我国高校数字校园建设中大学生个人信息保护的路径探索

摘 要 随着数字校园建设的推广和深化，大学生的个人信息安全问题日益突出。解决这一问题的关键在于制度保护，我国《个人信息保护法》中关于个人信息保护原则、信息主体权利，以及对个人信息安全管理方面的制度规范需具体化为保护大学生个人信息的各种要求。而这些具体要求的实现有赖于高校个人信息保护宣传教育与个人信息处理公开的结合、个人信息保护规程和数字校园学生参与机制的确立，以及高校个人信息侵害救济途径和对第三方信息处理监督途径的畅通。

关键词 数字校园；个人信息；大学生

中图分类号：G647 文献标识码：A DOI：10.16400/j.cnki.kjdk.2024.25.002

Discussion about College Students' Personal Information Protection in the

Construction of Digital Campus of Chinese Universities

CUI He

（School of Law， China Jiliang University， Hangzhou， Zhejiang 310018）

Abstract With the promotion and deepening of digital campus construction， the issue of personal information security for college students is becoming increasingly prominent. The key to solving this problem lies in institutional protection. The principles of personal information protection， the rights of information subjects， and the institutional norms for personal information security management in China's Personal Information Protection Law need to be concretized into various requirements for protecting the personal information of college students. The implementation of these specific requirements depends on the combination of personal information protection publicity and education in universities with the disclosure of personal information processing， the establishment of personal information protection regulations and digital campus student participation mechanisms， as well as the smooth channels for remedies for personal information infringement and supervision of third-party information processing in universities.

Keywords digital campus; personal information; college students

1 高校数字校园建设中大学生的个人信息安全问题

根据教育部《高等学校数字校园建设规范》，数字校园建设是指围绕立德树人根本任务，结合业务需求，充分利用信息技术实现高等学校在信息化条件下育人方式的创新性探索、网络安全的体系化建设、信息资源的智能化联通、校园环境的数字化改造、用户信息素养的适应性发展及核心业务的数字化转型。其中信息资源的智能联通包含了师生互动等智慧课堂的教学活动信息，排课、排考、成绩等教学管理信息，招生、学籍、奖惩等学生管理信息，以及门禁、餐饮、消费等后勤保障信息。该规范自2021年3月出台至今，我国高校数字校园建设已如火如荼地铺开，各类学校牵头研发或主导使用的智慧教学、智慧文体、智慧后勤、智慧安保及综合校务服务App或智能设备已成为大学生的生活必需。

而在此期间，高校大学生个人信息泄露、不当使用等问题日益突出，如某大学毕业生盗取全校学生个人信息制作颜值打分网站、某学院多名学生学信码被盗用、多所高校单方实行“刷脸入校”“刷脸校园跑”“摄像头监控考勤”等。这些大学生个人信息安全问题的关键指向了个人信息保护制度。

2 高校数字校园建设中大学生个人信息保护的制度要求

《中华人民共和国个人信息保护法》（以下简称《个保法》）以个人信息商业应用为主要规范内容，其中虽补充了国家机关处理个人信息的特别规定，但仅占五条（第三十三至三十七条）篇幅，且这些条款仅是原则性规定。在此，有必要将我国个人信息保护相关法律规定与高校数字校园建设场景相结合，梳理出其对高校保护大学生个人信息的具体要求。

2.1 高校对大学生信息处理的法律原则

《中华人民共和国民法典》（以下简称《民法典》）第一千零三十五条规定：处理个人信息应遵循合法、正当、必要原则。《个保法》第五条又增加了诚信原则。具体到数字化校园建设，高校对大学生个人信息处理的全过程应满足如下要求[1]：其一，处理大学生个人信息的权限、依据和手段必须合法，或在法律授权范围内，或取得大学生本人同意；其二，处理大学生个人信息的目的和手段必须正当而明确，不仅不能超过其明确的业务目的使用大学生个人信息，还应尽量满足透明的要求；其三，应收集对于实现其正当目的范围内最小够用的个人信息，且采取对大学生权益影响最小的方式处理其个人信息，不得超出所告知的目的范围处理大学生个人信息；其四，不得通过误导、欺诈、胁迫或变相强迫等方式处理大学生个人信息（如要求大学生同意处理其与某项管理不相关的信息，否则视为违纪）。

此外，2020年发布的《信息安全技术 个人信息安全规范》还强调确保安全、主体参与等原则，要求高校具备与安全风险相匹配的安全能力，并采取足够的管理措施和技术手段，保证大学生个人信息的保密性、完整性、可用性；向大学生提供信息查询、更正、删除服务，以及撤回授权同意、注销账户、投诉的方法。

2.2 高校对大学生信息主体权利的保护

《民法典》明确规定了信息主体的知情权、决定权、查阅权、复制权、更正权、补充权，《个保法》在细化这些权利的基础上，对公共部门及其授权的组织处理个人信息做了特殊规定。而高校作为公共部门，在数字校园建设中需兼顾《个保法》对大学生个人信息主体权利保护的公法与私法要求。

第一，在知情、同意权方面：首先，除法律特殊规定外，高校应以显著方式、清晰易懂的语言真实、准确、完整地告知大学生其个人信息的处理部门名称及负责人联系方式，其个人信息处理的目的、方式、种类及保存期限，其信息主体权利的行使方式、程序（高校可制订相应规则代替告知，但该规则须公开、便于查阅和保存）；其次，当大学生对高校个人信息处理规则有异议时，高校应予以解释说明；再次，高校原则上应在大学生充分知情的前提下，征得其自愿、明确同意后处理其个人信息，并且允许大学生有不同意或撤回同意的选择（对于特定身份、健康状况、行踪轨迹等敏感信息还需获取其单独同意，即“一处理一告知一同意”）；最后，除因公共利益、紧急情况等，高校为履行法定职责或义务所必需，可不征得大学生同意而依法定权限、程序处理其个人信息，但仍需履行前述告知义务。第二，在查阅、复制、更正、补充权方面，高校应为大学生提供便捷、及时、安全的个人信息查阅、复制路径和更正、补充审核服务。第三，在删除权方面，除非获得大学生单独同意，否则高校应在大学生离校后删除其必要存档信息以外的其他不公开信息；即便大学生在校，为特定处理目的收集、存储的其个人信息保存期限也应限定在实现目的所必要的最短时间内。

2.3 高校对大学生个人信息的安全管理

《民法典》第一千零三十八条规定了信息处理者的个人信息安全保障义务。依据《个保法》第五十一条、五十七条，高校对大学生个人信息的安全保障义务具体包括：制定内部管理制度和操作规程；对大学生个人信息分类管理；采取相应加密、去标识化等安全技术措施；合理确定操作人员权限，定期对其进行安全教育培训；制定并组织实施个人信息安全事件应急预案；发生或可能发生大学生个人信息泄露、篡改、丢失等安全事件时，应采取补救措施并通知大学生本人（如能有效避免危害，也可以不通知本人）。

在数字校园建设中，《个保法》的如下信息安全管理要求尤需高校注意：其一，在图像采集、身份识别设备安装方面，高校应设置显著提示标识，且所采集的大学生信息只能用于公共安全目的。其二，在利用大学生个人信息进行自动化决策时，高校应保证决策的透明度和结果的公平、公正，且就通过自动化决策方式作出的对大学生权益有重大影响的决定，应提供相应说明，并保障大学生拒绝仅通过自动化决策作出决定的权利。其三，在委托校内人员或第三方机构处理大学生个人信息时，应明确委托处理的目的、期限、处理方式、个人信息种类、保护措施等事项，且对其信息处理活动进行监督。其四，高校原则上未经大学生个人单独同意，不得公开或向他人提供其个人信息，此项需与《高等学校信息公开办法》所保障的公众知情权相平衡[2]。就这四项处理活动，高校均应在事前进行个人信息保护影响评估，相应评估报告与处理情况记录还需保存3年以上。

3 高校数字校园建设中大学生个人信息保护的具体实现

3.1 个人信息保护宣传教育与个人信息处理公开相结合

此前相关研究常提到的对策就是学校要加强宣传教育、提高学生个人的信息保护意识。而事实上，即便大学生有个人信息保护意识，也并不知道如何保护，甚至不知道其个人信息是如何被处理的。虽然高校与大学生的法律关系是行政隶属还是平权合同并无定论，但二者间终究存在极大的信息不对称。因此，在个人信息保护宣传教育时，高校需将公开其个人信息处理的过程及结果作为前提，或者至少应作为其中一项重要内容，这样才能使高校信息处理的合法、正当、必要、诚信，尤其透明原则得到有效实行。此外，相关人员不仅应掌握制度要求，还要在具体职责履行中保持对大学生个人信息规范处理的意识。因此高校个人信息保护的宣传教育还应做出如下完善：其一，宣传内容既要包括对大学生个人信息的自我保护，也要包括对他人个人信息的保护，这里尤需结合本校学生信息处理过程和条件进行，使利益相关方真实了解；其二，教育对象既包括学生也包括教师，而从事学工管理的教师和从事教学科研的教师、普通学生与学生干部的个人信息保护教育培训应分层次，内容与形式也应根据职责而有所区分。

3.2 个人信息保护规程与数字校园学生参与机制的确立

前述个人信息保护制度的直接实现既取决于将前述个人信息保护制度要求内化为高校现实的工作规程，又取决于在数字校园建设中吸纳利益相关方的真实意见和现实参与，尤其是高校中作为数字校园受惠者和个人信息主体的大学生参与机制的建立。

关于个人信息保护工作规程，这是《个保法》第五十一条对个人信息处理者明文规定的义务。而各高校在确立内部管理规程时，需要注意结合本校实际，以及相关条款内容长期执行的可持续性。关于数字校园建设的学生参与机制，虽然数字校园建设“坚持全域联动，发动全员参与”的重要性已经引起高校注意，但其“全员”仅指高校各部门[3]，将学生作为参与主体目前鲜有先例。因此，如下三点可以作为参照：其一，定期与学生代表沟通，在常规的学生座谈中及时公开数字校园建设举措及其对大学生个人信息的积极与消极影响；其二，在特定数字校园举措推行前，（可以听证形式）向学生说明可能处理的相关个人信息范围、权限、时限、目的等，并最大限度听取学生的意见，向其征集损害最小化的可替代方案，及时作出反馈；其三，定期随机邀请部分学生参观数字校园相关举措的效果及这些举措落实过程中所采取的个人信息保护措施。

3.3 个人信息侵害救济与第三方信息处理监督途径的畅通

大学生在智慧校园建设中处于信息弱势，尤须高校畅通其个人信息受到侵害的救济途径。大学生个人信息受到侵害可分为校外和校内两种，而对于与教学、管理活动无关的校外侵害，由学校安保部门负责与当地公安部门对接；对于教学、管理活动相关的校内侵害，基于“高校对学生的教育行政管理权和高校基于法律法规对学生权利的保护义务”[4]，高校需负直接责任。因此，高校需将学生个人信息侵害处理职责落实到特定部门，且在搜集、处理其个人信息前明确告知大学生。事实上，“大学生维权能力较弱……通常不选择民事诉讼或者行政诉讼方式进行维权”[5]，而且诉讼也不利于高校数字校园建设，因此，个人信息安全投诉制度能使高校更加有效地保护大学生的个人信息：高校在收到大学生维权诉求后应及时反馈和处理，否则，大学生有权申请当地教育主管部门介入。当然，这也需要教育主管部门有相应的处理依据和规程。

此外，在数字校园建设中，高校与第三方平台进行深度合作已成趋势，而第三方平台的信息处理无疑会扩大大学生个人信息的安全风险，因此需要学校对其进行监督，这也是《个保法》第二十一条明文规定的个人信息委托处理者应向受委托人执行的义务。不过，该要求的具体实现有赖于高校将监督路径具体化，如接口的检查、听取学生操作的反馈；也有赖于高校将监督过程和结果透明化，这既可以使第三方平台有明确的合作预期，又能使大学生有足够的信息安全感。

基金项目：浙江省教育科学规划课题“高校数字化校园建设中大学生的个人信息保护研究”（2022SCG432）。

参考文献

[1] 江必新，郭锋.《中华人民共和国个人信息保护法》条文理解与适用[M].北京：人民法院出版社，2021：48-52，143.

[2] 谢伟坛.高校信息公开中大学生个人信息保护[J].文化学刊，2023（4）：150-153.

[3] 曾平江.高校数字化改革的现实困境与路径探索[J].中国新通信，2023（12）：66-68.

[4] 卢晋，吴阳虹.高校学生个人信息行政法保护研究[J].中国法学教育研究，2021（4）：237-256.

[5] 马海桐.高校处理大学生个人信息的问题研究[J].网络安全技术与应用，2023（3）：92-93.