歐盟教育數(shù)據(jù)隱私保護(hù)立法與治理體系構(gòu)建

◎趙泓源

當(dāng)前，數(shù)字技術(shù)正以前所未有的速度和規(guī)模向社會(huì)各領(lǐng)域融合滲透，引起了新一輪的科技和產(chǎn)業(yè)革命。將全新的數(shù)字技術(shù)融入教育領(lǐng)域，推動(dòng)教育數(shù)字化轉(zhuǎn)型升級(jí)已經(jīng)成為世界范圍內(nèi)教育發(fā)展的一項(xiàng)重要議題。教育數(shù)字化轉(zhuǎn)型的順利開展需要以海量數(shù)據(jù)信息為支撐。在對(duì)學(xué)習(xí)者和教育工作者信息進(jìn)行收集、匯總、存儲(chǔ)、傳輸、分析、處理、共享的過程中，教育數(shù)據(jù)的安全治理和隱私保護(hù)問題隨之而來(lái)。近年來(lái)，全球范圍內(nèi)教育領(lǐng)域個(gè)人信息過度采集、隱私泄露、網(wǎng)絡(luò)攻擊等安全事件頻發(fā)，教育數(shù)據(jù)開放共享與隱私保護(hù)之間的固有矛盾日益凸顯，引起了各國(guó)政府和學(xué)界的廣泛關(guān)注。

在全球范圍內(nèi)，歐美發(fā)達(dá)國(guó)家和地區(qū)在數(shù)據(jù)安全整體治理和教育數(shù)據(jù)隱私保護(hù)等問題上擁有相對(duì)豐富的法律制度和實(shí)踐經(jīng)驗(yàn)。在此背景下，對(duì)先進(jìn)國(guó)家和地區(qū)的立法和實(shí)踐經(jīng)驗(yàn)進(jìn)行系統(tǒng)研究并加以借鑒，為我國(guó)在現(xiàn)有數(shù)據(jù)安全法律制度基礎(chǔ)上構(gòu)建教育數(shù)據(jù)隱私保護(hù)體系提供一種合理優(yōu)化途徑。歐盟制定的《通用數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation，以下簡(jiǎn)稱GDPR）作為面向各領(lǐng)域各類型數(shù)據(jù)的一般性保護(hù)條例為保護(hù)教育數(shù)據(jù)安全和隱私，規(guī)范數(shù)據(jù)采集和處理行為提供了明確規(guī)范。因此，本文將以歐盟教育數(shù)字化轉(zhuǎn)型過程中實(shí)施的教育數(shù)據(jù)隱私保護(hù)立法與實(shí)踐為分析對(duì)象，梳理歐盟保護(hù)教育數(shù)據(jù)安全的手段和經(jīng)驗(yàn)。

一、歐盟教育數(shù)字化轉(zhuǎn)型中的數(shù)據(jù)隱私問題

作為教育水平發(fā)達(dá)地區(qū)之一，歐盟在教育數(shù)字化轉(zhuǎn)型戰(zhàn)略上一直處于世界前列，并于2020 年發(fā)布了最新綱領(lǐng)性文件——《數(shù)字教育行動(dòng)計(jì)劃（2021—2027）》，將“發(fā)展高績(jī)效數(shù)字教育生態(tài)系統(tǒng)”作為兩大戰(zhàn)略之一，旨在推動(dòng)數(shù)字技術(shù)在日常教與學(xué)中的廣泛應(yīng)用。同時(shí)，全球性新冠肺炎疫情導(dǎo)致多數(shù)學(xué)生開始居家接受遠(yuǎn)程在線教育，迫使教育數(shù)字化進(jìn)程大幅提升。因此，當(dāng)前歐洲地區(qū)教育理念和實(shí)踐模式不斷創(chuàng)新，數(shù)字化轉(zhuǎn)型正處于蓬勃發(fā)展階段。與此同時(shí)，包含學(xué)習(xí)者和教育工作者個(gè)人信息的海量數(shù)據(jù)被不斷收集、匯總、存儲(chǔ)、傳輸、分析、處理、共享，并被應(yīng)用于不同的教育場(chǎng)景之中，導(dǎo)致近年來(lái)歐洲地區(qū)的教育數(shù)據(jù)在整個(gè)生命周期的各個(gè)環(huán)節(jié)均面臨著隱私侵犯的風(fēng)險(xiǎn)與危機(jī)。

（一）教育數(shù)據(jù)采集和匯總階段

數(shù)字技術(shù)在教育領(lǐng)域的全方位應(yīng)用大幅度削弱了學(xué)習(xí)者和教育工作者在信息采集時(shí)的選擇權(quán)。一方面，數(shù)據(jù)主體為了獲得平等的教育機(jī)會(huì)和更多的教育資源，不得不做出授權(quán)個(gè)人隱私信息的被動(dòng)選擇，且難以掌控其數(shù)據(jù)信息的使用方式和最終走向。另一方面，多數(shù)教育數(shù)據(jù)主體尚不具備足夠的數(shù)據(jù)保護(hù)意識(shí)和數(shù)字素養(yǎng)，與高速發(fā)展的數(shù)字技術(shù)之間存在明顯的不對(duì)稱性，使得數(shù)字技術(shù)可以以網(wǎng)絡(luò)為切口，在數(shù)據(jù)主體不知情或未經(jīng)數(shù)據(jù)主體同意的情況下采集個(gè)人信息。

（二）教育數(shù)據(jù)存儲(chǔ)和傳輸階段

存儲(chǔ)和傳輸階段是教育數(shù)據(jù)泄露的高發(fā)階段。首先，教育機(jī)構(gòu)內(nèi)部的管理人員缺乏數(shù)據(jù)保護(hù)意識(shí)且技術(shù)水平欠缺。例如，2019 年，挪威卑爾根市的市政用戶計(jì)算機(jī)系統(tǒng)在投入使用前未進(jìn)行充分的安全性和保密性測(cè)試，導(dǎo)致其管理的一所市政小學(xué)的小學(xué)生及雇員的個(gè)人數(shù)據(jù)處于不受任何保護(hù)且完全公開的狀態(tài)［1］。（注：挪威雖然不是歐盟成員國(guó)，但屬于歐洲經(jīng)濟(jì)區(qū)（European Economic Area）成員。GDPR 已經(jīng)納入歐洲經(jīng)濟(jì)區(qū)協(xié)議，并于2018 年7 月在挪威適用。挪威與歐盟成員國(guó)一樣受到GDPR 的約束。因此，本文在對(duì)歐洲地區(qū)教育數(shù)據(jù)隱私問題進(jìn)行研究時(shí)，將挪威也納入研究對(duì)象的范圍內(nèi)。）其次，教育機(jī)構(gòu)薄弱的數(shù)據(jù)保護(hù)與加密系統(tǒng)也為黑客制造網(wǎng)絡(luò)攻擊和勒索事件提供了可乘之機(jī)。有研究報(bào)告顯示，教育行業(yè)是最缺乏網(wǎng)絡(luò)攻擊防御能力的行業(yè)。近一半教育機(jī)構(gòu)選擇通過支付贖金以恢復(fù)數(shù)據(jù)，但數(shù)據(jù)恢復(fù)不僅速度慢、成本高，且很難恢復(fù)到被攻擊前的正常水平［2］。

（三）教育數(shù)據(jù)分析和處理階段

對(duì)教育數(shù)據(jù)進(jìn)行分析處理的過程中也存在隱私侵犯的潛在風(fēng)險(xiǎn)。人工智能算法利用大量教育歷史數(shù)據(jù)完成學(xué)習(xí)和訓(xùn)練，進(jìn)而對(duì)教育主體未來(lái)的行為活動(dòng)做出準(zhǔn)確預(yù)測(cè)或提供合理規(guī)劃。但是，由于人工智能算法的訓(xùn)練數(shù)據(jù)在實(shí)際分布上存在一定偏差，其基于學(xué)生學(xué)業(yè)成績(jī)、學(xué)習(xí)行為以及社會(huì)背景等數(shù)據(jù)信息的分析可能含有種族、性別或其他歧視因素，形成數(shù)據(jù)偏見，不僅會(huì)影響決策的公正性，也會(huì)阻礙對(duì)學(xué)習(xí)者創(chuàng)造力和發(fā)展?jié)摿Φ陌l(fā)掘［3］。

（四）教育數(shù)據(jù)共享和使用階段

實(shí)現(xiàn)教育數(shù)據(jù)的互通共享，并利用數(shù)據(jù)分析結(jié)果為學(xué)習(xí)者和教育工作者提供科學(xué)的規(guī)劃和指引，是教育數(shù)據(jù)生命周期的最后環(huán)節(jié)，也是真正發(fā)揮教育數(shù)據(jù)實(shí)際效用的關(guān)鍵階段。在這一階段，教育機(jī)構(gòu)通常需要與第三方服務(wù)提供商建立合作，通過云儲(chǔ)存、學(xué)習(xí)管理系統(tǒng)、線上學(xué)習(xí)平臺(tái)或教育軟件等實(shí)現(xiàn)教育數(shù)據(jù)的有效利用。第三方不充分的數(shù)據(jù)保護(hù)協(xié)議或數(shù)據(jù)的不當(dāng)處理可能會(huì)導(dǎo)致侵犯隱私和未經(jīng)授權(quán)訪問教育信息等行為。教育主體的個(gè)人隱私信息被濫用于非教育行為的現(xiàn)象屢見不鮮。

二、歐盟教育數(shù)據(jù)隱私保護(hù)的立法與政策

（一）歐盟教育數(shù)據(jù)隱私保護(hù)立法背景

1.歐盟向來(lái)重視對(duì)公民隱私權(quán)和個(gè)人信息的保護(hù)。歐洲地區(qū)在公民隱私權(quán)和個(gè)人信息保護(hù)的問題上存在立法傳統(tǒng)。歐洲在保護(hù)公民隱私權(quán)的問題上注重發(fā)揮政府公權(quán)力之效用，通過立法和政策手段賦予公民隱私權(quán)以更高位階的保護(hù)。

1981 年，歐共體首次嘗試通過《個(gè)人信息保護(hù)公約》在歐洲地區(qū)建立統(tǒng)一的個(gè)人信息保護(hù)法律制度，但收效甚微。僅有少數(shù)成員國(guó)批準(zhǔn)該公約生效，且未能建立配套的國(guó)內(nèi)法幫助實(shí)施，無(wú)法從根本上解決問題。1995 年，歐盟訂立《關(guān)于個(gè)人信息處理保護(hù)及個(gè)人信息自由傳輸?shù)闹噶睢罚ㄒ韵潞?jiǎn)稱《指令》），以推動(dòng)個(gè)人信息保護(hù)在各成員國(guó)內(nèi)部的有效落實(shí)。但是各成員國(guó)在將其轉(zhuǎn)化為國(guó)內(nèi)法的過程中，結(jié)合自身實(shí)際需求采取了不同的法律解釋方法，反而加劇了成員國(guó)之間個(gè)人信息保護(hù)制度的沖突與矛盾，更加阻礙歐洲個(gè)人信息保護(hù)法的一體化進(jìn)程。一直到2016 年，歐盟理事會(huì)表決通過《通用數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation，以下簡(jiǎn)稱GDPR），歐洲地區(qū)才在個(gè)人信息保護(hù)的立法問題上取得突破性進(jìn)展。區(qū)別于《指令》，GDPR 在歐盟法體系中享有更高的法律效力，可直接適用于歐洲公民，正式在歐盟各成員國(guó)之間建立起統(tǒng)一的個(gè)人信息保護(hù)和數(shù)據(jù)流動(dòng)規(guī)則，為教育數(shù)據(jù)隱私保護(hù)治理體系的構(gòu)建打下了堅(jiān)實(shí)基礎(chǔ)。

2.教育數(shù)據(jù)開放共享與隱私保護(hù)之間日益突出的矛盾關(guān)系?？萍及l(fā)展的兩面性始終是一個(gè)不可避免的議題。在全球教育數(shù)字化轉(zhuǎn)型的時(shí)代背景下，歐盟在教育數(shù)據(jù)采集存儲(chǔ)、分析處理、開放共享和互通互聯(lián)方面存在強(qiáng)烈的現(xiàn)實(shí)需求。具體而言，數(shù)據(jù)采集樣本數(shù)量越大、多樣性越強(qiáng)，數(shù)據(jù)分析的可行性和準(zhǔn)確度越高；不同部門、教育機(jī)構(gòu)及平臺(tái)之間盡可能地消除數(shù)據(jù)壁壘和數(shù)據(jù)壟斷，也有助于發(fā)揮教育數(shù)據(jù)的最大效用價(jià)值［4］。但與此同時(shí)，教育數(shù)據(jù)生命周期長(zhǎng)、數(shù)量龐大且成分復(fù)雜等特征賦予其自身明顯的隱私屬性。如果一味無(wú)限度、無(wú)秩序地將教育數(shù)據(jù)開放共享，且不能采取有效措施加以保護(hù)，將會(huì)對(duì)公民的人身和財(cái)產(chǎn)安全，社會(huì)和經(jīng)濟(jì)秩序的穩(wěn)定發(fā)展以及國(guó)家安全造成威脅。由此可見，教育數(shù)據(jù)開放共享與公民隱私保護(hù)之間存在著固有的利益沖突。因此，如何建立與教育數(shù)字化轉(zhuǎn)型相匹配的立法和治理體系，在教育數(shù)據(jù)開放共享和教育數(shù)據(jù)隱私保護(hù)之間尋求動(dòng)態(tài)平衡，是歐盟一直以來(lái)不斷探索的關(guān)鍵性議題。

（二）歐盟教育數(shù)據(jù)隱私保護(hù)的原則性法律框架

雖然目前歐盟在教育數(shù)據(jù)隱私保護(hù)方面尚未制定專門的法律，但GDPR 作為現(xiàn)階段歐盟數(shù)據(jù)安全治理領(lǐng)域的綱領(lǐng)性法律文件，為歐洲經(jīng)濟(jì)區(qū)內(nèi)教育數(shù)據(jù)的隱私保護(hù)和安全治理搭建起了原則性框架。因此，本文嘗試將GDPR 中的基礎(chǔ)性原則放置在教育數(shù)據(jù)治理的語(yǔ)境下，研究GDPR 在歐洲經(jīng)濟(jì)區(qū)教育數(shù)據(jù)隱私保護(hù)中的具體應(yīng)用和重要意義。

GDPR 尤其強(qiáng)調(diào)數(shù)據(jù)處理過程中數(shù)據(jù)控制者和數(shù)據(jù)處理者的重要性。在教育數(shù)據(jù)保護(hù)領(lǐng)域，學(xué)校作為主要的數(shù)據(jù)控制者需要與在線學(xué)習(xí)平臺(tái)、數(shù)據(jù)分析軟件等數(shù)據(jù)處理者簽訂合同，以完成一系列數(shù)據(jù)處理行為。由于數(shù)據(jù)處理者只是代表控制者處理數(shù)據(jù)，處理數(shù)據(jù)的手段和目的均由數(shù)據(jù)控制者，即學(xué)校決定，故下文將重點(diǎn)討論學(xué)校作為數(shù)據(jù)控制者如何在GDPR 規(guī)定的原則性框架下承擔(dān)保護(hù)個(gè)人信息安全的責(zé)任。

1.數(shù)據(jù)處理行為必須以合法依據(jù)為基礎(chǔ)。學(xué)校只能在有法律依據(jù)的情況下對(duì)個(gè)人數(shù)據(jù)進(jìn)行處理。因此，學(xué)校在處理個(gè)人數(shù)據(jù)之前需要根據(jù)GDPR 第6 條［5］的規(guī)定確定其合法依據(jù)，包括：

第一，同意：數(shù)據(jù)主體同意基于一個(gè)或多個(gè)特定目的而處理其個(gè)人數(shù)據(jù)，且控制者能夠提供合理證據(jù)證明數(shù)據(jù)主體已經(jīng)同意處理其個(gè)人數(shù)據(jù)。

第二，合同：數(shù)據(jù)處理是為履行數(shù)據(jù)主體作為一方的合同所必需。當(dāng)學(xué)校與家長(zhǎng)之間為某些目的（如研學(xué)旅行）簽訂合同時(shí)，可能適用合同依據(jù)。

第三，法律義務(wù)：數(shù)據(jù)處理是為履行控制者所負(fù)擔(dān)的法律義務(wù)所必需。

第四，切身利益：數(shù)據(jù)處理是為保護(hù)數(shù)據(jù)主體或另一自然人的重大利益所必需。該法律依據(jù)主要涉及到數(shù)據(jù)主體無(wú)法表示同意的情況下對(duì)生命的保護(hù)，例如，當(dāng)學(xué)生發(fā)生嚴(yán)重事故時(shí)，為保護(hù)其切身利益，學(xué)?？梢韵蚓茸o(hù)人員提供該學(xué)生的醫(yī)療記錄、健康狀況等個(gè)人資料，便于及時(shí)開展緊急醫(yī)療服務(wù)。

第五，公共利益：數(shù)據(jù)處理是為執(zhí)行公共利益領(lǐng)域的任務(wù)所必需或是為行使控制者被賦予的公務(wù)職權(quán)所必需。

第六，合法利益：數(shù)據(jù)處理是為實(shí)現(xiàn)控制者或者第三方所追求的合法利益所必需。如果學(xué)校開展不屬于基礎(chǔ)教育活動(dòng)的活動(dòng)，例如出租學(xué)校設(shè)施、開展課后或課外活動(dòng)或籌辦學(xué)校范圍外的體育賽事，則學(xué)?？赡軗碛羞M(jìn)行個(gè)人數(shù)據(jù)處理的合法權(quán)益。

2.根據(jù)數(shù)據(jù)信息的敏感程度對(duì)其進(jìn)行分級(jí)分類處理。教育領(lǐng)域收集并處理的個(gè)人數(shù)據(jù)涵蓋范圍極廣，任何已識(shí)別到的或可被識(shí)別的自然人的所有信息都屬于個(gè)人數(shù)據(jù)的范疇，既包括學(xué)生、家長(zhǎng)以及教職員工的姓名、地址、分?jǐn)?shù)、聯(lián)系方式、學(xué)業(yè)報(bào)告等具有較強(qiáng)人身屬性的一般信息，也包括健康狀況、飲食要求以及生物識(shí)別數(shù)據(jù)等敏感信息。由于敏感信息可能導(dǎo)致對(duì)個(gè)人的基本權(quán)利與自由的非法歧視和區(qū)別對(duì)待，風(fēng)險(xiǎn)等級(jí)更高，因此，學(xué)校作為數(shù)據(jù)控制者應(yīng)有效識(shí)別不同的個(gè)人數(shù)據(jù)并根據(jù)GDPR 的規(guī)定對(duì)其進(jìn)行分級(jí)分類處理。對(duì)于敏感信息，除了滿足個(gè)人數(shù)據(jù)處理的一般合法基礎(chǔ)外，還必須滿足特殊種類數(shù)據(jù)處理的附加條件。

3.數(shù)據(jù)處理行為必須遵循基本原則。在GDPR 的原則性框架下，學(xué)校作為數(shù)據(jù)控制者開展的任何數(shù)據(jù)處理行為都必須遵循以下七項(xiàng)基本原則［6］：

第一，合法、公平和透明原則。具體而言，學(xué)校需要制定數(shù)據(jù)隱私聲明或政策條款，向有關(guān)教職員工、學(xué)生及學(xué)生家長(zhǎng)明確解釋自己將如何處理他們的個(gè)人數(shù)據(jù)。

第二，目的限制原則。學(xué)校不得以超出預(yù)期目的的任何方式獲取、持有或處理數(shù)據(jù)，更不能出于“以防萬(wàn)一”的目的收集有關(guān)人員的全部個(gè)人數(shù)據(jù)。

第三，數(shù)據(jù)最小化原則。學(xué)校必須對(duì)能夠?qū)崿F(xiàn)預(yù)期目的所必需教育數(shù)據(jù)信息做出準(zhǔn)確判斷，并且不收集任何進(jìn)一步的數(shù)據(jù)，最大限度地減少其持有的個(gè)人數(shù)據(jù)量。

第四，準(zhǔn)確性原則。學(xué)校應(yīng)當(dāng)定期對(duì)其所持有的個(gè)人數(shù)據(jù)進(jìn)行審核，對(duì)發(fā)生變化的個(gè)人數(shù)據(jù)及時(shí)予以更新或同步，對(duì)不準(zhǔn)確或已過期的個(gè)人數(shù)據(jù)及時(shí)予以刪除或修正，以確保其準(zhǔn)確無(wú)誤并始終保持最新狀態(tài)。

第五，存儲(chǔ)限制原則。對(duì)于具備識(shí)別數(shù)據(jù)主體功能的個(gè)人數(shù)據(jù)，學(xué)校可以根據(jù)數(shù)據(jù)處理的目的自行決定保留數(shù)據(jù)的必要時(shí)間，但目的達(dá)成后，學(xué)校必須在必要留存期限到期前及時(shí)予以刪除或銷毀。

第六，完整性和保密性原則。學(xué)校在確保個(gè)人數(shù)據(jù)安全的前提下對(duì)其進(jìn)行處理，包括使用適當(dāng)?shù)募用芑蚪乖L問措施以防止未經(jīng)授權(quán)或者非法的數(shù)據(jù)處理、數(shù)據(jù)遺失、滅失或損毀。

第七，問責(zé)制原則。學(xué)校需要記錄數(shù)據(jù)處理活動(dòng)的每個(gè)節(jié)點(diǎn)，包括處理什么數(shù)據(jù)、使用什么系統(tǒng)進(jìn)行處理、是否存在第三方合同、該數(shù)據(jù)處理行為是否需要接收數(shù)據(jù)保護(hù)影響評(píng)估等，便于在數(shù)據(jù)處理行為受到質(zhì)疑時(shí)，隨時(shí)提供充分且詳細(xì)的證明證據(jù)。

4.數(shù)據(jù)控制者的義務(wù)貫穿于個(gè)人數(shù)據(jù)處理的全過程。

（1）數(shù)據(jù)保護(hù)影響評(píng)估和事先咨詢。教育涉及生活、教學(xué)、服務(wù)，學(xué)校、家庭、社會(huì)多個(gè)場(chǎng)景，其所包含的個(gè)人數(shù)據(jù)信息具有層級(jí)多、種類雜、跨度長(zhǎng)、數(shù)量大等特點(diǎn)，電子存儲(chǔ)、數(shù)據(jù)訪問和共享傳輸?shù)囊牒蛷V泛使用又增加了數(shù)據(jù)丟失、泄漏、損壞或?yàn)E用的可能性，導(dǎo)致教育領(lǐng)域的數(shù)據(jù)保護(hù)問題通常具有較高的風(fēng)險(xiǎn)系數(shù)。因此，學(xué)校作為數(shù)據(jù)控制者應(yīng)當(dāng)及時(shí)開展有效的風(fēng)險(xiǎn)評(píng)估和分析流程，全面了解數(shù)據(jù)處理過程中可能面臨的各類風(fēng)險(xiǎn)，以采取有效措施降低風(fēng)險(xiǎn)。

（2）個(gè)人數(shù)據(jù)泄露事故的事后通知。學(xué)校等教育機(jī)構(gòu)需要建立起一套完備的個(gè)人數(shù)據(jù)泄露應(yīng)急預(yù)案，便于在事故發(fā)生時(shí)及時(shí)發(fā)現(xiàn)、隨時(shí)記錄、評(píng)估事故風(fēng)險(xiǎn)、采取補(bǔ)救措施、通知監(jiān)管機(jī)構(gòu)及相關(guān)數(shù)據(jù)主體，盡可能地將個(gè)人數(shù)據(jù)泄露造成的危害和損失降到最低。此外，如果個(gè)人數(shù)據(jù)泄露可能對(duì)數(shù)據(jù)主體的權(quán)利和自由造成高風(fēng)險(xiǎn)，學(xué)校應(yīng)當(dāng)即刻通知相關(guān)的數(shù)據(jù)主體，并與之展開實(shí)時(shí)溝通交流。

5.對(duì)未成年人的教育數(shù)據(jù)隱私予以特殊保護(hù)。未成年人是教育領(lǐng)域，尤其是基礎(chǔ)教育領(lǐng)域的主要數(shù)據(jù)主體，因此，GDPR 中對(duì)于未成年人信息保護(hù)的特殊規(guī)定，在教育數(shù)據(jù)保護(hù)過程中得到了廣泛應(yīng)用。由于未成年人處于心智尚不成熟的階段，缺乏獨(dú)立的民事行為能力，對(duì)個(gè)人數(shù)據(jù)處理的風(fēng)險(xiǎn)、后果以及防范意識(shí)較薄弱，因此應(yīng)當(dāng)獲得特別保護(hù)。GDPR 第8 條“關(guān)于信息社會(huì)服務(wù)相關(guān)的兒童同意的條件”特別強(qiáng)調(diào)，“只有在取得兒童監(jiān)護(hù)人同意和授權(quán)的情況下進(jìn)行的數(shù)據(jù)處理才屬于合法處理”［7］。具體表現(xiàn)為，父母或其他監(jiān)護(hù)人可以以自己的名義代為行使知情權(quán)、訪問權(quán)、糾正權(quán)、拒絕權(quán)等各項(xiàng)權(quán)利，有權(quán)代為表明對(duì)未成年人個(gè)人數(shù)據(jù)進(jìn)行處理的知情和同意意愿，通過撤回授權(quán)的方式代為行使被遺忘權(quán)［8］。此外，為了確保監(jiān)護(hù)人同意或授權(quán)的真實(shí)性，GDPR 引入“驗(yàn)證機(jī)制”，要求在考慮到現(xiàn)有技術(shù)水平的前提下，數(shù)據(jù)控制者和處理者應(yīng)當(dāng)做出合理的努力以核實(shí)該同意或授權(quán)確由未成年人的監(jiān)護(hù)人真實(shí)作出，為未成年人個(gè)人數(shù)據(jù)保護(hù)提供了雙重保障。

三、歐盟教育數(shù)據(jù)隱私保護(hù)的治理體系

（一）歐盟教育數(shù)據(jù)隱私保護(hù)的組織架構(gòu)

為確保上述原則性法律框架得到迅速落實(shí)和有效實(shí)施，GDPR 對(duì)于個(gè)人數(shù)據(jù)保護(hù)的組織架構(gòu)同樣做出了具體的規(guī)定。

目前，歐盟形成了歐盟數(shù)據(jù)保護(hù)委員會(huì)（European Data Protection Board）、各成員國(guó)數(shù)據(jù)監(jiān)管機(jī)構(gòu)以及數(shù)據(jù)保護(hù)專員（Data Protection Officer）三位一體、協(xié)調(diào)合作的綜合組織架構(gòu)。歐盟數(shù)據(jù)委員會(huì)負(fù)責(zé)向各成員國(guó)發(fā)布GDPR 個(gè)人數(shù)據(jù)保護(hù)指南、建議和最佳實(shí)踐范例，并在促進(jìn)監(jiān)管機(jī)構(gòu)合作和多邊交流上發(fā)揮著重要作用；各成員國(guó)監(jiān)管機(jī)構(gòu)對(duì)本國(guó)境內(nèi)所有領(lǐng)域涉及個(gè)人數(shù)據(jù)處理的行為和活動(dòng)進(jìn)行管理和監(jiān)督，并開展跨國(guó)合作，為實(shí)現(xiàn)個(gè)人數(shù)據(jù)的互通共享和跨境合作掃清障礙；數(shù)據(jù)保護(hù)專員則在個(gè)人數(shù)據(jù)保護(hù)工作中發(fā)揮著溝通協(xié)調(diào)的橋梁作用，將數(shù)據(jù)控制者或處理者與監(jiān)管機(jī)構(gòu)聯(lián)系起來(lái)，便于監(jiān)管機(jī)構(gòu)對(duì)數(shù)據(jù)控制者或處理者進(jìn)行審查、糾正、建議。三者相互配合、相輔相成，共同推動(dòng)GDPR 規(guī)則在歐洲經(jīng)濟(jì)區(qū)內(nèi)的一致適用，促進(jìn)個(gè)人數(shù)據(jù)在歐洲境內(nèi)的自由流動(dòng)。

在教育數(shù)據(jù)保護(hù)領(lǐng)域，該組織架構(gòu)則具體表現(xiàn)為：

第一，學(xué)校作為教育數(shù)據(jù)控制者必須任命至少一位數(shù)據(jù)保護(hù)專員。數(shù)據(jù)保護(hù)專員作為學(xué)校數(shù)據(jù)安全保護(hù)的監(jiān)督者和輔助者，對(duì)專業(yè)性有較高的要求，不僅需要掌握數(shù)據(jù)保護(hù)知識(shí)和網(wǎng)絡(luò)安全技術(shù)，而且需要熟悉數(shù)據(jù)保護(hù)相關(guān)的法律法規(guī)和學(xué)校的運(yùn)作方式及業(yè)務(wù)內(nèi)容等。在歐盟各成員國(guó)教育行政部門發(fā)布的學(xué)校教育數(shù)據(jù)保護(hù)指南中，數(shù)據(jù)保護(hù)專員必須積極參與學(xué)校內(nèi)部所有與個(gè)人數(shù)據(jù)保護(hù)有關(guān)的事務(wù)，包括向?qū)W校領(lǐng)導(dǎo)和工作人員就其數(shù)據(jù)保護(hù)義務(wù)提供建議、監(jiān)控學(xué)校數(shù)據(jù)控制和處理的合規(guī)性、定期進(jìn)行數(shù)據(jù)審核與國(guó)家數(shù)據(jù)監(jiān)管機(jī)構(gòu)溝通等等。

第二，監(jiān)管機(jī)構(gòu)充分發(fā)揮監(jiān)督和執(zhí)法作用，有權(quán)對(duì)違反GDPR 的學(xué)校等教育機(jī)構(gòu)處以行政罰款。由于學(xué)校等教育機(jī)構(gòu)具有特殊的信任地位，尤其涉及未成年人個(gè)人數(shù)據(jù)的處理，需要嚴(yán)格遵守?cái)?shù)據(jù)保護(hù)法。近年來(lái)受全球疫情影響，學(xué)校主要通過視頻會(huì)議工具等實(shí)時(shí)通訊軟件舉行在線課程和考試，數(shù)字技術(shù)的使用大幅增加。在這種情況下，各國(guó)數(shù)據(jù)監(jiān)管機(jī)構(gòu)對(duì)教育部門作出處罰的數(shù)量有所增加，并且呈現(xiàn)持續(xù)上升趨勢(shì)。例如，2021 年，意大利博科尼大學(xué)在在線考試中使用遠(yuǎn)程監(jiān)控軟件對(duì)學(xué)生進(jìn)行視頻監(jiān)控并拍攝照片，但并未以適當(dāng)?shù)姆绞礁嬷忌鷶?shù)據(jù)處理情況，被意大利數(shù)據(jù)監(jiān)管機(jī)構(gòu)處以20 萬(wàn)歐元的罰款［9］。

（二）各成員國(guó)共同治理的教育數(shù)據(jù)隱私保護(hù)體系

歐盟教育數(shù)據(jù)隱私保護(hù)治理體系的構(gòu)建離不開各成員國(guó)的積極參與。一方面，GDPR 作為歐盟層面的上層法律制度，雖然可以直接適用于各成員國(guó)公民，但其具體執(zhí)行仍需要各國(guó)政府的積極配合和合理調(diào)節(jié)；另一方面，GDPR 在部分法律問題上采取了較為抽象的表述方式，賦予成員國(guó)一定自由選擇的空間，可以在此基礎(chǔ)上根據(jù)本國(guó)實(shí)際需求進(jìn)一步細(xì)化。鑒于篇幅限制，本文選擇歐盟成員國(guó)法國(guó)和德國(guó)作為重點(diǎn)研究對(duì)象，歸納總結(jié)它們?cè)贕DPR 法律框架下保護(hù)教育數(shù)據(jù)隱私安全的各項(xiàng)舉措。

1.法國(guó)。法國(guó)政府從20 世紀(jì)初就開始致力于公民隱私的保護(hù)工作。早在1978 年，法國(guó)就出臺(tái)了《法國(guó)數(shù)據(jù)保護(hù)法》（French Data Protection Act，以下簡(jiǎn)稱FDPA），成為歐洲地區(qū)第一個(gè)針對(duì)個(gè)人數(shù)據(jù)的收集、處理和使用引入隱私保護(hù)法的國(guó)家。2018 年，F(xiàn)DPA 進(jìn)行了大幅修訂，在主體內(nèi)容上與GDPR 的現(xiàn)代數(shù)據(jù)保護(hù)機(jī)制保持高度一致，僅在個(gè)別問題上結(jié)合本國(guó)實(shí)際需求做更詳細(xì)的規(guī)定。國(guó)家信息與自由委員會(huì)（National Commission on Informatics and Liberty，以下簡(jiǎn)稱CNIL），作為法國(guó)的首要數(shù)據(jù)監(jiān)管機(jī)構(gòu)，負(fù)責(zé)監(jiān)管FDPA 和GDPR 在法國(guó)各領(lǐng)域的執(zhí)行，并通過發(fā)布大量針對(duì)特定部門的建議和指南，指導(dǎo)各企業(yè)或機(jī)構(gòu)更好地遵守?cái)?shù)據(jù)保護(hù)的各項(xiàng)法律法規(guī)。

（1）與教育行政部門開展合作，助力教育領(lǐng)域數(shù)據(jù)安全治理。法國(guó)國(guó)家教育和青年部于2018 年與CNIL 簽訂協(xié)議以建立長(zhǎng)期合作伙伴關(guān)系，在培養(yǎng)教育領(lǐng)域成員個(gè)人數(shù)據(jù)保護(hù)意識(shí)、支持教育機(jī)構(gòu)遵守GDPR、對(duì)數(shù)據(jù)進(jìn)行教育性使用等領(lǐng)域開展聯(lián)合行動(dòng)。同時(shí)，成立由國(guó)家教育和青年部以及CNIL 代表共同組成的指導(dǎo)委員會(huì)，對(duì)教育領(lǐng)域的個(gè)人數(shù)據(jù)保護(hù)和處理工作進(jìn)行監(jiān)督和審查，確保各行動(dòng)計(jì)劃得到妥善實(shí)施［10］。

（2）在未成年人數(shù)據(jù)保護(hù)和其自主意愿表達(dá)之間尋求平衡。CNIL 長(zhǎng)期以來(lái)一直致力于保護(hù)未成年人數(shù)據(jù)安全與隱私，尤其強(qiáng)調(diào)對(duì)“被遺忘權(quán)”的保護(hù)。2021 年，CNIL 對(duì)法國(guó)未成年人數(shù)據(jù)保護(hù)工作進(jìn)行了全面審查，并針對(duì)審查結(jié)果發(fā)布了8 項(xiàng)建議，旨在為未成年人提供一個(gè)安全開放的數(shù)字環(huán)境，在未成年人數(shù)據(jù)保護(hù)和其自主權(quán)之間尋求動(dòng)態(tài)平衡［11］。根據(jù)GDPR 和FDPA 的規(guī)定，原則上應(yīng)當(dāng)由父母及其他監(jiān)護(hù)人代表未成年人行使其個(gè)人數(shù)據(jù)權(quán)。但是，CNIL 主張，對(duì)于與年齡、認(rèn)知和智力水平相匹配的數(shù)據(jù)處理行為，未成年人需要擁有較大程度上的數(shù)據(jù)自主權(quán)。這有助于培養(yǎng)未成年人的個(gè)人數(shù)據(jù)保護(hù)意識(shí)，幫助他們更好地理解并學(xué)會(huì)合理地行使自己的個(gè)人數(shù)據(jù)權(quán)。同時(shí)，未成年人的父母及其他監(jiān)護(hù)人在該法律框架下發(fā)揮著“安全閥”作用，當(dāng)父母認(rèn)為有必要保護(hù)未成年人的最大利益時(shí)，可采取及時(shí)有效的補(bǔ)救措施，守住未成年人數(shù)據(jù)隱私安全底線。

（3）為尚處于開發(fā)階段的教育科技項(xiàng)目提供數(shù)據(jù)保護(hù)建議。從2022 年開始，CNIL 積極介入教育科技項(xiàng)目的開發(fā)工作，在促進(jìn)數(shù)字技術(shù)在教育領(lǐng)域廣泛應(yīng)用的同時(shí)，為其中涉及的教育數(shù)據(jù)隱私問題保駕護(hù)航。以DATA 項(xiàng)目為例［12］，其目的是建立一個(gè)針對(duì)開放性在線課程網(wǎng)站學(xué)習(xí)者的學(xué)習(xí)痕跡庫(kù)。在使用在線課程網(wǎng)站學(xué)習(xí)時(shí)，學(xué)習(xí)者的行為，如觀看視頻、點(diǎn)擊內(nèi)容和測(cè)試結(jié)果等均會(huì)產(chǎn)生數(shù)據(jù)。這些可以準(zhǔn)確描述學(xué)習(xí)者的學(xué)習(xí)進(jìn)度、揭示他們遇到的困難或他們感興趣的課程主題等的數(shù)據(jù)被稱為“學(xué)習(xí)痕跡”。該學(xué)習(xí)痕跡庫(kù)將數(shù)據(jù)分析處理的結(jié)果向?qū)W習(xí)者和教學(xué)團(tuán)隊(duì)做出反饋，以改進(jìn)教學(xué)實(shí)踐、提高學(xué)習(xí)者的透明度、制定個(gè)性化的學(xué)習(xí)路徑。CNIL 要求項(xiàng)目負(fù)責(zé)人在項(xiàng)目開發(fā)過程中就做好教育數(shù)據(jù)隱私的保護(hù)和防范工作，對(duì)學(xué)習(xí)痕跡進(jìn)行匿名化處理，排除其中具備明顯個(gè)人特征的數(shù)據(jù)，弱化匿名數(shù)據(jù)與其他數(shù)據(jù)之間的關(guān)聯(lián)關(guān)系，以便將此類數(shù)據(jù)開放共享；同時(shí)，對(duì)數(shù)據(jù)開放情況進(jìn)行長(zhǎng)期監(jiān)測(cè)，時(shí)刻評(píng)估數(shù)據(jù)開放存在的可能風(fēng)險(xiǎn)。

2.德國(guó)。德國(guó)數(shù)據(jù)保護(hù)的歷史最早可以追溯到二戰(zhàn)后，黑森州聯(lián)邦通過了全球第一部數(shù)據(jù)保護(hù)法。1978 年，德國(guó)通過《聯(lián)邦數(shù)據(jù)保護(hù)法》（BDSG），確立了德國(guó)數(shù)據(jù)保護(hù)原則，規(guī)定了數(shù)據(jù)控制者和處理者的權(quán)利和義務(wù)，并設(shè)立聯(lián)邦數(shù)據(jù)保護(hù)專員確保法律執(zhí)行。2018 年，為配合GDPR 的同步運(yùn)行，德國(guó)出臺(tái)了全新的聯(lián)邦數(shù)據(jù)保護(hù)法案（BDSG-new），在GDPR 尚未涵蓋或允許例外的情況下起到補(bǔ)充作用。

（1）聯(lián)邦制下教育數(shù)據(jù)保護(hù)的去中心化。德國(guó)的聯(lián)邦制決定了德國(guó)學(xué)校在實(shí)現(xiàn)教育數(shù)字化轉(zhuǎn)型和實(shí)施教育數(shù)據(jù)保護(hù)中的獨(dú)特性。德國(guó)的教育政策屬于16 個(gè)州的獨(dú)立事務(wù)，由各州的教育部門自主管轄，各州之間的合作由聯(lián)邦機(jī)構(gòu)——德國(guó)教育和文化事務(wù)部長(zhǎng)常設(shè)會(huì)議管理。因此，德國(guó)約11000 個(gè)市鎮(zhèn)學(xué)校網(wǎng)絡(luò)基礎(chǔ)設(shè)施的建立、數(shù)字教學(xué)設(shè)備的引進(jìn)等均由其各自的能力和財(cái)力決定，彼此之間的教育數(shù)字化進(jìn)程和教育數(shù)據(jù)保護(hù)能力存在較大差異。因此，為平衡這一差異，確保不同地區(qū)的教育機(jī)構(gòu)均符合數(shù)據(jù)保護(hù)法的要求，德國(guó)的教育數(shù)據(jù)保護(hù)整體呈現(xiàn)去中心化形態(tài)，尤其注重對(duì)各學(xué)校教育數(shù)據(jù)保護(hù)專員的選聘與培訓(xùn)。各監(jiān)管機(jī)構(gòu)要求，學(xué)校的數(shù)據(jù)保護(hù)專員承擔(dān)數(shù)據(jù)文件管理、數(shù)據(jù)處理登記、數(shù)據(jù)保護(hù)監(jiān)督、風(fēng)險(xiǎn)影響評(píng)估等一系列工作，不僅需要擁有高水平的專業(yè)知識(shí)，而且需要具備足夠的時(shí)間和精力，因此必須設(shè)置全職職位，不能由學(xué)校教職員工兼任。此外，德國(guó)聯(lián)邦教育體系在進(jìn)行差異化管理的同時(shí)，也會(huì)對(duì)資源有限、發(fā)展落后的地區(qū)予以重點(diǎn)關(guān)注和幫扶，盡可能地實(shí)現(xiàn)教育數(shù)字化和教育數(shù)據(jù)保護(hù)的多層次、一體化發(fā)展進(jìn)程。

（2）優(yōu)化教育數(shù)據(jù)保護(hù)的技術(shù)保障。學(xué)校等教育機(jī)構(gòu)只能與能夠充分保證遵守?cái)?shù)據(jù)保護(hù)規(guī)定的網(wǎng)絡(luò)信息系統(tǒng)服務(wù)商合作，服務(wù)商則需要通過認(rèn)證（Certification）向其客戶證明其信息系統(tǒng)的安全性。2021年，德國(guó)聯(lián)邦教育和研究部（BMBF）資助開展“教育信息系統(tǒng)數(shù)據(jù)保護(hù)認(rèn)證研究項(xiàng)目”，為學(xué)校信息系統(tǒng)提供數(shù)據(jù)保護(hù)認(rèn)證的概念設(shè)計(jì)、示范實(shí)施和測(cè)試。該項(xiàng)目計(jì)劃設(shè)計(jì)一個(gè)質(zhì)量印章（Quality Seal），通過進(jìn)一步開發(fā)和應(yīng)用將其發(fā)展成為數(shù)據(jù)保護(hù)認(rèn)證，并根據(jù)GDPR 制定認(rèn)證的標(biāo)準(zhǔn)目錄，為符合標(biāo)準(zhǔn)的數(shù)據(jù)控制者或處理者提供規(guī)范化、模塊化、高效率的認(rèn)證程序。

（3）改革未成年人保護(hù)法為兒童數(shù)據(jù)隱私提供多重保護(hù)。為積極回應(yīng)GDPR 對(duì)于未成年人數(shù)據(jù)保護(hù)的特別規(guī)定、執(zhí)行聯(lián)合國(guó)《數(shù)字環(huán)境中兒童權(quán)利一般性意見》的要求，德國(guó)于2021 年對(duì)其《聯(lián)邦未成年人保護(hù)法》進(jìn)行改革，對(duì)未經(jīng)授權(quán)向第三方披露和使用數(shù)據(jù)的風(fēng)險(xiǎn)進(jìn)行了明確規(guī)定，要求在線平臺(tái)服務(wù)商在提供服務(wù)的過程中通過兒童友好的條款和條件、安全默認(rèn)設(shè)置、確保搜索引擎無(wú)法找到用戶個(gè)人資料等預(yù)防措施來(lái)應(yīng)對(duì)此類風(fēng)險(xiǎn)，以保障未成年人的高水平隱私安全。同時(shí)，為幫助上述各項(xiàng)立法發(fā)揮實(shí)際效用，德國(guó)聯(lián)邦政府成立“數(shù)字世界中的兒童保護(hù)和兒童權(quán)利”項(xiàng)目，制定和實(shí)施兒童與青少年數(shù)據(jù)保護(hù)相關(guān)的政策戰(zhàn)略，并積極與歐盟和聯(lián)合國(guó)層面的互聯(lián)網(wǎng)治理機(jī)構(gòu)開展合作，將德國(guó)兒童和青少年數(shù)據(jù)保護(hù)的行動(dòng)和經(jīng)驗(yàn)傳達(dá)到歐洲和國(guó)際層面。

（三）歐盟教育數(shù)據(jù)隱私保護(hù)的倫理構(gòu)建

盡管GDPR 作為歐洲經(jīng)濟(jì)區(qū)內(nèi)通行的數(shù)據(jù)保護(hù)法律已經(jīng)取得了顯著成效，但要有效應(yīng)對(duì)數(shù)字時(shí)代的挑戰(zhàn)，仍需要探索綜合性的方法來(lái)解決數(shù)據(jù)保護(hù)問題。在當(dāng)前產(chǎn)業(yè)發(fā)展勢(shì)頭迅猛、法律監(jiān)管尚不成熟的時(shí)期，倫理規(guī)約作為一種軟性約束發(fā)揮著不可或缺的作用，在實(shí)現(xiàn)有效監(jiān)管的同時(shí)，賦予數(shù)字技術(shù)和數(shù)據(jù)共享傳輸自由發(fā)展的彈性空間?？偟膩?lái)說(shuō)，現(xiàn)階段想要實(shí)現(xiàn)對(duì)個(gè)人數(shù)據(jù)的良好治理，離不開倫理與法律的共同效用，需要軟硬兼施、取長(zhǎng)補(bǔ)短，實(shí)現(xiàn)自律與他律的有機(jī)協(xié)調(diào)。

具體到教育領(lǐng)域，教育數(shù)據(jù)倫理是“對(duì)教育數(shù)據(jù)產(chǎn)生、采集、存儲(chǔ)和分析利用過程中所應(yīng)秉持的道德信念和行為規(guī)范的理性審視”［13］。教育數(shù)據(jù)安全涉及的主體不同，他們所承擔(dān)的倫理責(zé)任也不同，需要各主體將教育數(shù)據(jù)隱私保護(hù)的道德共識(shí)內(nèi)化于心、外化于行，共同形成具有軟性約束力的倫理規(guī)約。目前，歐盟在教育數(shù)據(jù)隱私保護(hù)領(lǐng)域的倫理規(guī)約構(gòu)建主要表現(xiàn)在公民素養(yǎng)和行業(yè)自律兩個(gè)方面：

1.提升公民對(duì)教育數(shù)據(jù)隱私的自我保護(hù)意識(shí)和保護(hù)能力。公民缺乏數(shù)據(jù)保護(hù)意識(shí)、對(duì)數(shù)據(jù)收集和處理行為的忽視和不理解，是當(dāng)前很多網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)事故發(fā)生的根源所在。因此，為培養(yǎng)公民數(shù)據(jù)素養(yǎng)，提升其自我保護(hù)意識(shí)和保護(hù)能力，歐盟自2013 年開始發(fā)布公民數(shù)字能力框架，并在2022 年最新發(fā)布的2.2 版公民數(shù)字能力框架中特別規(guī)定了如何在學(xué)習(xí)場(chǎng)景下保護(hù)個(gè)人數(shù)據(jù)和隱私，包括在學(xué)校數(shù)字學(xué)習(xí)平臺(tái)上分享個(gè)人信息時(shí)如何選擇最合適的保護(hù)方式、如何評(píng)估個(gè)人數(shù)據(jù)在數(shù)字平臺(tái)使用時(shí)可能帶來(lái)的權(quán)利和隱私風(fēng)險(xiǎn)、如何理解和克服數(shù)據(jù)隱私遭受侵犯復(fù)雜情況等等。歐盟資助的歐洲學(xué)習(xí)分析協(xié)會(huì)也積極推進(jìn)教育數(shù)據(jù)倫理和隱私問題的相關(guān)研究和實(shí)踐。自2014 年起，歐洲學(xué)習(xí)分析協(xié)會(huì)組建多個(gè)學(xué)習(xí)分析道德和隱私有關(guān)工作坊，加強(qiáng)教育工作者對(duì)數(shù)據(jù)倫理和隱私問題的認(rèn)識(shí)，使他們能夠在教育活動(dòng)中合法、合規(guī)地使用數(shù)據(jù)［14］。

在歐盟的領(lǐng)導(dǎo)和倡議下，出臺(tái)數(shù)字倫理道德倡議、培養(yǎng)教育主題數(shù)字素養(yǎng)的歐洲成員國(guó)數(shù)量迅速增加。2020 年法國(guó)出臺(tái)《疫情背景下教育數(shù)據(jù)使用的倫理問題》，提出開展對(duì)于各類在線教育參與者的信息技術(shù)與信息化公民素養(yǎng)培訓(xùn)，包括數(shù)據(jù)隱私保護(hù)意識(shí)、數(shù)字主權(quán)維護(hù)意識(shí)以及道德培養(yǎng)等相關(guān)內(nèi)容［15］。德國(guó)則在學(xué)校開展對(duì)教師和學(xué)生數(shù)據(jù)保護(hù)的全面培訓(xùn)，并通過klicksafe 網(wǎng)站向整個(gè)歐洲地區(qū)發(fā)起倡議，通過提供有關(guān)互聯(lián)網(wǎng)數(shù)據(jù)風(fēng)險(xiǎn)的實(shí)用指南、參考手冊(cè)和培訓(xùn)課程等，提高德國(guó)和歐洲范圍內(nèi)兒童、青少年、家長(zhǎng)和教育工作者的互聯(lián)網(wǎng)數(shù)字素養(yǎng)。

2.基本立法與自律性政策相結(jié)合的共同監(jiān)管模式。行業(yè)自律性政策是企業(yè)經(jīng)營(yíng)者、社會(huì)合作伙伴、非政府組織或協(xié)會(huì)之間采取的共同行為準(zhǔn)則。相較于政府公權(quán)力監(jiān)管而言，自律性政策成本更低，可以根據(jù)教育機(jī)構(gòu)及整個(gè)行業(yè)的實(shí)際需求定制特有的自我監(jiān)管政策，從而實(shí)現(xiàn)更高質(zhì)量的管理和更高效率的執(zhí)行。此外，法律法規(guī)的制定需要經(jīng)歷復(fù)雜的起草、審議和出臺(tái)程序，而自律政策更具有靈活性和及時(shí)性，能夠結(jié)合行業(yè)的實(shí)際發(fā)展?fàn)顩r迅速做出反應(yīng)。歐盟在數(shù)據(jù)保護(hù)問題上傾向于采取共同監(jiān)管模式，即通過基本立法GDPR 規(guī)定共同監(jiān)管的框架和范圍，然后由行業(yè)內(nèi)相關(guān)各方達(dá)成自我監(jiān)管協(xié)議，以實(shí)現(xiàn)基本立法的目標(biāo)。教育數(shù)據(jù)隱私保護(hù)和安全治理也離不開行業(yè)自律政策的調(diào)節(jié)。歐盟鼓勵(lì)學(xué)校及教育機(jī)構(gòu)積極起草數(shù)據(jù)收集、處理、共享的行為準(zhǔn)則，以表明其符合法律規(guī)定，從而獲得學(xué)生、家長(zhǎng)及教育工作者等教育數(shù)據(jù)主體的信任。

四、結(jié)語(yǔ)

歐盟在教育數(shù)據(jù)隱私保護(hù)領(lǐng)域已經(jīng)形成了相對(duì)穩(wěn)定且有效的治理體系。GDPR 為教育數(shù)據(jù)治理提供了原則性的法律依據(jù)和基本原則，并與軟法性質(zhì)的倫理規(guī)約相互協(xié)調(diào)，形成自律與他律相結(jié)合的制度體系，提升歐盟在教育數(shù)據(jù)領(lǐng)域的整體管理秩序和道德規(guī)范。同時(shí)，在歐盟數(shù)據(jù)保護(hù)委員會(huì)、各國(guó)數(shù)據(jù)監(jiān)管機(jī)構(gòu)和數(shù)據(jù)保護(hù)專員的積極配合下，形成多方參與、共同治理的組織架構(gòu)，確保上層制度體系的具體落實(shí)和有效執(zhí)行。

值得注意的是，歐盟在教育數(shù)據(jù)隱私治理上仍存在許多問題和不足。首先，歐盟在教育數(shù)據(jù)治理領(lǐng)域的上層制度構(gòu)建仍不完善，尚未出臺(tái)針對(duì)教育數(shù)據(jù)治理的專門法律法規(guī)，目前只能以GDPR 這一通用的數(shù)據(jù)保護(hù)規(guī)則作為唯一的法律依據(jù)。其次，當(dāng)前部分的學(xué)校和教育機(jī)構(gòu)尚不具備完全的數(shù)據(jù)保護(hù)能力，為嚴(yán)格遵守GDPR 各項(xiàng)規(guī)定、有效應(yīng)對(duì)數(shù)字技術(shù)可能帶來(lái)的數(shù)據(jù)風(fēng)險(xiǎn)，學(xué)校和各教育機(jī)構(gòu)的工作量、資金和技術(shù)需求以及應(yīng)當(dāng)承擔(dān)的責(zé)任都大幅增加，一定程度上增加了學(xué)校和教育機(jī)構(gòu)的財(cái)政和管理負(fù)擔(dān)。各國(guó)在細(xì)化本國(guó)教育數(shù)據(jù)治理、加大對(duì)學(xué)校和教育機(jī)構(gòu)幫扶力度等方面仍任重而道遠(yuǎn)。對(duì)歐盟教育數(shù)據(jù)隱私治理體系的全面研究，一方面可以借鑒其有益經(jīng)驗(yàn)，規(guī)范各類教育主體的數(shù)據(jù)權(quán)利和義務(wù)，幫助我國(guó)建立教育數(shù)據(jù)隱私保護(hù)和安全治理的合理路徑；另一方面可以吸取其經(jīng)驗(yàn)教訓(xùn)，加快教育領(lǐng)域的數(shù)據(jù)保護(hù)立法，從資金、技術(shù)、思想多個(gè)層面對(duì)教育領(lǐng)域的數(shù)據(jù)保護(hù)工作予以支持，促進(jìn)教育領(lǐng)域數(shù)據(jù)保護(hù)相關(guān)的法律和政策得到有效實(shí)施。

未來(lái)，我國(guó)需要不斷完善教育領(lǐng)域數(shù)據(jù)保護(hù)的法律法規(guī)，提升學(xué)生、教育工作者和教育機(jī)構(gòu)的數(shù)據(jù)隱私保護(hù)能力，加強(qiáng)教育數(shù)據(jù)控制者和處理者的自律意識(shí)，形成層層遞進(jìn)的教育數(shù)據(jù)保護(hù)組織結(jié)構(gòu)，構(gòu)建起具有中國(guó)特色符合中國(guó)國(guó)情解決中國(guó)問題的教育數(shù)據(jù)隱私治理體系。