大數據時代下高校學生隱私保護問題的思考

莫 可

(北京林業大學，北京 100083)

一、背景

自2014年以來，“大數據”已連續六年被寫入國務院政府工作報告，促進和深化大數據的發展與應用已經上升為國家戰略。2015年，國務院印發《促進大數據發展行動綱要》，提出探索大數據對變革教育方式、促進教育公平、提升教育質量的支撐作用。當前，諸多高校已率先引入大數據技術，并應用于學生管理、校務管理及發展決策支撐等方面，而更多高校正在躍躍欲試。大數據技術以顛覆傳統模式的“快、準、新”之特點深得人們青睞，但在這個信息爆炸的時代，信息失控和隱私泄露的事件也層出不窮。大數據時代下，公民個人隱私保護問題已成為研究熱點。在高校擁抱大數據技術的同時，學生的隱私保護問題必須引起重視。

二、隱私與便利的悖論

自人類穿衣遮羞之時起，隱私就成為了人格的基本內容之一。1890年，美國名人沃倫由于常常被媒體刺探、報道自己在私宅中的活動，聯合自己的法律搭檔布蘭代斯在《哈佛法學評論》上發表了著名的《The Right to Privacy》一文，主張自己有獨處不被打擾的權利[1]。張新寶教授在《隱私權的法律保護》中提出：隱私，又稱私人生活秘密，是指私人生活安寧不受他人非法干擾，私人信息保密不受他人非法收集，刺探和公開[2]。王利民教授認為，隱私是一種與公共利益群眾利益無關，當事人不愿或不便被他人知道的信息，不愿或不便被他人干涉的私事，以及不愿或不便被他人侵入的領域[3]。

一般認為，隱私有三個基本內涵：(1)隱私源自個人主體，屬于個人信息，需由個人主體掌控；(2)隱私與個人利益有關，與公共或群體利益無關；(3)隱私應不被非法打擾，換言之，當個人隱私內容涉嫌侵害公共利益時，理應被合法檢視。但實際上，隱私內容或隱私行為是否與公共利益有關往往難以界定，導致了目前法律及其實踐中的困難，一些侵害隱私的行為往往在符合公共利益的旗號下被默許。在我國，民法尚未將隱私權確立為一項獨立的人格權利。關于個人隱私的法律法規分散于諸多法律條文和部門規定之中，而實踐中隱私權的訴訟多是通過保護名譽權等其他權利的方式來解決。

信息技術的發展給人類生活帶來了極大的便利，人們的衣食住行信息化成了一條條數據存進了數據庫里。在利用數據方面的最經典營銷案例莫過于“啤酒和尿布”的故事——超市通過統計不起眼的購物數據時發現，新生兒的父親在購買尿布的同時往往也會給自己購買啤酒，超市據此把啤酒和尿布貨架的位置放在了一起，使得這兩樣商品的銷量得到了不小的提升。事實上，消費者的普通購物信息明顯屬于不危害公共利益的個人隱私，在沒有取得顧客授權的情況下，商家不應該擅自使用顧客的隱私信息，盡管利用這些隱私信息可以升華顧客的購物體驗。

如今，網購已經是一件再平常不過的事情。通過分析顧客瀏覽商品的種類、頁面停留時間、已購商品金額等，可以得知消費者的購物偏好、經濟能力、家庭成員的組成。在使用物流的同時我們又進一步暴露了住址、電話號碼。網購后接到各類騷擾電話的情況屢見不鮮，網購頁面的推薦列表說明電商后臺不斷地在分析我們的購物興趣。而這一切都是我們“授權同意”的——專業律師研究制定的關于隱私信息的免責申明已經在我們注冊電商平臺服務賬戶時被默認勾選同意了。不勾選，則無法得到賬號，無法享受網購服務。正規的電商平臺都如此對待掌握的個人隱私，遑論大數據應用才剛剛起步的高校。

三、高校學生隱私保護的內容、危機與意義

(一)隱私保護的內容

隨著校園信息化建設的日益成熟，越來越多的高校開始使用信息技術及時掌控校園動態，以變革和提升學生管理、校務管理和學校發展決策的效果。大數據時代下，校園環境內的一切可被記錄的數據都被視為“等待挖掘的信息金礦”，都被鼓勵進行“數據的收集、沉淀”以便將來在某時某刻進行相關價值的統計或挖掘。這些可供收集的信息包括但不限于：新生入學的報考信息、家庭信息、體檢信息，在校期間的學習成績、金融信息(學費銀行卡)、圖書借閱數據、餐飲與消費數據、運動數據、上網數據、校內社交平臺的各項信息，畢業生的就業信息，等等。在一些程序和設備的支持下，還能發掘更多信息，例如通過校園無線路由器的設備連接日志，標記手機用戶出現過的樓宇甚至房間。同時，一些大學自建或在第三方建立的慕課課程，其學生學習行為、學習成績和注冊的個人信息，也屬于學生隱私保護的范疇。

(二)隱私保護的危機

當上述信息被規范地整理、加工和利用時，毫無疑問將對校園管理、教學改革起到積極的促進作用。但是在當前隱私保護各項法律、機制和意識嚴重缺位的情況下，學生隱私信息在不規范的存儲保護、傳輸、使用過程中，將面臨巨大的信息泄露風險。

對信息泄露風險而言，一般可分為被動侵害式泄露和主動分享式泄露兩個類型。前者往往是由于對隱私信息的保護不足而造成，例如將隱私數據存儲在公共不設密碼的電腦或文件中，使得他人可以輕易獲得，又或者存儲隱私數據的服務器安全性不高，使得黑客輕松入侵。后者多見于隱私主體的主動分享，例如一些學生在校內平臺(如校園BBS)發布個人照片、日程、行跡、心情等信息，又或者學院、部門在進行(獎學金、補助等)公示時將包含個人隱私信息的文件公開至互聯網，以致網絡爬蟲自動抓取造成更大范圍的影響。無論是哪種形式的泄露，當一個人的隱私被曝光，生活被他人惡意或好奇的還原、透視，其身心都將遭受巨大的、無法彌補的傷害。

(三)隱私保護的意義

隱私是一項公認的基本人格權力，隱私保護的重要性是不言而喻的。對高校學生而言，隱私保護具有更加重要的意義：(1)隱私保護是安全的必要條件，作為剛成年或尚未成年的大學生，在身心方面都需要得到更完善的隱私保護。(2)隱私保護是個人自治能力的體現，而自我管理是大學生全面發展的素質目標之一。(3)隱私保護是促進教育內化的良好機會。教育的引導、激勵、批評都必須作用于教育對象，只有教育對象積極參加配合，并將教育者所傳授的優秀品質和道德進行認知、接受和內化，教育的目的才會實現。維護學生尊嚴、保護隱私，理解和尊重他們，才不會失去教育對象，教育者的職責和作用才能得以發揮[4]。

四、國外隱私權立法的情況

1974年，美國國會制定了《隱私法》，專門用以規范公共機構所持有的個人信息。1980年通過《隱私保護法》，對執法部門從報社獲取公民個人信息的行為進行了規定。總攬美國的個人信息保護立法，雖然沒有一部統領各領域的法典，但是對于公民個人信息保護的法律不僅數量多，主體與內容的規定也極其細致，在實踐中對于個人隱私問題的保護具備較好的實用性[5]。

德國的信息保護法律也較為完善，他們認為“公民在原則上有權自主決定個人信息的透露和使用”。1970年德國黑森州頒布的《個人資料保護法》是該國最早關于隱私保護的法律。1977年生效的《防止個人資料處理濫用法》明確了對隱私濫用行為的處罰標準[6]。

法國在隱私濫用方面的處罰力度非常嚴苛。2006年，法國成立全國信息管理委員會，對使用私人信息的社會團體或者個人進行嚴密的監管。如果利用行業之便掌握了他人信息，在未經本人同意的情況下，將隱私信息泄露出去，按照法國刑法將判處一年監禁和1.5萬歐元罰款[6]。

五、隱私保護問題的展望

隨著信息時代技術的不斷進步，隱私與發展便利之間的悖論還將不斷延續，其矛盾將日益突出。在等待法律體系不斷完善的過程中，“行為世效”的高校應當在隱私保護尤其是學生隱私保護問題方面有所積極作為。

(一)研究建立隱私保護規章體系，加強隱私保護意識的教育

高校應當研究建立各項符合自身情況的隱私保護規章制度，將隱私保護上升到網絡信息安全的高度，做好制度頂層設計，自上而下完善隱私保護措施，建立權責分明的信息管理制度。本著“非必要，不提供”的原則，在基礎數據的使用方面，能使用統計數據的盡量不使用原始數據。此外，對在校學生尤其是入學新生開展個人信息安全教育，減少在網絡公共空間里發表不必要的個人隱私信息。

(二)尊重隱私主體的知情權，研究隱私與發展需要的邊界問題

每個人對于隱私問題的敏感度都不盡相同，高校應當通過合理手段探尋隱私數據與發展支撐數據之間的“舒適區”。第一步應當定義對于學校發展而言必要的數據范圍，第二步開展必要的問卷調查或其他形式的調查，研究確定不同隱私信息的敏感程度。第三步，通過合理的聲明與授權模式(表明數據的風險和收益)，征得隱私主體的同意。

(三)采納“信息生態系統”觀點[7]，規定信息存留與銷毀時間

在隱私保護規章體系和隱私敏感程度研究結果的基礎之上，可以從技術上考慮采納“信息生態系統”觀點，即規定好不同的隱私信息的利用手段、途徑，以及它在信息系統環境下可存留的時間，直至信息最終銷毀抹去的時間，以此保證相關的隱私信息既在一定程度上得到合法的使用，又能消除隱私信息超期留存被非法入侵的后顧之憂。