校園個人信息保護問題

□文/謝婧雯

（廈門大學 福建·廈門）

［提要］ 校園個人信息作為個人信息中具有高值性的子類，在信息保護熱潮中備受關注。但不論是信息主體、學校、第三方機構還是社會對校園個人信息的保護都不足。為給校園個人信息保護尋求出路，在分析校園個人信息保護中的法律關系、權責劃分基礎上，針對不同主體提出保護校園個人信息的有效措施。

2016 年電信詐騙案轟動全國，人們由此注意到校園個人信息的泄露可能產生巨大危害。但法律中有關個人信息權的規定尚不足以保護校園個人信息。此前研究更多是公民群體的個人信息保護，而少有對校園個人信息保護的研究。故本研究將主題定位為校園個人信息保護，并將結合實證調研的成果，為校園個人信息的保護尋求出路。

一、校園個人信息保護中的法律問題

（一）多方利益的平衡問題分析。校園個人信息的保護涉及信息主體的個人信息權、學校的管理權及各用益主體的權利，如銀行與學校合作辦理新生銀行卡時擁有的獲知學生部分個人信息的權利。但校園個人信息的保護必然不是一刀切式的學校能獲取或不能獲取校園主體的個人信息，而是獲取個人信息的數量多寡、多方利益的平衡問題。學校涉校園個人信息的活動應受比例原則、知情原則及透明度原則的限制，才不至于侵害校園主體的個人信息權。下文將分別闡釋這三項原則。

首先，學校作為行政主體，收集校園個人信息要遵循比例原則。高校為實現培養青年學生的基本目的，有權保存學生的學業信息、獎懲記錄等與在校學習生活直接相關的個人信息；為幫助學子走向社會，高校則有權獲知學生的發展意向信息，以展開畢業實習項目等項目。上述幾類信息本就產生于校園內，學校掌控這些信息沒有太大爭議，但有些信息不產生于校園之內，如學生的財產信息，學校對此則沒有和對學業信息同等的權限，而只能在特定情形下獲取學生的財產信息。如，學校只在發放助學貸款時才能收集學生的財產信息，因助學貸款的目的在于保障貧困學生的基本生活；而在發放獎學金等其他情境下則無此權限，因為獎學金的目的在于獎勵學業優秀的學生，它是以學生學業信息為必要判斷標準的，有且僅有貧困學生獎學金的發放需以學生財產信息為附加判斷標準，故學校也僅能在該特殊類獎學金發放時才有權獲取學生的財產信息。且學校對財產信息的獲取也只能是由學生提交證明材料，而不能去主動調查。學校對財產信息的保存時間也相對在校內產生的信息要短，通常僅限于異議期間。同時，學校在后續使用該財產信息時，僅能在特定部門間流轉，而不能像學業信息的使用那樣各部門皆可調取，故助學金與貧困生獎學金在發放時應分別由學生提交財產證明材料，而非由學校直接從信息庫中調取。

其次，知情同意原則。一方面是知情，學校在收集或使用特定校園個人信息時應告知校園主體實情，包括告知其信息被收集及信息的使用情況等。比如，在疫情防控的特殊時期，學校將人臉信息用于門禁時應告知校園主體，若情況緊急則應在事后告知。其原因在于不特定多數人的生命健康權這一法益高于特定個體的信息權，故學校有權收集使用人臉信息。但該行為又構成對校園主體個人信息權的侵犯，故應對學生施以告知義務，以緩和雙方的權利沖突。且人臉信息屬生物敏感信息，故學校在存儲使用人臉信息時還負有更重的保障信息安全之義務，為此學校在實際操作中應采用保密性更強的技術等以提高人臉信息的安全程度。另一方面則是同意，學校應在取得校園主體的同意后方可收集使用其個人信息，且這里的同意應是出于完全自愿的意思表示，而非受到相關主體脅迫，比如學校或者教師的強制、利誘或欺詐。但在疫情防控下，學校對信息的使用可不經信息主體同意，這也是因公益優先。

最后，還應遵循透明度原則。也就是學校對校園個人信息的收集使用應受監管，不僅在學校內部應設立專門機構紀委辦公室、監察處進行監管，還應接受外部機關的監管。進一步探究怎樣才能讓監管發現的問題得以實際解決，筆者認為學校應設立核心責任部門，由該部門享有收集校園個人信息的權利，也由該部門承擔校園個人信息使用不當等的責任。通過設置層級式組織架構，一方面使涉校園個人信息的業務更規范地開展，保障校園個人信息在收集、使用各個環節上的安全性；另一方面則利于責任的追究，在事故發生后能通過調取記錄來確定泄露信息的部門，針對性地改善信息保護措施。就信息管理中心而言，各項目的開展需責任到人，才能從根本上提升監管力度。

再看校園個人信息三方關系的利益平衡問題。很典型的情況便是學校將學生個人信息傳輸給銀行辦理新生卡，我們就以此為例來闡述信息主體、信息收集方與信息受讓方間的權利義務關系。第一個要解決的問題是學校是否有權為學生辦理銀行卡。當前，學校學費、住宿費的繳交都是以銀行卡扣費的形式實現的，且學校生活費用的支付實行的是學生卡制度，而學生卡需與銀行卡綁定來完成扣費，故學校為達成校園統一管理的目的，有權為學生統一辦理銀行卡。在此之上需要思考學校及銀行能獲取多大限度的校園個人信息。在這里，我們先跳過學校這一信息中介，而看校園個人信息流通的終端——銀行，它所能獲取的信息量。同樣的，銀行獲取校園個人信息應遵循比例原則和透明度原則，且承攬辦卡業務的銀行屬商業機構，故銀行處理校園個人信息時還應遵守禁止二次交易原則，但由于銀行并非直接面向信息主體收集信息，故禁止二次交易應在信息收集方與信息受讓方的合同中體現。但涉及校園個人信息活動還應滿足知情同意原則，那知情同意原則在三方關系中又該如何體現。知情原則有信息主體對信息被收集的知情與對信息使用情況的知情兩個子內容。學生信息是由學校收集，但卻由第三方使用，那對信息主體的告知義務該由哪方負擔呢？筆者認為信息收集方應負此義務，因為收集方與信息主體直接接觸，由收集方告知較為便利，且知情同意原則下使用情況的告知是以信息被收集的告知為基礎的，故由收集方一并告知更為合理。同時，收集與使用的分離還將引申出收集使用的一致性原則，即收集方不得利用信息主體與信息受讓方間的信息屏障而超使用范圍地收集校園個人信息。但目前機制、法律還未能對此進行有效的監管。且總體上我國當下的法律大多只涉及信息主體與信息收集者間的利益平衡，而缺乏規定去界定涉及個人信息的三方關系中如何達到利益平衡。

（二）校園個人信息保護中的權責劃分。校園個人信息涉及信息主體、學校及商業機構三大主體。先看信息主體的權利。提供個人信息的主體有所有權、知情權、決定權、處分權。校園個人信息顧名思義是個人的信息，即信息所有權在個人。雖然信息主體有時會將個人信息告知第三人，但這不是所有權的轉移，也非信息使用權的授予。第三人享有他人的個人信息使用權需個人信息所有者與信息使用者間締結使用合同。該合同的訂立則涉及信息主體的知情權。若信息主體對合同中使用者使用信息的方法等不明，可要求使用者做說明，直至清楚。若使用者超過雙方所約定的使用范圍使用個人信息，則構成侵權。再者，知情不等于同意，除非信息主體有明確意思表示，即行使決定權來確認使用者可使用自己的個人信息、使用的種類及場合等事項。再看學校。學校對校園師生的個人信息有管理權、監督權。學校應完善管理部門主體來統管校園個人信息。同時，要監督相關部門保護校園個人信息，通過權利制衡，保障學校所管理的信息不被非法泄露。不僅要對收集存儲于校內的個人信息進行把控，也需對外來的需要收集師生個人信息的商戶企業進行監督。最后是商業機構。商業機構與其他主體不同，它對校園個人信息的權利是基于合同約定，不贅述。

二、建議

（一）信息主體。信息主體的個人信息保護意識亟待提升，應了解主動信息侵權后的維權方式，還應主動獲取個人信息的相關知識和反詐騙知識，確立起高度的防范意識。

（二）學校。學校可從制度、技術及意識引導幾方面加強對校園個人信息的保護。學校可以設立核心責任部門制度，將業務上涉校園個人信息的諸多部門中最關鍵的一個部門如信息管理中心確立為核心責任部門，由該部門來統一收集、存儲及管理校園個人信息并設立應急預案。校內其他部門對相關信息的使用需向核心責任部門報批，由核心責任部門按需調出信息供其使用。同時，核心責任制度的設立也有利于達到知情同意原則及透明度原則對涉校園個人信息活動的要求。由專門部門負責收集校園個人信息能緩解信息主體對信息安全性的顧慮，利于信息主體在知情后同意信息被收集。總而言之，核心責任部門制度通過統一權責，既能有效避免校園個人信息的重復收集，規范化信息的使用，降低信息泄露的風險；又能在信息泄露事件發生后，讓信息的流轉更有跡可循，利于危害的控制與事后責任的追究。而在數字化信息化校園的趨勢下，學校與外部信息公司合作前，應由核心責任部門對有關公司的資質進行嚴格考察。此外，學校要加強對相關人員保護校園個人信息意識的引導。一方面是要加強涉校園個人信息業務人員的意識；另一方面則是要加強信息主體的保護意識。

（三）第三方機構。為保護校園個人信息安全，需對第三方機構的權利進行限制。目前，其對于個人信息的采集，大部分還是采取人工的方式，工作人員很容易在一線采集信息的過程中接觸到個人信息，故第三方機構可采機器采集方式收集，減少泄露。對不再使用的信息做刪檔處理，以防校園個人信息的二次交易。而且目前我國的人臉識別等技術已經比較發達，若可通過人臉識別全網信息連鎖，由政府采集個人信息并授權，第三方通過政府授權收到更為明確分類和精確的信息，以此來開展業務，既減少信息收集，也利于信息泄露時究責。

（四）社會國家。社會國家也能夠助力校園個人信息的保護。如，成立專門的信息交易中心來開展并規范個人信息的交易，及時制止涉校園個人信息的不正當交易行為。而信息交易中心應由有關行政部門，如互聯網信息化辦公室主持設立。因為中心事務的實施需要強制力與公信力，而由政府設立中心的原因不僅在于個人信息的保護具有社會公益性，還在于社會未來的發展越來越需要信息資源，信息數據已經成為一項重要的生產要素，故政府需要加強對信息交易的規范化引導，以保證社會的平穩發展。當然，校園個人信息的社會性保護離不開社會保護意識的提升，故需媒體曝光惡性校園個人信息泄露事件，定期推送你我都可做的校園個人信息保護方法，向公眾介紹《個人信息保護法》等法律。國家層面則需完善個人信息保護的法律體系，保持對侵害校園個人信息行為的嚴厲打擊。校園個人信息的種類隨著時代的發展將愈發繁多，故國家的有關立法需與時俱進地補正，同時侵害校園個人信息的行為也將愈發多樣，故國家可逐漸針對不同領域、不同形式的侵害行為針對性地出臺治理政策，及時填補校園個人信息保護的漏洞。司法方面，國家可制定針對侵害校園個人信息的民事賠償及量刑指導意見，對該行為施以重于侵害普通個人信息的懲罰。

（五）拓展應用。上述建議還適用于社會個人信息的保護。如，核心責任部門制度的理念便可應用于社會個人信息保護。對涉個人信息業務的公司，設置獨立的核心部門管理全部個人信息，既能加強社會個人信息保護，也有利于樹立良好的企業形象，規避信息泄露的風險。

校園個人信息是社會個人信息的一部分，而校園個人信息保護也離不開社會整體對個人信息的保護。例如，政府設立信息交易中心，加強對信息交易的規范化引導，不僅適用于校園個人信息，也廣泛地適用于其他社會個人信息。有關部門、各類媒體應當積極宣傳引導，促進信息主體提高個人信息保護意識，加強對處理個人信息企業的監督，對侵害公民個人信息權利的行為予以嚴懲。

三、結語

本研究在分析校園個人信息保護中的法律關系、權責劃分的基礎上針對性地提出建議。未來社會的信息化程度進一步提高，信息的透明化與個人權利的平衡問題仍值得學者探究。