高校學(xué)生個人信息法律保護(hù)現(xiàn)狀及優(yōu)化

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了高校學(xué)生個人信息法律保護(hù)現(xiàn)狀及優(yōu)化范文，希望能給你帶來靈感和參考，敬請閱讀。

摘要：肺炎疫情防控中發(fā)生的“返鄉(xiāng)大學(xué)生”信息泄露事件反映出高校學(xué)生個人信息的法律保護(hù)存在困境。目前信息網(wǎng)絡(luò)法、教育法以及其他部門法雖可為高校學(xué)生個人信息的法律保護(hù)提供一定支持，但在法律適用和法律制度層面均存在不足。應(yīng)當(dāng)確立高校學(xué)生個人信息有限披露機(jī)制，出臺《普通高等院校學(xué)生信息安全保護(hù)辦法》，推動高校學(xué)生個人信息法律保護(hù)的優(yōu)化。

關(guān)鍵詞：高校學(xué)生個人信息；信息泄露；法律保護(hù)；利益平衡

2020年初，一場突如其來的肺炎疫情在全國乃至世界范圍內(nèi)蔓延?；谄鋫魅拘院痛哼\(yùn)的人員流動性迅速傳播，造成了極其嚴(yán)重的社會后果。與2003年的“SARS”疫情不同，肺炎疫情發(fā)生時我國正在信息時代的高速公路上飛馳，信息在疫情防控中的地位與作用也呈現(xiàn)出前所未有的重要性。其中，對武漢返鄉(xiāng)人員的重點(diǎn)防控即與信息化緊密結(jié)合，但是由此也引發(fā)了對這些人員個人信息的過度侵犯問題，特別是“返鄉(xiāng)大學(xué)生”信息更是成為個人信息被泄露的“重災(zāi)區(qū)”。在信息化、法治化的時代浪潮中，重大疫情對于信息披露的要求自不必言，但是高校學(xué)生個人信息的保護(hù)問題也不容忽視，否則可能對其造成長遠(yuǎn)的傷害。文章從高校學(xué)生個人信息法律保護(hù)的現(xiàn)狀著手，對高校學(xué)生個人信息法律保護(hù)的優(yōu)化進(jìn)行了探索。

一、高校學(xué)生個人信息法律保護(hù)的現(xiàn)狀

1.高校學(xué)生個人信息保護(hù)立法的梳理。隨著信息時代的發(fā)展，我國也在不斷出臺個人信息保護(hù)的法律，以促進(jìn)個人信息保護(hù)的實(shí)現(xiàn)。在基礎(chǔ)層面，《中華人民共和國憲法》（以下簡稱“憲法”）第三十八條規(guī)定公民的人格尊嚴(yán)不受侵犯，第四十條規(guī)定對公民的通信自由和通信秘密予以保護(hù)，這可以作為高校學(xué)生個人信息保護(hù)的憲法依據(jù)。在此基礎(chǔ)上，還需要結(jié)合各個法律的具體規(guī)定來維護(hù)高校學(xué)生個人信息的安全。一是信息網(wǎng)絡(luò)法?！吨腥A人民共和國網(wǎng)絡(luò)安全法》（以下簡稱《網(wǎng)絡(luò)安全法》）第四十一條規(guī)定了個人信息的收集與使用規(guī)則，指出網(wǎng)絡(luò)運(yùn)營者收集、使用個人信息要做到目的適正、公開透明和個人同意，同時不得違反法律和約定收集個人信息。而《網(wǎng)絡(luò)安全法》第四十一條第二款、第四十二條則規(guī)定了個人信息的保管規(guī)則，指出網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)依照法律規(guī)定和約定處理其保存的個人信息，不得泄露、篡改、毀損和未經(jīng)同意向他人提供個人信息，應(yīng)在發(fā)生或者可能發(fā)生上述情況時采取補(bǔ)救措施，并且告知個人和報告有關(guān)部門?！毒W(wǎng)絡(luò)安全法》的第四十四條明確指出任何個人和組織不得非法獲取、出售或提供個人信息。二是教育法?！吨腥A人民共和國教育法》（以下簡稱《教育法》）第四十三條規(guī)定，“受教育者享有法律、法規(guī)規(guī)定的其他權(quán)利”?！吨腥A人民共和國高等教育法》（以下簡稱《高等教育法》）第五十三條規(guī)定，“高等學(xué)校學(xué)生的合法權(quán)益，受法律保護(hù)”。三是其他部門法。如民法部門，《中華人民共和國民法總則》（以下簡稱《民法總則》）第一百一十一條規(guī)定：“自然人的個人信息受法律保護(hù)。任何組織和個人需要獲取他人個人信息的，應(yīng)當(dāng)依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息。”又如刑法部門，《中華人民共和國刑法》（以下簡稱《刑法》）第二百五十三條規(guī)定，對違反國家有關(guān)規(guī)定向他人出售或者提供公民個人信息（含將在履行職責(zé)或者提供服務(wù)過程中獲得的公民個人信息出售或者提供給他人），以及竊取或者以其他方法非法獲取公民個人信息的行為均予以處罰。

2.現(xiàn)有法律保護(hù)的不足。通過以上法律構(gòu)成的個人信息立法體系，在一般情況下可以相當(dāng)程度上為高校學(xué)生的個人信息提供法律層面的保護(hù)。但是在重大疫情防控中，現(xiàn)有法律保護(hù)體系則在保護(hù)高校學(xué)生個人信息的過程中呈現(xiàn)出較大的不足，具體體現(xiàn)在兩個層面。其一，在法律適用層面表現(xiàn)為缺乏公共利益和高校學(xué)生個人信息權(quán)利的平衡機(jī)制。對于社會發(fā)展而言，個人信息的流動與保護(hù)同樣重要。一味強(qiáng)調(diào)信息的保護(hù)，禁止信息的流動，勢必導(dǎo)致國家信息產(chǎn)業(yè)乃至社會發(fā)展的停滯；反之，如果只強(qiáng)調(diào)信息的流動，不注重個人信息的法律保護(hù)，也會導(dǎo)致社會的無序和混亂，從而產(chǎn)生極其嚴(yán)重的后果。因此，平衡理念在個人信息法律保護(hù)的過程中十分重要。有學(xué)者就這一問題進(jìn)行探討，如有學(xué)者提出“三方平衡”的觀念：“‘三方平衡’是指個人對個人信息保護(hù)的利益（核心是人格自由和人格尊嚴(yán)利益）、信息業(yè)者對個人信息利用的利益（核心是通過經(jīng)營活動獲取經(jīng)濟(jì)利益）和國家管理社會的公共利益之間的平衡。”[1]或以具體領(lǐng)域?yàn)槔M(jìn)行闡述，如“在公共健康領(lǐng)域，應(yīng)平衡個人隱私權(quán)、第三人知情權(quán)與健康權(quán)及公共利益三者的關(guān)系”[2]。對于高校學(xué)生個人信息的保護(hù)而言也是如此，必須考慮法益保護(hù)的平衡。比如，高校及其工作人員對于學(xué)生個人信息的占有、利用，只要和教育教學(xué)活動相關(guān)，具有正當(dāng)性，則應(yīng)當(dāng)在法律允許的范疇。但是如果超越了平衡的界限，則需要通過法律予以禁止。[3]比如，公開張貼學(xué)生的學(xué)業(yè)成績，公開申請資助學(xué)生的個人信息，在心理咨詢中不注意保護(hù)咨詢學(xué)生的隱私，在宿舍管理中未告知或未經(jīng)學(xué)生同意擅自進(jìn)入學(xué)生私人空間等行為，都在不同程度上侵犯了大學(xué)生的隱私權(quán)。[4]在重大疫情防控期間，這種平衡確實(shí)需要進(jìn)行調(diào)整，特別是注重向公共利益保護(hù)進(jìn)行傾斜，但是并不意味著完全忽視對于高校學(xué)生個人信息的保護(hù)。其二，在法律制度層面表現(xiàn)為缺乏有效的、科學(xué)的高校學(xué)生個人信息規(guī)范體系。雖然現(xiàn)有立法可以在一定程度上為高校學(xué)生個人信息提供保護(hù)依據(jù)，但是其針對性、有效性有限，及至重大疫情等重大公共事件發(fā)生，根本難以在法律層面對其個人信息進(jìn)行完善保護(hù)?，F(xiàn)行立法中，《網(wǎng)絡(luò)安全法》《民法總則》《刑法》等立法雖然規(guī)定對個人信息進(jìn)行保護(hù)，但是均是基于一般主體作出，而非專門針對高校學(xué)生作出，不具有針對性。

二、高校學(xué)生個人信息法律保護(hù)的優(yōu)化

基于高校學(xué)生個人信息法律保護(hù)的不足，應(yīng)當(dāng)從多個視角采取對策，推動其信息安全維護(hù)和社會利益維護(hù)的有機(jī)協(xié)調(diào)，以及制度體系的全面完善。

1.確立高校學(xué)生個人信息有限披露機(jī)制。在重大疫情防控等特殊時期，應(yīng)全面統(tǒng)籌疫情防控需要和高校學(xué)生個人信息保護(hù)需要，基于平衡的視角尋找妥當(dāng)?shù)谋Ｗo(hù)邊界，防止偏廢。在此過程中，應(yīng)特別注重對于兩重法律機(jī)制的構(gòu)建，實(shí)現(xiàn)其個人信息有限披露：一是確立高校學(xué)生個人信息定向披露機(jī)制。毋庸置疑，武漢“返鄉(xiāng)大學(xué)生”個人信息向公安、防疫等部門的披露對于重大疫情防控至關(guān)重要，但是也應(yīng)當(dāng)對于這種披露進(jìn)行必要的限定，即只對特定主體進(jìn)行定向披露，而非向社會進(jìn)行不定向披露。二是確立高校學(xué)生個人信息間接披露機(jī)制。在平時無論是直接識別個人信息還是間接識別個人信息（需與其他信息結(jié)合識別自然人個人身份的各種信息）都屬于法律所保護(hù)的個人信息范疇。然而在重大疫情防控中，確實(shí)對于“行蹤軌跡”等信息的披露有助于公眾自覺檢視疫情風(fēng)險，采取預(yù)防措施，防止疫情擴(kuò)大。由此，應(yīng)當(dāng)基于公共利益和個人權(quán)利平衡的視角，允許對高校學(xué)生個人間接信息的披露。

2.出臺《普通高等院校學(xué)生信息安全保護(hù)辦法》。應(yīng)圍繞高校學(xué)生個人信息保護(hù)的重點(diǎn)、難點(diǎn)和焦點(diǎn)問題出臺專門的法律文件。具體而言，應(yīng)在規(guī)章層面出臺由教育部頒布的《普通高等院校學(xué)生信息安全保護(hù)辦法》，其目的既在于規(guī)范高校及其工作人員的行為（防范內(nèi)部信息危險），也在于督促相關(guān)責(zé)任主體積極履行大學(xué)生個人信息保護(hù)義務(wù)（防范外部信息危險），為重大疫情等社會公共事件中該類主體的個人信息保護(hù)提供專門的保護(hù)規(guī)范。主要內(nèi)容應(yīng)包括以下四個部分。第一部分為總則?？倓t中應(yīng)規(guī)定以下兩項(xiàng)內(nèi)容：一是適用范圍。應(yīng)基于對于個人信息安全的界定，明確其適用高校學(xué)生的個人信息收集、使用、加工和傳輸。二是基本原則。具體應(yīng)包括合法原則、正當(dāng)原則、同意原則、保護(hù)原則。合法原則即要求對學(xué)生的信息收集合法，在違反相關(guān)法律法規(guī)或未經(jīng)學(xué)生知情同意的情況下，不得收集其信息。合理原則即對學(xué)生的信息收集須有正當(dāng)性理由。同意原則即對學(xué)生個人信息的處理和利用必須與收集目的一致，必要情況下的目的變更應(yīng)當(dāng)符合法律要求并征得信息主體的同意。保護(hù)原則即收集、處理和利用學(xué)生個人信息的主體應(yīng)當(dāng)采取合法有效的措施保護(hù)學(xué)生個人信息安全，防止學(xué)生個人信息丟失、毀損、泄露等。第二部分為管理機(jī)構(gòu)與職責(zé)。其內(nèi)容主要包括以下三項(xiàng)：一是管理方針與機(jī)構(gòu)。應(yīng)明確規(guī)定教育行政部門、高校必須重視學(xué)生個人信息保護(hù)工作，同時應(yīng)當(dāng)成立專門的組織機(jī)構(gòu)履行其保護(hù)職責(zé)。二是管理事項(xiàng)與要求。應(yīng)明確規(guī)定教育行政部門、高校建立全員性的教師行為準(zhǔn)則、保密規(guī)定等學(xué)生個人信息保護(hù)工作制度，同時要求教育行政部門、高校收集學(xué)生個人信息時應(yīng)就信息內(nèi)容等必要事項(xiàng)向各級主管部門進(jìn)行登記。三是限制性規(guī)定。應(yīng)明確規(guī)定教育行政部門、高校將第二款所規(guī)定的學(xué)生個人信息提供給信息主體之外的第三人的，應(yīng)當(dāng)同時就使用目的、方法、再交換條件以及其他重要事項(xiàng)做出明確限制。第三部分為權(quán)利與義務(wù)。具體分為學(xué)生的個人信息權(quán)利與義務(wù)與教育行政部門、高校的個人信息權(quán)利與義務(wù)。一是學(xué)生的個人信息權(quán)利與義務(wù)。具體包括對學(xué)生個人信息行使的自主決定權(quán)、對信息內(nèi)容的查詢權(quán)等權(quán)利，以及教育行政部門、高校在管理和安全保衛(wèi)活動中需要收集、使用、加工和傳輸學(xué)生個人信息時，予以必要配合的義務(wù)。二是教育行政部門、高校的個人信息權(quán)利與義務(wù)。包括因教學(xué)管理和安全保衛(wèi)確實(shí)需要的，可以強(qiáng)制收集、使用、加工和傳輸學(xué)生個人信息的權(quán)利，以及在法律規(guī)定的范圍內(nèi)收集、使用、加工和傳輸學(xué)生個人信息的義務(wù)，保護(hù)學(xué)生個人信息安全的義務(wù)，建立學(xué)生個人信息查詢備案制度等義務(wù)。第四部分為法律責(zé)任。具體分為以下三個方面：一是教育行政部門、高校非法收集、使用、加工和傳輸高校學(xué)生個人信息的，或者將獲取的信息用于其他用途的，或者違反本辦法第三章規(guī)定的，可以根據(jù)情節(jié)不同處以責(zé)令改正、警告或罰款的處罰。二是教育行政部門、高校不履行本辦法規(guī)定的保護(hù)學(xué)生個人信息義務(wù)的，由其上級機(jī)關(guān)或者有關(guān)機(jī)關(guān)責(zé)令改正，并給予負(fù)責(zé)人處分。三是構(gòu)成刑事責(zé)任、民事責(zé)任或者其他行政責(zé)任的，依照相應(yīng)的規(guī)定予以處罰。

3.推動高校學(xué)生個人信息立法的完善。第一，盡快出臺專門的《中華人民共和國個人信息保護(hù)法》。結(jié)合目前的立法規(guī)劃，其內(nèi)容應(yīng)該包括個人信息保護(hù)的基本原則，個人信息保護(hù)的管理體制，個人信息收集、處理、傳輸和利用制度，以及法律責(zé)任。個人信息保護(hù)的基本原則中應(yīng)明確個人信息保護(hù)所應(yīng)該遵循的基本方向和要求。個人信息保護(hù)的管理體制中應(yīng)明確主管機(jī)構(gòu)及其職責(zé)、管理程序、管理責(zé)任等。個人信息收集、處理、傳輸和利用制度中應(yīng)明確上述行為的具體內(nèi)涵和法律邊界，以及實(shí)施過程中的具體要求。法律責(zé)任中應(yīng)規(guī)定相關(guān)主體違反義務(wù)所承擔(dān)的法律責(zé)任，包括行政主體、企業(yè)主體和個人主體。此外，也應(yīng)在相關(guān)條款中作出專門規(guī)定，特別是關(guān)于高校學(xué)生等特殊主體的問題。第二，協(xié)調(diào)相關(guān)部門法的具體規(guī)定。其核心內(nèi)容應(yīng)為協(xié)調(diào)教育法和其他部門法的規(guī)定，比如，應(yīng)基于《網(wǎng)絡(luò)安全法》以及新制定的《中華人民共和國個人信息保護(hù)法》等法律規(guī)定，在《教育法》《高等教育法》等教育法中明確規(guī)定（高校）學(xué)生的個人信息依法受到法律保護(hù)，并且明確相關(guān)教育主體的義務(wù)和責(zé)任。最重要的即為高校等主體的義務(wù)與責(zé)任，既需要確保其自身及工作人員不成為學(xué)生個人信息的侵權(quán)人，也要做好學(xué)生個人信息的“守夜人”，全面實(shí)現(xiàn)學(xué)生個人信息的保護(hù)義務(wù)。具體可從縱向與橫向兩個維度展開：在縱向維度，保證教育行政主體及其工作人員不侵犯學(xué)生個人信息安全的義務(wù)，以及在必要程度上保護(hù)學(xué)生個人信息安全免受其他主體侵犯的義務(wù)。在橫向維度，保護(hù)學(xué)生個人信息不被非法獲取、非法提供、非法利用。[5]在此基礎(chǔ)上，推動建立高校、學(xué)生個人、相關(guān)部門共同參與的信息保護(hù)模式。

參考文獻(xiàn)：

[1]張新寶.從隱私到個人信息：利益再衡量的理論與制度安排[J].中國法學(xué)，2015，（3）.

[2]李燕.限制與保護(hù)：公共健康領(lǐng)域的個人隱私權(quán)[J].政法論叢，2017，（2）.

[3]劉磊，彭云杰.高校管理中大學(xué)生隱私權(quán)保護(hù)的法律思考[J].教育科學(xué)，2012，（4）.

[4]陳廷根，賴嫦媛.高校管理中大學(xué)生隱私權(quán)的保護(hù)[J].高教探索，2011，（5）.

[5]王肅之，馬力.論大數(shù)據(jù)環(huán)境下教育行政主體的學(xué)生個人信息安全保護(hù)義務(wù)[J].中國教育法制評論，2019，（1）.

作者：鄧琬心 單位：武漢大學(xué)法學(xué)院博士研究生