在线教育平台用户个人信息保护与开发研究

敖颜思文

（国家开放大学 组织部/人事部， 北京 100039）

智能化已经成为在线教育的重要助力和发展趋势。智能化发展既体现在优质教育资源的整合共享，也表现为消费端的海量收集、分类推送和精准画像。一方面，在线教育平台掌握大量用户个人信息，受技术和业务模式局限，极易造成用户个人信息泄露和滥用；另一方面，在线教育的自身特点决定了其开发和使用用户个人信息的必要性，如过分强调用户个人信息的限制性保护将制约在线教育的发展。因此，需在保障在线教育平台对用户个人信息合理开发的基础上进行优先保护，构建二者平衡管理框架，保障在线教育的平稳发展。

一、问题导入：在线教育平台用户个人信息保护的缘起

（一）规范缺陷

根据《网络安全法》第76条规定，个人信息具有“可识别”和“记录”两个要素。《民法典》第1034—1037条规定了个人信息的概念和收集、处理条件。《个人信息保护法》草案沿袭《民法典》个人信息处理“知情同意”原则，明确除涉及公共利益和法律例外规定外，个人信息处理需征得信息所有人同意或为一方履行合同之必须。2019年《儿童个人信息网络保护规定》出台，针对在线教育平台收集和使用未成年用户个人信息的行为进行了更加详细的规定。但仍存在如下问题。

一是缺乏信息保护与开发间的平衡机制。在线教育自身行业特点决定了其发展必须以用户数量和资源整合单位数为基础［1］，否则将失去个性化学习和整合化资源的行业发展优势。在此背景下，沿袭传统隐私权保护路径难以满足在线教育平台发展需要，现有规范文本并未对在线教育平台收集和使用用户个人信息设定合理边界，无法形成个人信息利益和平台信息合理使用权利的有效平衡。

二是在线教育领域用户个人信息保护规定体系缺失。在个人信息保护专门立法尚未出台的情况下，依靠《网络安全法》《教育法》等概括性规范显然缺乏用户个人信息保护的针对性，同时也缺乏针对在线教育平台的管理规范，对在线教育平台信息处理的权利和义务尚无明确规定，导致实践中监管依据缺失，难以形成有效的法律震慑和惩戒指示。

（二）实践困境

一是平台与用户存在技术鸿沟。信息的收集和开发对软件技术和硬件设置的要求较高，用户处于信息保护的弱势地位。一方面，用户往往不具备保护个人信息的意识和基本能力，同时在线教育由高等教育和职业教育逐年下移，中小学课程和兴趣教育用户占比逐年攀升，低幼及素质教育线上化率也明显提升。［2］未成年用户更是缺乏信息保护的意识，往往忽视在线教育平台提供的风险提示。另一方面，用户个人信息并不局限于个人身份信息，其学习行为和兴趣偏好也是在线教育平台信息收集和利用的重点，此类信息由在线教育平台通过信息技术整合分析形成，并不减损用户个人信息的“可识别性”，存在信息滥用的风险。

二是在线教育平台经营模式存在技术风险。目前在线教育平台主要存在以下4种经营模式。首先是B2C模式，即在线教育平台直接向用户提供课程资源，其产品以直播或录播课程为主，往往以免费或低价课程广泛吸引用户，通过分析用户学习需求和学习行为达到精准推送和推广的目的，并通过海量信息的二次整合开发，不断优化课程设计。其次是C2C模式，即在线教育平台自身并不开发课程资源，仅提供内容分发和推广平台，其收入与课程用户数和缴费数高度关联。在此模式下，受经济利益驱动，在线教育平台将大量资源和技术投入到用户画像上，既达到精准推广的目的，也将整合分析后的用户个人信息作为产品售卖，信息被滥用的风险极大。再次是O2O模式，即通过线上课程资源收集和分析用户需求，直击用户痛点并以此引流，其背后往往有互联网企业资本投入和技术支持，用户个人信息收集范围广、层次多元，且包含大量个人敏感信息。最后是B2B模式，即在线教育平台与学校、科研院所、培训机构等合作，主要提供职业资格考试和技能培训服务，用户个人信息由合作机构提供。在此模式下，由于合作双方信息技术不对等，无法对在线教育平台信息使用行为进行有效监管。

三是个人信息自身特性决定其高风险性。个人信息具有可识别性、高流动性和高使用价值的特征。个人信息的可识别性决定了在商事活动中难以同时满足个人信息保护的私密性要求和信息流动的最大化要求。高流动性表明单纯某一家在线教育平台的有效保护行为并不能降低信息被泄露或滥用的整体风险，仅凭行业自律难以形成个人信息保护的有效共识和统一标准。高度使用价值驱使以在线教育平台为代表的诸多商业主体广泛收集使用个人信息，最大限度地汲取大数据红利。在个人信息保护规范体系和保护标准尚不健全的情况下，技术鸿沟将导致信息侵犯风险的进一步加剧，在线教育类个人信息举报投诉占比超过80%。

二、理论回应：“知情同意”原则的再解释

（一）理论与实践冲突分析

根据信息开发的全生命周期理论①全生命周期理论最早作为生物学概念，被数据管理学研究者引入数据研究中，主要观点为，应以不同类型数据由产生到消除的全生命周期为视角，综合考虑数据在产生、预处理、储存、共享、使用开放和维护管理等阶段，强调程序的完整性和全面性。转引自张聪丛，郜颍颍，赵畅，杜洪涛.开放政府数据共享与使用中的隐私保护问题研究——基于开放政府数据生命周期理论［J］.电子政务，2018（9）.，信息开发大致可分为三个阶段。

一是信息的收集和筛选阶段。在线教育平台信息收集主要源于和用户个人主动提供，用户为达成学习目的，更好地享受在线教育服务，一般会详细提交各项信息；同时信息的提交也是接受服务的必要程序。因此，在信息收集和筛选阶段，“知情同意”原则往往让位于获取服务的便捷性。

二是信息的使用阶段。在线教育平台为提供个性化、定制化教学服务，往往会根据用户信息进行精准画像，同时针对同类别用户进行交叉分析，增加了用户个人信息被泄露的风险。“知情同意”往往在信息使用之前，尽管在线教育平台履行了必要事项的告知程序，但大数据时代信息使用的方式较为复杂，相关风险难以预知，同时由于信息交互的特点，“知情同意”的范围也势必随之扩大，难以覆盖全部信息主体。

三是信息的维护和管理阶段。在此阶段在线教育平台按照统一的数据安全标准和脱敏防护机制应对已收集和使用的用户个人信息进行跟踪、监管与控制。一方面，个人信息脱敏处理和追踪维护极具专业性，用户个人只能机械地选择同意，“知情同意”原则的作用被弱化甚至虚化。［3］另一方面，在线教育平台往往将整合分析后的用户信息视为改进课程服务、优化课程设计的重要工具，甚至作为二次宣传和扩大影响的重要渠道，因此，要求每一次信息处理前都经过信息主体的“知情同意”在现实中难以实现。

（二）理论再解释的必要性

“知情同意”作为个人信息收集利用的“帝王条款”［4］，要求有关个人信息的各项处理行为需经过信息主体的充分知情且明示同意，其意义在于维护信息主体对于个人信息的自主权利。但随着大数据时代的到来，“知情同意”高成本、低效率的弊端进一步凸显，同时技术壁垒也阻碍了“知情同意”原则在现实中的充分实现。在线教育行业特点决定其必须对用户个人信息加以收集并进行二次利用，而用户在使用过程中往往忽视隐私条款中关于信息收集处理的相关表述，即使部分用户有所留意，亦难理解其中的专业性概念。因此，在线教育领域个人信息保护应在承认“知情同意”原则在个人信息保护中处于核心地位的基础上，适当重构“知情同意”理论路径，突破“小数据”时代“知情同意”原则的理论桎梏，从而实现在线教育领域个人信息开发与保护的平衡。

（三）“知情同意”原则的重构

从规范意义上看，我国关于个人信息保护的现行规范均以信息主体的“知情同意”为信息处理的基本原则①详见《消费者权益保护法》第29条、 《网络安全法》第41条、 《网络安全法》第43条、 《电子商务法》第24条、 《民法典》第一千零三十三条第五项、 《个人信息保护法（草案）》第7条等。，以知情权难以实现为借口而剥夺知情权显然有悖于法治理念［5］。域外立法实践中欧盟《通用数据保护条例》和美国加州《2018年消费者隐私法》均强调“知情同意”原则的法律地位可为佐证。

从信息开发实践上看，随着大数据技术的广泛应用，“知情同意”理论受到质疑，有学者认为“知情同意”已不再是个人信息处理的正当性基础［6］，主张以事中动态控制和事后严格监管代替事前同意［7］，并要求信息处理主体承担信息保护的信义义务［8］。具体到在线教育领域，由于目前尚无在线教育用户信息保护的统一规范，也缺乏统一的信息共享和维护平台，在线教育市场在事中的动态控制技术尚不成熟、事后监管责任体系尚不健全的情况下，单纯依靠在线教育平台的信义义务和行业自律显然难以满足个人信息保护需要。

针对“知情同意”的批判主要源于现实中的“同意困境”，但现实困境并不构成对“知情同意”原则的抛却理由。相反，“知情同意”原则在个人信息保护领域具有深厚的法理基础，尤其在在线教育平台信息管理规制尚不健全的情况下，盲目摒弃该原则本身既是对信息主体权利的严重侵犯，同时也加剧了信息被泄露和滥用的风险。因此应以“知情同意”原则的改良为基本立场，在正视大数据对“知情同意”具体冲击的基础上，在法律层面确立“充分告知+分类同意+同意豁免”的规范结构，以个人信息保护法为统御，以在线教育平台信息处理规范为补充，推动在线教育平台个人信息保护与开发的良性博弈。

三、他山之石：域外在线教育平台信息开发与保护的经验

目前，关于域外在线教育平台用户个人信息保护与开发的研究较少，主要以个人信息保护相关法规和管理方式为切入点进行比较研究。总体而言，域外个人信息保护分为两种类型：一是强调信息自由和行业自律，同时以国家治理为辅的美国模式；二是以个人权利保护为基础，更加注重信息安全而非信息使用的欧盟模式。

美国采取分散立法模式，在公共领域以法律规范为主，强调在涉及个人信息收集和使用的公共领域制定个人信息保护的“部门法”，而在非公共领域则强调行业自律。同时依托信息技术优势，在信息保护方面制定了一系列技术规范标准，提出了信息收集“告知与同意”“数据完整”“数据可被追踪”三大原则。由于美国三权分立的政治传统，美国民众和立法者对政府存在比较强烈的不信任感，在信息保护领域强调行业自律而非政府干预，因此诸如联邦贸易委员会等信息监管机构在个人信息保护领域的权力极其有限。

欧盟以制定严格的信息保护标准和信息领域严格执法两种方式为主，2018年颁行《一般数据保护条例》赋予信息主体一系列信息主导权利，反映出欧盟更倾向于保障个人权利的自上而下的管理模式。一方面，明确个人信息保护标准，欧盟采取个人信息保护统一立法模式，2012年出台《数据保护规范草案》，明确规定数据掌控者只有在向数据主体提供数据处理目的等相应信息后才能采取处理措施，并配备完善的司法救济和行政救济措施，最新颁布的《一般数据保护条例》明确了信息主体享有“被遗忘权”“访问权”“数据便携权”“同意许可权”等信息权利。另一方面，在信息领域严格执法，欧盟《一般数据保护法案》将数据管理期限回溯一年，以此加强平台信息的可追溯性。同时，对侵犯个人信息的行政处罚设置较高的罚款。

四、制度完善：合理开发与有效保护的平衡

（一）在线教育平台“知情同意”原则的再解释

个人信息自主权利需要在具体的社会环境中实现。在线教育的蓬勃发展必然构成对用户个人信息保护的挑战，形成在线教育信息保护与开发之间的张力。在用户个人难以实际掌握信息主导权的情况下，应当对“知情同意”原则进行再解释，寻求用户信息在合理使用前提下的有效保护。

一是要求在线教育平台履行“充分告知”义务。“同意”的前提在于“知情”，在线教育平台与用户存在技术鸿沟和知识落差，应当要求在线教育平台在用户协议中明确信息收集的目的、范围、安全保护措施和存储期限。用户协议是否准确、清晰、易懂将作为在线教育平台信息收集和使用的准入要求。

二是按照信息分类划分“同意”类别。为克服“同意”形式化弊端，应当根据个人信息分类设置不同的“同意”类别。目前，学理上一般将个人信息分为个人敏感信息与一般个人信息两类［9］，2017年《个人信息安全规范》也以国家推荐性标准的形式列举了个人敏感信息的范围。因此，有必要对“同意”类别进行划分，在用户协议中对需收集使用的信息进行梳理，列举信息泄露后对信息主体产生消极影响，敏感信息应获得用户明示同意。同时要求在线教育平台获得用户一般个人信息授权后即应实现全部教学功能，不得据此拒绝用户使用或实施用户歧视。

（二）明确在线教育平台用户信息规制原则

由于在新兴技术领域法律滞后性凸显，明确信息安全治理原则以指导信息采集、存储、开放及使用程序显得尤为重要。在线教育平台用户信息规制原则主要包括以下三个方面。

一是信息合理利用优先原则。大数据信息“勾画一切”的基本功能使得个人信息的“个人性”被淡化，个人信息的保护与使用之间的界限日益模糊，从个人出发强调对信息的绝对自主既不符合现实，也易造成公共利益与个人权利的冲突。因此，应当确立信息合理利用优先原则，通过立法明确信息的公共属性以及信息合理使用原则。信息合理利用优先并不意味着个人信息权利的丧失，而是要求在追求信息开发价值最大化的同时，达到将公共领域和私人领域的风险最小化的效果。

二是数据安全原则。信息的安全使用已成为大信息时代的共识，信息安全原则的实现包括信息安全管理和信息安全技术标准两项内容，一方面要求在信息采集、存储和使用过程中遵循安全可控、目的明确、权责明确［10］的要求，明确信息合理利用的范围和界限。同时赋予个人对信息控制和主导的积极权能，保障信息主体对信息使用的知情、查询、更改、删除和被遗忘权等权利，完善公民个人信息被侵犯的救济途径。另一方面，要求制定完善的信息安全标准，从技术层面保证信息使用过程中的安全。

三是利益协调原则。信息安全治理过程中存在公共利益与个人利益之间的冲突，而利益协调又以信息安全领域法律规范的完善为前提。一般而言， 各国法律将“知情同意”原则作为信息使用的前提，但也规定了个人同意的例外事由。我国于2018年公布的《信息安全技术个人信息安全规范》中规定：因国家安全和公共利益需要，可以绕过信息主体的同意而径直采集个人信息。但目前在信息使用中国家安全和公共利益的判断依据尚付阙如，也因此产生了信息治理中利益难以协调的问题。应当明确基于公共利益的考量，依据法律保留原则限制个人信息权的行使，授予公权力主体采集和使用个人信息的强制力，以保障公共管理和服务目的的实现；同时也应基于比例原则，依据其所保障的国家利益或公共利益的性质和重要程度，明确信息采集和使用的标准和范围，以此最大限度地实现信息安全治理中公共利益与个人利益的协调。

（三）个人信息保护立法的出台与完善

一是明确个人信息的范围。《中华人民共和国个人信息保护法（草案）》二审稿中并未明确个人信息的范围。我国《网络安全法》以“识别性”+不完全列举的方式给出了个人信息的概念。个人信息的列举式表述虽有域外立法例，但域外的个人信息列举较我国更为详细。我国现有规范中个人信息列举类目繁多、在内容上趋于相似，规范中不同列举项之间呈交叉、包含关系［11］，致使个人信息的概念和范围尚不明确。由于个人信息的“识别性”特征已被域外实践和国内学界普遍认可，因此个人信息的范围界定应当以信息的“识别性”为前提，结合我国推荐性国家标准《个人信息安全规范》附录A中识别路径和关联路径的判定依据，不具备或在特定情境中丧失直接或间接识别能力的信息不属于个人信息，这需要结合信息的使用情境加以判断。

二是明确个人信息权利。中华人民共和国个人信息保护法（草案）二审稿设专章对个人在个人信息处理活动中的权利进行了规制，实质上赋予了个人对信息的同意、知情、删除和更正的权利。从这4项权利行使的条件来看，信息同意的行使并无前提条件，但同意的表达方式和手段《网络安全法》并未明确规定，实践中网络运营者往往提供用户协议、服务条款或隐私声明，要求用户在接受服务之前点击同意，用户对协议的阅读程度和对信息收集的知悉程度均不理想，反而变相授权了信息收集行为。信息知情要求信息被泄露、毁损、丢失时方可行使；信息删除要求网络运营者违反规定；信息更正要求发现信息错误。以上均属于信息的消极权利。相较于欧盟《统一数据保护条例》，《网络安全法》并未涉及信息的访问、拒绝、携带、限制处理等积极权利。

个人信息权利的行使既需要平衡个人信息保护与信息的社会功能，同时也需平衡公共利益与个人利益的冲突，在平衡以上两对关系的过程中不可避免地会构成对个人信息权的干预，因此，脱离信息的经济价值和公共治理价值讨论个人信息权利的行使并无现实依据，个人信息权利的划定应当依据个人信息的类型。对于敏感信息，应当赋予信息主体访问、拒绝、携带、限制处理等信息的积极权利，同时强化信息同意权的行使，倒逼信息处理主体加强敏感信息的管理和审查。另外，应当遵循法律保留原则以及比例原则，规定个人信息权利行使的例外情形，如出于国家利益和公共利益需要在法定条件下对个人信息权利的限制。目前我国3份个人信息保护法草案均将个人信息的收集、处理和利用主体分为了国家机关和非国家机关两类，表明学界已充分注意到国家机关在信息使用目的和使用场景的不同。

三是完善在线教育平台用户信息开发与保护的相应规范。制定在线教育平台用户信息开发和使用的管理规范和技术标准，依照信息保护的全生命周期理论，建立在线教育平台用户信息生成、使用和维护管理三个环节的管理规范，开展严格的数据分类和开放分级审查，完善信息审查和信息开放平台管理流程，统一信息开放协议，形成高效的数据监管体系；制定数据更新和匿名化数据等方面的技术标准，探索数据匿名化等新型数据保护工具和个人信息泄露溯源机制，从管理和技术两方面保护在线教育平台用户信息。同时构建涵盖数据管理方、数据利用方的法律责任体系，明确侵犯个人信息的行政责任，同时做好与《保密法》《档案法》《刑法》等涉及个人信息保护规范中法律责任的衔接。