李染夢

[摘? ?要]大數(shù)據(jù)在教育領域的廣泛應用對數(shù)據(jù)保護提出了更高要求。當下，我國學校數(shù)據(jù)保護存在相關規(guī)定不完善、監(jiān)管缺位等問題。相比較而言，英國在《通用數(shù)據(jù)保護條例》的框架下針對學校數(shù)據(jù)保護發(fā)布了《數(shù)據(jù)保護：學校工具包》，明確了學校數(shù)據(jù)保護“正當目的”“數(shù)據(jù)最小化”等七項原則和若干基本步驟，指導學校建立“事先同意”“確實必要”“最小需要”“匿名處理”“定期刪除”框架下的學校數(shù)據(jù)保護制度，有較高的參考借鑒價值。

[關鍵詞]大數(shù)據(jù);數(shù)據(jù)保護;數(shù)據(jù)最小化;匿名化

隨著大數(shù)據(jù)技術的不斷發(fā)展，教育與大數(shù)據(jù)的結(jié)合逐漸深入，教育者嘗試將大數(shù)據(jù)運用于學生行為、教育管理過程，通過對學習過程數(shù)據(jù)進行采集和分析，優(yōu)化教育效果[1]。但是，大數(shù)據(jù)對人類的數(shù)據(jù)駕馭能力提出了新的挑戰(zhàn)，其廣泛運用給人們的隱私保護帶來了一系列倫理困境。中小學校大數(shù)據(jù)具有數(shù)據(jù)主體未成年、分析目的非營利性等特點，目前面臨著相關規(guī)定不完善、監(jiān)管缺位等問題，為學校大數(shù)據(jù)的應用埋下了隱患。對此，我國可借鑒英國的教育數(shù)據(jù)使用規(guī)范，明確教育數(shù)據(jù)的使用邊界，構(gòu)建完善的教育數(shù)據(jù)保護體系。

2018年，歐盟在原有規(guī)范的基礎上出臺了《通用數(shù)據(jù)保護條例》（General Data Protection Regulation，以下簡稱GDPR），成為全球數(shù)據(jù)保護規(guī)范的重要參考。在此基礎上，英國針對教育數(shù)據(jù)出臺了《數(shù)據(jù)保護：學校工具包》（Data Protection：Toolkit for Schools[2]，以下簡稱《工具包》）?！豆ぞ甙酚捎逃拷y(tǒng)籌學院信托基金、當?shù)厥跈鄦挝?、?shù)據(jù)系統(tǒng)供應商、GDPR支持供應商、國家網(wǎng)絡數(shù)據(jù)安全中心和信息專員辦公室共同起草出臺，對教育數(shù)據(jù)的搜集、使用、保存等規(guī)范進行了指引?！豆ぞ甙肥侨驗閿?shù)不多的對教育數(shù)據(jù)進行專門規(guī)范的操作指引，可以為我國學校的數(shù)據(jù)保護提供借鑒。

一、教育數(shù)據(jù)使用的基本原則

《工具包》是在GDPR的框架下支持學校制定合適的數(shù)據(jù)保護規(guī)定，使學校能夠識別和監(jiān)控個人數(shù)據(jù)的使用、儲存，保證自身符合GDPR的數(shù)據(jù)規(guī)范。根據(jù)GDPR要求，學校在處理學生數(shù)據(jù)時，應遵守以下原則：一是“合法性、合理性和透明性”原則，即學校在對學生等主體進行數(shù)據(jù)收集、分析、轉(zhuǎn)讓、儲存等操作時，應以合理合法的手段對需要利用的個人信息的范圍、目的、規(guī)則進行公開，并接受外界的監(jiān)督;二是“有明確且正當目的”原則，即處理學生等主體數(shù)據(jù)時，需基于明確、清晰、具體的目的;三是“數(shù)據(jù)最小化”原則，即處理數(shù)據(jù)時，只提取達成目的所需的最小數(shù)量的數(shù)據(jù);四是“準確性”原則，即所處理的數(shù)據(jù)需準確并根據(jù)變化及時更新;五是“限期儲存”原則，即除了幾種特殊情況外，對于能識別出學生個體的數(shù)據(jù)，其保留時間不得超過實現(xiàn)處理目的所必需的時間;六是“妥善保管”原則，即應采取必要的技術手段和措施避免數(shù)據(jù)未經(jīng)授權即被處理或發(fā)生意外損壞或丟失;七是“可問責性”原則，即應采取有效措施，保證對數(shù)據(jù)進行保存、處理、銷毀的人員遵守上述各項原則并能提供有效證明。

二、學校數(shù)據(jù)保護方法

在遵守上述處理原則的基礎上，《工具包》建議從獲取、使用、處理、保護、預防等步驟著手規(guī)范教育數(shù)據(jù)使用。

1.提高數(shù)據(jù)保護意識。在學校，很多部門和環(huán)節(jié)都需要接觸、使用各類數(shù)據(jù)，一部分領導（如校長等）負責對如何收集、處理、使用、儲存數(shù)據(jù)以及與誰分享數(shù)據(jù)作出決策，一部分教學活動參與者（如教師等）需要確保自身負責地使用數(shù)據(jù)。根據(jù)在教育過程中的責權差異，《工具包》建議分層次提升教育活動參與者的數(shù)據(jù)保護意識。具體來說，校園內(nèi)所有員工均要了解基本的數(shù)據(jù)保護原則，具備初步的數(shù)據(jù)保護意識，掌握其在履職時應遵循的規(guī)范;對于能影響數(shù)據(jù)使用、儲存和安全的學校中層領導（如年級組長、部門負責人等），要保證其數(shù)據(jù)安全相關事務的參與、監(jiān)督權利，使其充分掌握“數(shù)據(jù)最小化”等基本原則的實踐尺度并能對基層人員的數(shù)據(jù)使用、存儲進行指導;對于有權利決定學校數(shù)據(jù)使用規(guī)范、儲存方式、共享要求的校長等領導，還需熟知GDPR等上位數(shù)據(jù)保護法規(guī)的要求，并具備制定本校數(shù)據(jù)使用規(guī)范的能力。

2.繪制學校的數(shù)據(jù)一覽表?！豆ぞ甙分赋?，學校應對產(chǎn)生、使用、儲存數(shù)據(jù)的全流程進行梳理。校園內(nèi)可能產(chǎn)生數(shù)據(jù)的環(huán)節(jié)有：招生錄取、綜合服務系統(tǒng)、支付系統(tǒng)、虛擬學習系統(tǒng)、餐飲管理、監(jiān)控門禁等安保系統(tǒng)、旅行和運輸系統(tǒng)、身份管理系統(tǒng)（生物識別、指紋、合同、通信系統(tǒng)）、健康信息等。針對上述環(huán)節(jié)，要建立學校數(shù)據(jù)生產(chǎn)和儲存一覽表，并針對表內(nèi)各項數(shù)據(jù)制定使用規(guī)章，確保所有數(shù)據(jù)的獲取、使用、儲存有章可循。此外，可以將一覽表告知家長，便于其了解并對數(shù)據(jù)的使用進行監(jiān)督。

3.根據(jù)數(shù)據(jù)地圖進行風險把控。學校應將數(shù)據(jù)視作一種寶貴的資產(chǎn)，從風險管理的視角出發(fā)，識別并重點關注容易造成數(shù)據(jù)泄露的關鍵環(huán)節(jié)。學?？梢越梃b表1，排查關鍵節(jié)點數(shù)據(jù)風險。

4.明確數(shù)據(jù)處理的目的和合法性?！豆ぞ甙芬髮W校要熟知與教育數(shù)據(jù)相關的規(guī)章制度。在處理數(shù)據(jù)前，要先思考處理數(shù)據(jù)的正當性和合法性。例如，是否由于教育普查或重大公共利益需要進行數(shù)據(jù)處理。如果不是上述情況，學校可基于“處理數(shù)據(jù)是為了更安全有效地管理學?！钡哪康模罁?jù)GDPR的“公共任務”條例獲得對數(shù)據(jù)的合法使用權利。

5.設定數(shù)據(jù)的儲存時間?！豆ぞ甙分赋?，保證數(shù)據(jù)絕對安全的最佳方式是將其刪除。但學校往往基于各種原因需要保存各類數(shù)據(jù)。為此，學校要明確每類數(shù)據(jù)保存的必要原因以及具體期限?？梢栽O定一個月、一年、學生畢業(yè)后五年等關鍵時間點，通過模糊化手段使數(shù)據(jù)不能定位到個人，以滿足數(shù)據(jù)使用和個人信息保護的雙重需要。

6.尊重數(shù)據(jù)主體的權利。教師、學生、家長都是數(shù)據(jù)主體，其正當權利應受到尊重。學校要明確數(shù)據(jù)主體對數(shù)據(jù)的知情權、查閱權、糾正權、刪除權、限制處理權、攜帶權、拒絕權等權利，制定有關主體權利的保障與救濟制度，使數(shù)據(jù)主體權利落到實處。

此外，《工具包》還提出學校要通過制定數(shù)據(jù)泄露預警機制、設立數(shù)據(jù)保護官、將數(shù)據(jù)保護措施常態(tài)化等手段保障數(shù)據(jù)保護的實踐與落實。

三、英國經(jīng)驗對我國學校數(shù)據(jù)保護的

啟迪與借鑒

《工具包》在GDPR的框架下，確立了學校運行中的各類教育數(shù)據(jù)的搜集、保存、使用的規(guī)范?？傮w來說，大數(shù)據(jù)時代，學校在數(shù)據(jù)處理過程中應遵循“事先同意”“確實必要”“最小需要”“匿名處理”“定期刪除”等幾個關鍵原則。

與《工具包》提出的學校數(shù)據(jù)保護規(guī)范相比，我國學校面臨著數(shù)據(jù)資源豐富但信息挖掘不充分的現(xiàn)狀，存在搜集范圍廣、開發(fā)程度低、管理失范等問題[4]。授權缺失、保障不足、信息濫用、管理無序等問題對學校信息安全造成了較大威脅，不利于學校大數(shù)據(jù)資源的進一步開發(fā)。

2020年10月，我國出臺了《信息安全技術個人信息安全規(guī)范》。2021年11月1日，我國的《個人信息保護法》開始施行。自此，學校數(shù)據(jù)管理無法可依的困境得到改善。未來，我國可以依據(jù)信息保護相關規(guī)定，出臺專門的教育數(shù)據(jù)使用規(guī)范，保障學生等教育數(shù)據(jù)主體的合法權利，解除大數(shù)據(jù)時代數(shù)據(jù)利用的后顧之憂，提升數(shù)據(jù)運用成效。

參考文獻

[1]李歡，方海光，張鴿，等.基于教育大數(shù)據(jù)的中小學智慧校園教學管理應用框架研究[J].基礎教育參考，2019（10）：3-6.

[2][3]Department for Education of UK. Data protection： toolkit for schools[EB/OL].https：//www.gov.uk/government/publications/data-protection-toolkit-for-schools.

[4]劉輝.高校思想政治教育應用大數(shù)據(jù)的現(xiàn)實困境與訴求[J].思想理論教育，2015（9）：60-65.

（責任編輯 姚力寧? ?校對 郭向和）