高校處理大學生個人信息問題研究

緒論：在尋找寫作靈感嗎？愛發表網為您精選了1篇高校處理大學生個人信息問題研究，愿這些內容能夠啟迪您的思維，激發您的創作熱情，歡迎您的閱讀與分享！

在大數據背景下，個人信息數據的經濟與社會價值逐漸凸顯，但也有可能出現個人信息泄露或者被非法使用等問題。科學技術的發展對教育領域產生了深刻的影響，導致高校有時很難對大學生個人信息安全進行有效的保護。近年來，高校信息泄漏的情況頻繁發生。2018年9月，江蘇省一所大學的多名學生的個人資料被泄露，據透露，這些個人資料可能被公司用來偽造員工身份和工資信息，在某些情況下還用來逃稅。無獨有偶，2020年6月份，鄭州某學院近2萬余名學生宣稱其個人信息被泄露，其中包括學生重要個人隱私信息。官方的《致歉聲明》隨后正式公布。聲明稱，信息的外泄是因有關工作人員的保密意識不足導致的。該案雖已辦結，對直接責任人員已給予相應處分，但其不良后果尚未徹底消除。同年7月份，“湖南某學院學生身份被冒用”的謠言開始在網絡上傳播，13日官方文件發布，學生的個人資料確實在市級行政審批服務局系統的數據傳輸中被泄露[1]。這些泄漏高校學生個人信息的事件損害了學生權益，對所涉高校產生了十分惡劣的負面影響。2022年11月《中華人民共和國個人信息保護法》的實施，為個人信息保護提供了法律層面上的保障，但法律并未特別規定大學生這一特殊群體的個人信息保護范圍及措施。在實踐中，仍有許多問題法律未曾涉及。下面，筆者將以《個人信息保護法》為理論基礎，將高校作為個人信息處理者一方，從權利義務角度進行分析，找出實踐中高校在處理大學生個人信息時存在的問題。

1高校處理大學生個人信息時存在的問題

1.1收集的限度與途徑問題

（1）收集信息的限度過于寬泛《個人信息保護法》第六條第二款規定了收集信息的限制和原則。它指出，數據處理者必須將個人數據的收集限制在實現處理目的所需的最低限度，不得收集過量的個人信息。也就是說高校在收集學生的個人信息資料時應遵循“最小必要原則”。最小化原則的具體要求，有最小數量、最小類型、最小存儲時間、最小分享量、最小處理頻率[2]。然而在實踐中高校卻往往無法遵循此原則，因為高校內對大學生個人信息的侵害往往是打著合法的幌子，難以察覺，比如為了發放獎助學金而大量收集學生家庭情況和經濟情況，并美其名曰為達到資助的公平、正義，但殊不知在這種“合法”的幌子之下，已經是對學生隱私權及個人信息安全的一種侵害。高校有權保留與學校生活直接相關的個人信息，如學術信息和獎懲記錄，以實現其教育培養青年的核心目的。上述信息本就在校園內產生，學校對這些信息有管理控制權，這一點毋庸置疑。然而，有些敏感信息，如學生的財產信息，并不是在校園內產生的，學校不能像獲取學術信息那樣隨意獲取這些信息，只有在特定情況下才能獲取。例如，當學校發放助學貸款時，可以要求申請助學金的學生上報家庭經濟情況，但這并不意味著學校可以大肆收集所有學生的財務信息[3]。（2）收集信息的途徑復雜個人信息保護法在全文中并未對收集途徑進行細化規定。然而，教育部在2022年最新發布的《關于進一步做好普通中小學招生入學通知》指出，“應在招生時集體收集信息，而不是通過不同的APP和小程序反復、隨意地收集信息。”[4]電子學籍的誕生將以往高校用紙質表格收集信息的形式，改為使用計算機上傳個人信息。隨著時間的推移，手機開始普及，各種在線表格也被開發出來，簡化了煩瑣的數據收集過程，但也增加了風險系數。看來只要有相應的鏈接，誰都能隨便瀏覽。而采集的信息量雖多，但容量不大，一般數百KB即可存儲數千條信息，只需輕點手指即可轉發，這樣也在無形之中加大了信息泄漏的危險。在實際生活中，隨著網絡技術的發展，高校大多依賴APP、小程序、公共表格等方式采集學生個人信息，在共同編輯過程中，只要擁有表格鏈接，就掌握了表格中所有學生的信息資料。并且，高校在收集信息時，收集線路上至終端信息儲存庫，下至各個班級的班委負責人，整個收集鏈長且復雜，收集鏈越長，可能接觸到信息的人就越多，信息泄漏風險就越大，存在隱患就更大。

1.2存儲系統安全力不足

《個人信息保護法》在第五十一條第（3）項中要求信息處理者根據其可能帶來的安全風險，采取適當的技術安全措施，如加密和去標識化，以防止未經授權訪問個人信息以及個人信息數據的泄漏、更改或丟失。但是，現在的高校卻沒有對學生的個人信息進行嚴格有效的保護，高校泄露事件還是多有發生。伴隨著信息技術的飛速發展和各類網絡工具的不斷更新，黑客們對漏洞的利用變得越來越巧妙。然而，一些大學和平臺使用的網站維護系統仍然非常落后，官方網站沒有按要求進行更新或維護。一些網站仍在使用十年前的網站服務系統，這導致了各種安全問題。在硬件方面，一些校園網缺乏安全技術保護和安全檢測設施，數據中心的安全保護和審查制度亟待建立和完善。在日常的人員管理方面，一些網絡安全人員長期不上線更新或維護學校信息管理系統，無法及時發現并修補漏洞，日常工作不規范，未定期進行常規數據備份，安全保密意識較差。在應用系統的設計中，某些學校采用的系統設計存在一定的缺陷，易造成信息安全事故的發生，從而造成學生的信息易被泄露。

1.3高校信息使用不透明

《個人信息保護法》第十七條規定，在處理個人信息時，處理者有義務事先明確和充分告知個人信息的使用情況。第五十五條規定在進行某些處理行為時，必須事先評估某些處理操作對保護個人數據的影響，并對處理情況進行記錄。但在實踐中，信息一旦被收集到學校手里，信息的使用便不受學生的控制。鑒于受教育者和教育機構之間存在巨大的權力差異，大學生往往處于弱勢，很難確保他們在學習生活方面的知情同意權[5]。學校在處理學生個人信息的過程中既不透明又很難做到充分透明，學生對個人信息數據幾乎不能控制，學生能夠控制的只是一些信息是否提交的權利。同時，學生個人信息采集后流通去向及渠道的未知性和不可控性也使得信息處理及使用者很難做到每一步都獲得信息主體的同意。事前告知，事后記錄本該是高校處理學生個人信息時應盡的義務，但許多高校卻對次不甚重視，不僅加大了信息泄露的可能，也導致了泄露發生后的犯罪偵查工作難以進行。

1.4學校的信息公開與個人信息保護矛盾

《個人信息保護法》第二十五條規定，除非得到個人的同意，否則信息處理者不得披露經過處理的個人數據。但在高校的實際操作中，高校學生的個人隱私信息依舊被公開，這給高校學生的學習生活帶來了不少的隱患。例如，2017年，河北省某大學在其官方網站上公布了獎學金信息，其中就包括大學生的個人電話。但這些主動披露的信息大多屬于學生個人隱私，與公示目的并無關聯，這些信息披露與學生個人信息保護是互相沖突的。已經出臺的一些有關高校信息公開與學生個人信息保護管理的法律法規在實踐中又缺少一定操作性，許多法條僅規定了義務，并沒有明確說明違背時應當承擔的相應后果，在兩者之間的界限也沒有確切的規定，這就造成了一系列的現實問題。

1.5問責和監管的制度不明確

《個人信息保護法》第六十條規定，由國家網信部門對個人信息保護工作及相關監督管理進行統籌協調，據此，《個人信息保護法》執法仍然是多元執法，多頭執法，對個人數據進行多重監管，邊界不清，將很難確保國家補救措施充分發揮其作用[6]。大數據背景下，由于個人信息保護范圍的不斷擴大和泄漏途徑的廣泛性，使得與個人信息有關犯罪的調查和處理變得十分困難。此外，個人信息主體難以收集到能夠對信息泄露的事實或損害予以證明的證據，因而難以獲得充分的救濟。司法實踐中若檢察機關要向教育行政部門提出檢察建議，就有必要確定大學生個人資料的泄露是由于教育主管部門工作人員的故意或過失行為，還是由于教育行政部門沒有履行《個人信息保護法》規定的監督和管理義務所致。論證大學生個人信息的泄露是由教育行政部門非法行使職權還是不作為造成的，也是一個很大的問題。這些問題在《個人信息保護法》出臺后依然得不到有效的解決，個人信息主體訴訟的低效反向加劇了個人信息控制者侵害個人信息權益的行徑。由于維權取證困難，又不知該找誰來維權，大學生在很大程度上放棄了自己的權利。這些泄露出來的信息通過互聯網傳播恣意蔓延，加大了大學生再次受傷的危險。

2完善高校大學生個人信息的保護途徑

2.1提高高校和學生的個人信息保護意識

首先，大學生必須提高警惕，防范個人信息泄露，并逐步提高對個人信息保護和維權的認識。其次，不僅僅是學生需要提高個人保護意識，學校也要定期組織人員進行法律的學習。隨著國家對個人信息保護的持續加強，大學及教職員應該進一步提高對大學生個人信息侵害相關的行政責任和刑事責任的認識。為此，大學生要加強信息安全法的學習，規范個人信息的使用問題，避免信息被不法分子盜取，依法對個人的信息進行處理，保障自身的信息安全。高校構建大學生個人信息安全法律體系，落實國家出臺的各項法律法規，組織法制進校園活動，宣傳法律知識普及法律保護意識，對在校大學生，開展法律知識大講堂學法系列講座，從源頭入手，引導在校學生注意保護自我信息安全，不隨意向人透露任何個人信息，遇到問題時學會用法律手段保護自身安全。

2.2高校構建安全的個人信息保護機構和體制

國內大學在個人信息管理中普遍缺乏正當程序，這意味著大學生缺乏保護自己隱私權的法律依據。自《個人信息保護法》出臺以來，有必要在大學的管理制度中引入法律程序。各高校要在法律引導下出臺校級層面的數據保護制度并細化個人數據保護法規，為此，學校應設立專門的學生信息收集與管理部門，確定學校信息收集與管理的部門責任，規范學生信息收集程序，定期上報學生信息使用事項和次數，信息授權情況及網絡安全系統情況，負責學生信息管理與保護工作。另外，學校應定期組織集體培訓，以提高信息管理部門工作人員的信息工作水平與管理素養。同時，要注意對大學生一般信息與敏感信息進行辨析。可根據不同類型管理人員對大學生個人信息進行差異化設置查看權限，對敏感信息進行嚴格保護，例如，輔導員、任課老師也只能看到與自己工作任務有關聯的信息。而且，學校要對本校的信息處理系統進行優化，并讓技術人員對系統進行定期的更新和漏洞修復，強化學校的網絡防火墻等，以防止學生信息泄露。

2.3完善《個人信息保護法》確保其更好地實施

法律是人民和國家的保障，但現行的法律也存在著客觀上的局限性。在《個人信息保護法》出臺后，如何有效地采取措施確保該法能夠真正實施，成為未來需要持續關注與思考的重要課題。因此，本人有如下幾點建議：首先是國家要繼續健全個人信息保護制度，進一步細化保護對象和信息的范圍，實現分級化精準保護。其次，要建立起健全的救濟渠道以及專門信息監管機構，并用法律的形式予以明確。同時，要制定相應的下位法，確保《個人信息保護法》能夠落到實處，切實保障大學生的信息安全。從法律法規方面規范高校及其相關工作人員行為，要針對高校學生個人信息保護工作中的各種問題發布專項法律文件。具體來講，要從規章層面制定教育部發布的《普通高等學校學生信息安全保障辦法》，該辦法不僅是為了規范高校及工作人員行為，更重要的是促使相關責任主體主動履行對大學生個人信息的保護義務，并對大學生個人信息保護進行專項保護規范[7]。

2.4健全監督問責體制，鋪設良好的救濟渠道

《個人信息保護法》明確了個人信息處理活動中的權利義務界限，并規定了“雙重處罰制”，即對違法處理個人信息的處理單位和直接負責人同時處罰。高校根據教學管理和與公共事務管理的需求使其成為一個人信息處理者，必須為其個人信息的處理活動承擔起責任，采取必要的措施以確保其處理的個人信息的安全性。在選擇救濟措施時，應主要考慮大學生個人信息的性質和教育局在泄露大學生個人信息方面的過失。如果是由于教育行政主管部門的失職，導致大量大學生個人信息泄露的，可以采用單獨訴訟或公益訴訟等方式進行救濟。為了解決大學生舉證困難問題，我國《個人信息保護法》第六十九條采用了舉證責任倒置的制度，這有助于倒逼高校履行保護義務，強化其個人信息保護技術。但由于大學生維權能力較弱，當他們受到經濟損失時，通常不選擇民事訴訟或者行政訴訟方式進行維權。所以投訴制度也不失為一種經濟實用的機制，有關規范文件可以明確大學生個人信息受到侵害時的投訴機構，并且將投訴號碼公之于眾，解決了行政機關多頭管理、學生不知該向誰投訴等問題[8]。

3結語

個人信息是當前社會發展的重要內容，在我國經濟快速發展和互聯網時代到來后，個人信息的保護問題也受到了越來越多人的關注。然而，隨著信息技術的不斷普及與應用，個人信息被濫用現象日益嚴重。所以確保個人信息的安全就成為時代發展中亟待解決的問題。大學生的個人信息與其本人的學習、生活、就業等密不可分。同時，大學生的個人信息也是學生人格權的重要載體。大學生群體數量龐大，其個人信息具有很高的資源價值。本文從《個人信息保護法》法條切入，對大學生個人信息保護現狀進行分析，指出高校在學生信息保護方面的不足之處，并提出相應對策，為更好地促進大學生合法權益的維護和完善大學生個人信息法律制度建設提供一定的借鑒。

參考文獻：

[1]吳學安.避免學生個人信息“裸奔”需要“強保護”[N].民主與法制時報，2020-07-18（002）.

[2]武騰.最小必要原則在平臺處理個人信息實踐中的適用[J].法學研究，2021，43（06）：71-89.

[3]謝婧雯.校園個人信息保護問題[J].合作經濟與科技，2022（10）：188-189.

[4]教育部辦公廳.《關于進一步做好普通中小學招生入學工作的通知》[EB/OL].

[5]滕長利.教育大數據信息采集權與大學生隱私權的沖突研究[J].黑龍江高教研究，2021，39（09）：140-144.

[6]丁西泠.大數據時代個人信息的法律保護路徑[J].征信，2019（11）：54．

[7]鄧琬心.高校學生個人信息法律保護的現狀及優化[J].學校黨建與思想教育，2020（18）：67-69.

[8]蔡立新.校園貸對大學生個人信息安全的影響及法律保護[J].法制博覽，2021（32）：30-32.

[9]《中華人民共和國個人信息保護法》全文公布（附權威解讀）[EB/OL].

作者：馬海桐 單位：中國地質大學