高校处理学生个人信息的合理性

杨星　李越

摘要：学生个人信息的处理是高校管理工作中的必需。在个人信息保护走向法治化的当下，高校在处理学生个人信息的过程中应坚持合法、必要的原则，以维护学生利益为前提，为公共利益和管理需求，廓清合理范围，合法保护学生个人信息。

关键词：高校  学生个人信息  合理使用  范围

一、高校对学生个人信息的使用

个人信息不仅具有私权的属性，也带有公共属性。一方面出于个人权利保护的目的，应强化对个人信息的保护;另一方面出于社会管理和公共利益的需求，必然也需要允许个人信息的使用。个人信息的二重属性之间的矛盾性在高校的管理过程中会表现得更为突出。首先，高校的组织管理活动必需以学生个人信息的掌握为前提。其次，在高校日常教学、科研及学生管理的过程中，不可避免的需要收集、使用、管理學生的各类信息。最后，高校承担着培养符合社会需求得高层次人的职责，负有对学生进行教育管理的义务，期间势必面对“该不该用学生个人信息”的问题。例如学校依照校纪校规对违规学生做出处分，在公开的处分决定中是否可以使用了该生的一般信息，是否可以表露了其违规行为的信息，如果可以那么是否有使用程度的限制等。可见，高校对学生个人信息的使用界限相对来说是难以准确界定的。正因高校学生个人信息管理的难度，为管理的公开、透明，教育部于2017年12月印发通知《全面清理和规范学生资助公示信息》，要求全面清理超过期限的学生资助公示信息，必须将公示信息中含有的学生身份证件号码、家庭住址、电话号码、出生日期、银行卡号等敏感个人信息全部删除，以此保护学生的个人信息。可见高校在使用学生个人信息的过程中，合理使用的范围确定确有是为高校日常管理中的新内容。

《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）的生效，不仅为高校处理学生个人信息提供了法律依据，也为高校学生个人信息管理工作带来新的挑战。依照该法的规定，学生的一般个人信息和敏感信息均受到法律保护。作为信息处理者地位的高校在学生个人信息的收集、存储、使用、加工、传输、提供、公开、删除过程中必须坚持合法、正当、必要和诚实的原则，做到合法、合理的学生个人信息使用。

二、高校使用学生个人信息的合理化范围

（一）为公共管理需求的使用

高等学校的管理活动应当符合国家高等教育发展规划，符合国家利益和社会公共利益，因此，高校处理学校事务时应当尽力维护公共利益。当个人信息使用与公共利益发生冲突时，应以公共利益为主。可以看到，在抗击新冠疫情的过程中，个人行程信息发挥的作用有目共睹。作为疫情防控重点场所的高校，学生行程信息的采集、使用也渐次成为常态化工作。对此，高校为维护国家利益、公共利益而使用学生个人信息的行为具有正当化理由，属于合理使用的范畴。

另外，当高校学生实施违法行为需要承担法律责任时，学校对学生信息的处理也应该具有合理化的理由。例如，高校学生因感情纠纷发生争执，相约到校外聚众斗殴。此时，学校不仅需要配合相应的机关处理学生违法行为，也会基于维护社会公共秩序、学校井然秩序的需求对学生进行校内的行政处分。期间，对于部分严重行为的警告等行政处分行为的通报是否可以使用学生个人信息，使用的程度应该如何把握。首先，应该明确校方对这类行为的处理是本着维护公共秩序的目的而实施的，其中对学生个人信息的使用属于正当使用。在肯定学生拥有个人信息保有权和隐私权的前提下，为公共秩序的维持，对学生私人权利的有限侵犯也应视为合理、合法。

此时，对高校使用学生个人信息工作的更深层次的要求是如何明确公共利益和公共秩序需求。在认定公共利益的范畴时高校应从利益的客观性、社会性以及权利主体的特定性等层面对某一利益是否属于公共利益进行鉴别。宪法、法律和行政法规所确认的公共利益并无争议，公共秩序，抑或只是学校管理的一是需求是需要客观认定的。再例如，高校为严格学生管理要求特定的学生群体完成每日的指纹打卡的举措就需要特别注意学生个人信息的专门保护。还需要继续讨论的是《个人信息保护法》规定，在公共场所安装图像采集、个人身份识别设备，所收集的个人图像、身份识别信息只能用于维护公共安全的目的，不得用于其他目的。其中，应该如何定义“维护公共安全的目的”这需要对学校管理的时空范围、管理的目的等进行综合考虑，高校内的安全是否一定等同于公共安全，还是需要对公共安全做出合理的扩大解释。从高校管理的必要性和学生个人信息保护的必要性出发，后一种理解方式可能更具有合理性。

（二）为维护学生利益的使用

学校学生的合法权益，受法律保护是我国教育立法展开的基础和目的。当学生各项合法权益产生冲突时，只能通过权益之间的比较考来确认保护的范围，此时，即便高校对学生个人信息的处理有不当的嫌疑，也应视为正当使用。层出不穷的“校园贷”案件对学生财产和人身造成了严重的侵害。为帮助学生走出“校园贷”的骗局，校方对该类事件的处理会涉及到学生的银行卡号、转账金额、个人经济状况等敏感信息，理应是合理的。需要进一步讨论的是，如何考虑学生各项权利之间的关系，尤其是不同学生之间利益的关系。就学生个体利益而言，可以从权益的重要性、紧迫性和必要性等层面进行分析。而在不同学生之间的权益平衡，更需要校方对使用前提和后果做精细的梳理、预估，本着成本最低的经济原则给予处置。

（三）遵循信息采集目的的使用

《个人信息保护法》明确，信息处理者在收集个人信息过程中，应当限于实现处理目的的最小范围，不得过度收集个人信息。在高校的日常管理中，采集学生个人信息的目的多是为了处理学校事务实现教学、科研和服务的有序，所以在使用学生个人信息时也应恪守信息采集的目的，切忌超越目的随意使用学生个人信息。如，在高校学生管理中有着要求学生完成每日的健康打卡的做法，有些高校的管理方式中还有要求学生进行每日的指纹打卡，不否认学校管理本身的难度和重要性，但势必也要求高校应该遵循健康打卡的目的和管理的必要性目的，恰当使用学生的敏感信息。又如，对学生各类考试的报名信息、就业信息的而处理更应符合采集目的。也就是说，《个人信息保护法》中所明确的最小范围，应该严格遵从该项管理工作本身的目的，而且这个目的应为信息主体和信息处理者双方一致确认。可见，高校学生个人信息管理工作制度的精细化、准确化势在必行。

（四）在未侵犯学生个人信息自主权的条件下使用

依照《个人信息保护法》，个人对其个人信息的处理享有知情权、决定权，有权限制或者拒绝他人对其个人信息进行处理。高校学生都具有权利能力，通常也具有相应的行为能力，能独立地行使自己的权利，加之对个人信息的自主权的意识逐渐增强。高校在使用学生个人信息时，要充分尊重学生的意见，得在取得学生的同意下使用学生的个人信息。于是，如何获得学生的同意的问题便应运而生。通常而言获得学生同意的方式包括意思表示的清楚、正确表达，当然也有默示的同意。比如在学生基本信息采集过程中，学生对所填充的一般识别性信息应该可以视为学生同意效防对其进行处理。但是，需要注意的是一些特殊的敏感性的征得学生同意的程序就需要考虑程序的正当。比如在涉及学生名誉性评价的信息处理的过程中，如何获得学生的同意的问题。这种信息的同意理应建立在高校和学生之间有效沟通的基础之上，应该以明确告知学生处理这类信息的目的、方式以及影响后果等为前提。这对高校进行学生个人信息处理工作的细致度和针对性是极高的要求，需要高校学生管理中各个部门、各个环节之间的信息交互高度一致。

三、高校使用学生个人信息方式和程序的合理化

高校对学生个人信息的使用并非仅限于范围的合理，还在于使用、处理和保护的合理化，实现学生个人信息保护的全面性。首先，高校应接受学生补全和撤回个人信息的请求。学生在校学习的过程中出现的个人一般信息和敏感信息的改變的，高校应建议并允许学生及时修正自己的个人信息，以确保信息的正确性，切实维护学生利益。其次，高校应满足学生对个人信息使用情况的知情权。预先的制度安排往往可以更好的避免纠纷的出现，允许学生知晓学校对自己个人信息的使用情况，可以有效的预防双方矛盾的出现。再次，高校应保护的学生个人信息安全，避免学生个人信息出现不当使用、泄露。信息化和数据化是高校发展的必然，更应重视学生个人信息储存的方式、时间、期限，确定信息保者的责任，明确删除义务，完善学生个人信息保护制度。最后，高校的对学生个人信息的使用应恪守各项法律义务，积极创设与学校管理工作契合的的实施规则，细化、明确责任，使得高校学生个人信息使用走向制度化的轨道。

参考文献：

[1]范江波.法治视角看高校个人信息保护（上篇）[J].中国教育网络，2021，（05）：51-53.

[2]范江波.从法治视角看高校个人信息保护（下篇）[J].中国教育网络，2021，（06）：65-68.

[3]陈晓寒;项定宜.大数据时代大学生个人信息保护探究[J].法制博览，2020，（12）：94-95.

[4]张信华.维护高校学生合法权益的实践与思考[J].扬州大学学报（高教研究版），2008，（04）：79-81.

[5]陈宜菲.高校学生管理权与学生合法权益的冲突与平衡[J].太原城市职业技术学院学报，2012，（05）：108-110.