及教育机构积极起草数据收集、处理、共享的行为准则,以表明其符合法律规定,从而获得学生、家长及教育工作者等教育数据主体的信任。
四、结语
欧盟在教育数据隐私保护领域已经形成了相对稳定且有效的治理体系。GDPR 为教育数据治理提供了原则性的法律依据和基本原则,并与软法性质的伦理规约相互协调,形成自律与他律相结合的制度体系,提升欧盟在教育数据领域的整体管理秩序和道德规范。同时,在欧盟数据保护委员会、各国数据监管机构和数据保护专员的积极配合下,形成多方参与、共同治理的组织架构,确保上层制度体系的具体落实和有效执行。
值得注意的是,欧盟在教育数据隐私治理上仍存在许多问题和不足。首先,欧盟在教育数据治理领域的上层制度构建仍不完善,尚未出台针对教育数据治理的专门法律法规,目前只能以GDPR 这一通用的数据保护规则作为唯一的法律依据。其次,当前部分的学校和教育机构尚不具备完全的数据保护能力,为严格遵守GDPR 各项规定、有效应对数字技术可能带来的数据风险,学校和各教育机构的工作量、资金和技术需求以及应当承担的责任都大幅增加,一定程度上增加了学校和教育机构的财政和管理负担。各国在细化本国教育数据治理、加大对学校和教育机构帮扶力度等方面仍任重而道远。对欧盟教育数据隐私治理体系的全面研究,一方面可以借鉴其有益经验,规范各类教育主体的数据权利和义务,帮助我国建立教育数据隐私保护和安全治理的合理路径;另一方面可以吸取其经验教训,加快教育领域的数据保护立法,从资金、技术、思想多个层面对教育领域的数据保护工作予以支持,促进教育领域数据保护相关的法律和政策得到有效实施。
未来,我国需要不断完善教育领域数据保护的法律法规,提升学生、教育工作者和教育机构的数据隐私保护能力,加强教育数据控制者和处理者的自律意识,形成层层递进的教育数据保护组织结构,构建起具有中国特色符合中国国情解决中国问题的教育数据隐私治理体系。