摘 要 隨著數(shù)字校園建設的推廣和深化，大學生的個人信息安全問題日益突出。解決這一問題的關鍵在于制度保護，我國《個人信息保護法》中關于個人信息保護原則、信息主體權利，以及對個人信息安全管理方面的制度規(guī)范需具體化為保護大學生個人信息的各種要求。而這些具體要求的實現(xiàn)有賴于高校個人信息保護宣傳教育與個人信息處理公開的結(jié)合、個人信息保護規(guī)程和數(shù)字校園學生參與機制的確立，以及高校個人信息侵害救濟途徑和對第三方信息處理監(jiān)督途徑的暢通。

關鍵詞 數(shù)字校園；個人信息；大學生

中圖分類號：G647 文獻標識碼：A DOI：10.16400/j.cnki.kjdk.2024.25.002

Discussion about College Students' Personal Information Protection in the

Construction of Digital Campus of Chinese Universities

CUI He

（School of Law， China Jiliang University， Hangzhou， Zhejiang 310018）

Abstract With the promotion and deepening of digital campus construction， the issue of personal information security for college students is becoming increasingly prominent. The key to solving this problem lies in institutional protection. The principles of personal information protection， the rights of information subjects， and the institutional norms for personal information security management in China's Personal Information Protection Law need to be concretized into various requirements for protecting the personal information of college students. The implementation of these specific requirements depends on the combination of personal information protection publicity and education in universities with the disclosure of personal information processing， the establishment of personal information protection regulations and digital campus student participation mechanisms， as well as the smooth channels for remedies for personal information infringement and supervision of third-party information processing in universities.

Keywords digital campus; personal information; college students

1 高校數(shù)字校園建設中大學生的個人信息安全問題

根據(jù)教育部《高等學校數(shù)字校園建設規(guī)范》，數(shù)字校園建設是指圍繞立德樹人根本任務，結(jié)合業(yè)務需求，充分利用信息技術實現(xiàn)高等學校在信息化條件下育人方式的創(chuàng)新性探索、網(wǎng)絡安全的體系化建設、信息資源的智能化聯(lián)通、校園環(huán)境的數(shù)字化改造、用戶信息素養(yǎng)的適應性發(fā)展及核心業(yè)務的數(shù)字化轉(zhuǎn)型。其中信息資源的智能聯(lián)通包含了師生互動等智慧課堂的教學活動信息，排課、排考、成績等教學管理信息，招生、學籍、獎懲等學生管理信息，以及門禁、餐飲、消費等后勤保障信息。該規(guī)范自2021年3月出臺至今，我國高校數(shù)字校園建設已如火如荼地鋪開，各類學校牽頭研發(fā)或主導使用的智慧教學、智慧文體、智慧后勤、智慧安保及綜合校務服務App或智能設備已成為大學生的生活必需。

而在此期間，高校大學生個人信息泄露、不當使用等問題日益突出，如某大學畢業(yè)生盜取全校學生個人信息制作顏值打分網(wǎng)站、某學院多名學生學信碼被盜用、多所高校單方實行“刷臉入?！薄八⒛樞@跑”“攝像頭監(jiān)控考勤”等。這些大學生個人信息安全問題的關鍵指向了個人信息保護制度。

2 高校數(shù)字校園建設中大學生個人信息保護的制度要求

《中華人民共和國個人信息保護法》（以下簡稱《個保法》）以個人信息商業(yè)應用為主要規(guī)范內(nèi)容，其中雖補充了國家機關處理個人信息的特別規(guī)定，但僅占五條（第三十三至三十七條）篇幅，且這些條款僅是原則性規(guī)定。在此，有必要將我國個人信息保護相關法律規(guī)定與高校數(shù)字校園建設場景相結(jié)合，梳理出其對高校保護大學生個人信息的具體要求。

2.1 高校對大學生信息處理的法律原則

《中華人民共和國民法典》（以下簡稱《民法典》）第一千零三十五條規(guī)定：處理個人信息應遵循合法、正當、必要原則?！秱€保法》第五條又增加了誠信原則。具體到數(shù)字化校園建設，高校對大學生個人信息處理的全過程應滿足如下要求[1]：其一，處理大學生個人信息的權限、依據(jù)和手段必須合法，或在法律授權范圍內(nèi)，或取得大學生本人同意；其二，處理大學生個人信息的目的和手段必須正當而明確，不僅不能超過其明確的業(yè)務目的使用大學生個人信息，還應盡量滿足透明的要求；其三，應收集對于實現(xiàn)其正當目的范圍內(nèi)最小夠用的個人信息，且采取對大學生權益影響最小的方式處理其個人信息，不得超出所告知的目的范圍處理大學生個人信息；其四，不得通過誤導、欺詐、脅迫或變相強迫等方式處理大學生個人信息（如要求大學生同意處理其與某項管理不相關的信息，否則視為違紀）。

此外，2020年發(fā)布的《信息安全技術 個人信息安全規(guī)范》還強調(diào)確保安全、主體參與等原則，要求高校具備與安全風險相匹配的安全能力，并采取足夠的管理措施和技術手段，保證大學生個人信息的保密性、完整性、可用性；向大學生提供信息查詢、更正、刪除服務，以及撤回授權同意、注銷賬戶、投訴的方法。

2.2 高校對大學生信息主體權利的保護

《民法典》明確規(guī)定了信息主體的知情權、決定權、查閱權、復制權、更正權、補充權，《個保法》在細化這些權利的基礎上，對公共部門及其授權的組織處理個人信息做了特殊規(guī)定。而高校作為公共部門，在數(shù)字校園建設中需兼顧《個保法》對大學生個人信息主體權利保護的公法與私法要求。

第一，在知情、同意權方面：首先，除法律特殊規(guī)定外，高校應以顯著方式、清晰易懂的語言真實、準確、完整地告知大學生其個人信息的處理部門名稱及負責人聯(lián)系方式，其個人信息處理的目的、方式、種類及保存期限，其信息主體權利的行使方式、程序（高?？芍朴喯鄳?guī)則代替告知，但該規(guī)則須公開、便于查閱和保存）；其次，當大學生對高校個人信息處理規(guī)則有異議時，高校應予以解釋說明；再次，高校原則上應在大學生充分知情的前提下，征得其自愿、明確同意后處理其個人信息，并且允許大學生有不同意或撤回同意的選擇（對于特定身份、健康狀況、行蹤軌跡等敏感信息還需獲取其單獨同意，即“一處理一告知一同意”）；最后，除因公共利益、緊急情況等，高校為履行法定職責或義務所必需，可不征得大學生同意而依法定權限、程序處理其個人信息，但仍需履行前述告知義務。第二，在查閱、復制、更正、補充權方面，高校應為大學生提供便捷、及時、安全的個人信息查閱、復制路徑和更正、補充審核服務。第三，在刪除權方面，除非獲得大學生單獨同意，否則高校應在大學生離校后刪除其必要存檔信息以外的其他不公開信息；即便大學生在校，為特定處理目的收集、存儲的其個人信息保存期限也應限定在實現(xiàn)目的所必要的最短時間內(nèi)。

2.3 高校對大學生個人信息的安全管理

《民法典》第一千零三十八條規(guī)定了信息處理者的個人信息安全保障義務。依據(jù)《個保法》第五十一條、五十七條，高校對大學生個人信息的安全保障義務具體包括：制定內(nèi)部管理制度和操作規(guī)程；對大學生個人信息分類管理；采取相應加密、去標識化等安全技術措施；合理確定操作人員權限，定期對其進行安全教育培訓；制定并組織實施個人信息安全事件應急預案；發(fā)生或可能發(fā)生大學生個人信息泄露、篡改、丟失等安全事件時，應采取補救措施并通知大學生本人（如能有效避免危害，也可以不通知本人）。

在數(shù)字校園建設中，《個保法》的如下信息安全管理要求尤需高校注意：其一，在圖像采集、身份識別設備安裝方面，高校應設置顯著提示標識，且所采集的大學生信息只能用于公共安全目的。其二，在利用大學生個人信息進行自動化決策時，高校應保證決策的透明度和結(jié)果的公平、公正，且就通過自動化決策方式作出的對大學生權益有重大影響的決定，應提供相應說明，并保障大學生拒絕僅通過自動化決策作出決定的權利。其三，在委托校內(nèi)人員或第三方機構處理大學生個人信息時，應明確委托處理的目的、期限、處理方式、個人信息種類、保護措施等事項，且對其信息處理活動進行監(jiān)督。其四，高校原則上未經(jīng)大學生個人單獨同意，不得公開或向他人提供其個人信息，此項需與《高等學校信息公開辦法》所保障的公眾知情權相平衡[2]。就這四項處理活動，高校均應在事前進行個人信息保護影響評估，相應評估報告與處理情況記錄還需保存3年以上。

3 高校數(shù)字校園建設中大學生個人信息保護的具體實現(xiàn)

3.1 個人信息保護宣傳教育與個人信息處理公開相結(jié)合

此前相關研究常提到的對策就是學校要加強宣傳教育、提高學生個人的信息保護意識。而事實上，即便大學生有個人信息保護意識，也并不知道如何保護，甚至不知道其個人信息是如何被處理的。雖然高校與大學生的法律關系是行政隸屬還是平權合同并無定論，但二者間終究存在極大的信息不對稱。因此，在個人信息保護宣傳教育時，高校需將公開其個人信息處理的過程及結(jié)果作為前提，或者至少應作為其中一項重要內(nèi)容，這樣才能使高校信息處理的合法、正當、必要、誠信，尤其透明原則得到有效實行。此外，相關人員不僅應掌握制度要求，還要在具體職責履行中保持對大學生個人信息規(guī)范處理的意識。因此高校個人信息保護的宣傳教育還應做出如下完善：其一，宣傳內(nèi)容既要包括對大學生個人信息的自我保護，也要包括對他人個人信息的保護，這里尤需結(jié)合本校學生信息處理過程和條件進行，使利益相關方真實了解；其二，教育對象既包括學生也包括教師，而從事學工管理的教師和從事教學科研的教師、普通學生與學生干部的個人信息保護教育培訓應分層次，內(nèi)容與形式也應根據(jù)職責而有所區(qū)分。

3.2 個人信息保護規(guī)程與數(shù)字校園學生參與機制的確立

前述個人信息保護制度的直接實現(xiàn)既取決于將前述個人信息保護制度要求內(nèi)化為高?，F(xiàn)實的工作規(guī)程，又取決于在數(shù)字校園建設中吸納利益相關方的真實意見和現(xiàn)實參與，尤其是高校中作為數(shù)字校園受惠者和個人信息主體的大學生參與機制的建立。

關于個人信息保護工作規(guī)程，這是《個保法》第五十一條對個人信息處理者明文規(guī)定的義務。而各高校在確立內(nèi)部管理規(guī)程時，需要注意結(jié)合本校實際，以及相關條款內(nèi)容長期執(zhí)行的可持續(xù)性。關于數(shù)字校園建設的學生參與機制，雖然數(shù)字校園建設“堅持全域聯(lián)動，發(fā)動全員參與”的重要性已經(jīng)引起高校注意，但其“全員”僅指高校各部門[3]，將學生作為參與主體目前鮮有先例。因此，如下三點可以作為參照：其一，定期與學生代表溝通，在常規(guī)的學生座談中及時公開數(shù)字校園建設舉措及其對大學生個人信息的積極與消極影響；其二，在特定數(shù)字校園舉措推行前，（可以聽證形式）向?qū)W生說明可能處理的相關個人信息范圍、權限、時限、目的等，并最大限度聽取學生的意見，向其征集損害最小化的可替代方案，及時作出反饋；其三，定期隨機邀請部分學生參觀數(shù)字校園相關舉措的效果及這些舉措落實過程中所采取的個人信息保護措施。

3.3 個人信息侵害救濟與第三方信息處理監(jiān)督途徑的暢通

大學生在智慧校園建設中處于信息弱勢，尤須高校暢通其個人信息受到侵害的救濟途徑。大學生個人信息受到侵害可分為校外和校內(nèi)兩種，而對于與教學、管理活動無關的校外侵害，由學校安保部門負責與當?shù)毓膊块T對接；對于教學、管理活動相關的校內(nèi)侵害，基于“高校對學生的教育行政管理權和高?；诜煞ㄒ?guī)對學生權利的保護義務”[4]，高校需負直接責任。因此，高校需將學生個人信息侵害處理職責落實到特定部門，且在搜集、處理其個人信息前明確告知大學生。事實上，“大學生維權能力較弱……通常不選擇民事訴訟或者行政訴訟方式進行維權”[5]，而且訴訟也不利于高校數(shù)字校園建設，因此，個人信息安全投訴制度能使高校更加有效地保護大學生的個人信息：高校在收到大學生維權訴求后應及時反饋和處理，否則，大學生有權申請當?shù)亟逃鞴懿块T介入。當然，這也需要教育主管部門有相應的處理依據(jù)和規(guī)程。

此外，在數(shù)字校園建設中，高校與第三方平臺進行深度合作已成趨勢，而第三方平臺的信息處理無疑會擴大大學生個人信息的安全風險，因此需要學校對其進行監(jiān)督，這也是《個保法》第二十一條明文規(guī)定的個人信息委托處理者應向受委托人執(zhí)行的義務。不過，該要求的具體實現(xiàn)有賴于高校將監(jiān)督路徑具體化，如接口的檢查、聽取學生操作的反饋；也有賴于高校將監(jiān)督過程和結(jié)果透明化，這既可以使第三方平臺有明確的合作預期，又能使大學生有足夠的信息安全感。

基金項目：浙江省教育科學規(guī)劃課題“高校數(shù)字化校園建設中大學生的個人信息保護研究”（2022SCG432）。

參考文獻

[1] 江必新，郭鋒.《中華人民共和國個人信息保護法》條文理解與適用[M].北京：人民法院出版社，2021：48-52，143.

[2] 謝偉壇.高校信息公開中大學生個人信息保護[J].文化學刊，2023（4）：150-153.

[3] 曾平江.高校數(shù)字化改革的現(xiàn)實困境與路徑探索[J].中國新通信，2023（12）：66-68.

[4] 盧晉，吳陽虹.高校學生個人信息行政法保護研究[J].中國法學教育研究，2021（4）：237-256.

[5] 馬海桐.高校處理大學生個人信息的問題研究[J].網(wǎng)絡安全技術與應用，2023（3）：92-93.