美國中小學生個人信息法律保護政策探究

馮愷

（中國政法大學比較法學研究院，北京 100088）

云計算與大數據挖掘技術的適用在廣度和深度上改變了信息的收集與使用模式，并在一些利益攫取者的支配下前所未有地滲透到個人信息領域。中小學生正在成為數字媒體的活躍參與者，他們通過社交傳媒保持日常聯系，積極體驗科技教育新產品，并熱衷于體驗手機小程序或網絡游戲等具有潛在信息泄露風險的行為。學校需要收集學生數據以形成教育記錄，但隨著信息普遍以數字形式存儲，學校因囿于自身處理信息的能力而日漸依賴于第三方技術服務平臺；第三方得以獲取和存儲大量的學生個人信息，包括姓名、身份證號、家庭信息等一般信息以及通過錄入指紋、刷臉等技術方式獲取的敏感信息。中小學生的個人信息保護具有特殊性，即主體易受傷害性、信息收集者行為的壟斷性和大規模性以及損害后果的擴張性。相關個人信息被泄露或不當使用，不僅會使未成年學生的現有隱私利益受到損害，而且為其未來的學習和生活帶來難以估量的負面影響——他們可能會因為幼稚和一時的沖動而做出不端行為，而經披露的行為問題或學業表現等信息，均會影響到其將來升學乃至求職時的評估結果。在數字技術背景下，相關風險可能會被無數倍放大，從而亟待立法上給予特別關注。美國作為未成年人信息保護立法的引領者，其針對K-12（特指從幼兒園到高中的階段）學生的個人信息設定了專門的法律規則，從立法保護模式、保護范圍、義務機制構建以及利益平衡等方面不斷加強和完善對這一特殊信息主體的保護。

一、K-12學生個人信息保護的立法挑戰及應對

美國將K-12學生從成年人主體中區分出來，對其施以專門的立法保護，也即所謂的區分主義保護。兒童的自然存在呈現出生物發展主義的特性，如脆弱、無知、無能力、依賴、非理性、無法自我控制等諸多不同于成人的特征，[1]這使他們對個人信息處理的風險、后果、保障措施及相關權利了解不足，法律上需要為其提供特別的保護。正如學者所言，兒童個人信息權利如此需要保護，它應該先于其他權利受到保護。[2]然而，在對大數據依賴度不斷增加的當下社會，兒童和兒童權利支持者的聲音并沒有獲得足夠重視。[3]K-12學生大致介于6～18歲之間，是處于高度信息化環境的兒童群體的主要構成部分，對其區分保護符合美國社會珍視兒童利益的一般價值觀。同時，美國社會盛行現實主義的法律文化觀，發生何種新問題時推行何種應對性立法，故而難以找到一部規定個人信息處理者完整權利和責任的全面性隱私法，對個人信息使用和公開的監管側重于“特定的行業活動”[4]，K-12學生的個人信息保護也歸由專門的法律管轄。可見，美國法中針對K-12學生推行基于區分主義的立法保護模式，是兒童不成熟屬性、本土社會價值觀及法律文化觀等多種因素促成的結果。

（一）舊的法律政策面臨挑戰

從立法發展來看，美國關于K-12學生個人信息的保護最早確立于1974年《家庭教育權和隱私權法》（Family Educational Rights and Privacy Act）及1998年《兒童在線隱私保護法》（Children Online Privacy Protection Act）兩部聯邦法案，兩者長期以來承擔著對中小學生這一特殊信息主體的保護使命。然而，隨著數字技術的迅速發展，兩部立法日漸不能彌合21世紀以來科技發展和個人信息保護之間的矛盾，其規范上的漏洞日漸凸顯。美國國家教育政策中心的報告顯示，根據《家庭教育權和隱私權法》的規定，只要不將學生個人信息披露給其他第三人，教育機構可以不經學生或其家長同意披露教育記錄中的個人信息；但作為學校分包人的“合同人、咨詢者、志愿者或其他當事人”常因代表學校的利益而被視為學校當局，當學校將學生個人信息提供給這樣的第三方機構時，并不必然違反法律規定，從而使濫用相關信息的組織或個人逃脫法律的制約。[5]

根據福德漢姆法學院法律和信息隱私中心發布的“公立學校隱私和云計算”報告：（1）被調查的95%的學區依靠云計算實現多種功能，包括監督學生表現、為課堂活動提供支持、提供信息及指導學生；（2）只有25%的學區就其云服務使用告知家長；（3）20%的學區沒有管理其云服務使用的政策；（4）在學區和云服務提供者的合同中，只有25%的學區就學生數據收集相關服務提供者的行為予以審查；（5）不到7%的合同限制買賣學生信息；（6）只有1份合同要求云服務提供者在違反數據安全時告知學校。[6]這表明云計算已經全面滲透到學校生活中，舊的立法不能充分滿足現實之需，美國社會亟待采行新的法律策略。在此背景下，美國近年來在聯邦和州層面上推動新的一輪法律改革，旨在加強對K-12學生教育信息隱私的保護。

（二）聯邦立法動向

美國聯邦層面上的立法政策清楚地指明了強化教育信息隱私保護的變革方向。2015年以來，關于K-12學生信息隱私保護的國會議案涉及三種法律改革方案。其一，設立專門研究委員會。此方案以S.1177號議案的補充法案為代表，要求成立“學生隱私政策委員會”，研究現有聯邦法律及其實施機制對K-12學生信息保護的有效性，如何促進和加強聯邦法律，有無必要提供或更新與學生隱私有關概念的標準，確立哪些聯邦立法需要更新以及合適的聯邦執行機構等。其二，將規制目標指向為K-12教育機構提供特定科技服務的運營商。此方案以H.R.2092號議案，即《學生數字隱私和父母權利法》為代表，禁止運營商利用從學生在線行為、在線使用、移動應用或相關信息中獲取的信息向學生和父母宣傳推廣，向第三方銷售學生信息、收集學生信息創建個人檔案或進行與教育目的無關的使用，并要求運營商就未成年學生信息的告知、刪除、改正和披露等事項承擔相關義務。其三，改良現行法，對既有的《家庭教育權和隱私權法》作出修正。相關主張具體呈現于H.R.3157號、S.1322號、S.1341號等多個議案中，如H.R.3157號議案，也即《學生隱私保護法》，主張擴大父母獲取相關信息的權利，使其有權審查、評論、挑戰和糾正未成年人教育記錄中的個人信息。該改革方案所代表的修正論成為聯邦立法關于K-12學生個人信息保護政策的主流理念。

同時，美國參議員愛德華·馬基（Edward Markey）與喬希·霍利（Josh Hawley）于2019年3月12日提起關于《兒童在線隱私保護法》的修訂法案，以加強對兒童個人信息的在線收集、使用和披露及其他目的的保護。該修訂法案提出擴大原法的主體適用范圍，以涵蓋13～15歲兒童；在兒童個人信息收集方面設立新限制；重新界定運營商的義務標準以及禁止針對兒童推送營銷廣告等主張。[7]其后不久，美國聯邦貿易委員會（Federal Trade Commission）啟動對《兒童在線隱私保護法》的第二次修訂，就該法的有效性、是否需要作出修訂、通知和家長同意及其例外、安全港條款等問題向社會公眾征求意見，以確保該法更好地適應自2013年修訂以來所發生的市場、技術和商業模式變化。[8]這一立法活動將對K-12學生個人信息保護產生重要影響。

（三）州立法舉措

美國在州法層面上不斷強化對K-12學生個人信息的保護。多個州的立法議會先后制定了專門的K-12學生信息隱私法，著力于“禁止特定數據的收集”或“要求州和學區強化其監管設施與程序”。[9]例如，被譽為美國教育信息隱私法律改革重要里程碑的加利福尼亞州參議院1177號法案，即引發公眾矚目的《學生在線個人信息保護法》（Student Online Personal Information Protection Act）的立法摘要中指出，應為委托第三方收集與分析K-12學生信息的學區制定隱私標準，針對運營商施加更多限制，禁止網絡運營或服務商以營銷或宣傳某種產品或服務為目的，而故意使用、披露、編輯或者允許第三人使用、披露或編輯未成年學生的個人信息隱私，并在保護范圍上作出擴張性解釋。該法作為首個將規制目標指向對數據風險具有控制能力的運營商的州立法，被認為是“美國保護K-12學生在線信息的最嚴厲法律”和“第一部真正全面的學生信息隱私立法”。其他一些州在此基礎上相繼確立了專門的學生個人信息保護法。

此外，包括人臉識別等新型基因信息在內的生物識別信息具有特定的敏感性，美國一些州亦針對中小學生的此類信息著手制定專門的保護性立法。例如，根據路易斯安那州律例注釋第100條相關學生生物識別信息收集和使用的規定：每一個負責從學生那里收集生物識別信息的公立中學和小學，應該設立、采取和實施規范收集與使用該種信息的政策，至少應該包含一個關于何種類型的生物識別信息可以被收集、如何被收集和儲存以及該信息使用目的的完整解釋；須獲得書面許可；相關個人信息僅用于身份識別或者防止欺詐的目的等。佛羅里達州律例注釋第1002條明確禁止教育機構收集、獲取或保存學生及其父母、兄弟姐妹的生物識別信息及其他個人信息。通過對K-12學生個人信息保護立法的持續更新和補充，美國在技術變化發展的背景下得以有效應對不斷涌現的新問題。

二、法律保護的范圍呈擴張化趨向

立法上如何界定個人信息受保護的范圍，反映出一個法域針對某個特定主體提供何種水平的保護。對于“法律應當在多大范圍上保護K-12學生信息主體”這一問題的解讀，又常常取決于對其“個人信息”的內涵作出何種界定。如果某個信息無法與特定個體的人格身份發生聯系，就無法想象對這一信息的使用如何對該個體產生不良影響，這一客觀事實促成了當前立法的重要觀念，即將“可識別”確定為個人信息的核心要素，法律上僅保護“可識別”的個人信息(Personally Identifiable Information，PII)。同時，對“可識別”作限縮主義還是擴張主義的理解，也關系到K-12學生個人信息能夠在多大程度上獲得立法的保護。

（一）保護范圍上的局限性

在美國傳統教育立法中，學生個人信息的保護受到一定限制。一方面，盡管美國國會并未通過成文法直接規定個人信息須“可識別”，但《家庭教育權和隱私權法》在描述“教育記錄”時使用了這一用語，聲明受保護的學生個人信息并非指所有的教育記錄①根據《家庭教育權和隱私權法》[20 U.S.C. §1232g(a)(4)(A), (b)(2)]的規定，教育記錄是由教育機構、教育協會或其代理人保存的履歷、文檔、證明以及其他與學生直接相關的信息資料，包含了以各種記錄形式保存的學生數據。，而是教育記錄中與學生直接相關、“可識別”學生身份的信息。另一方面，判例法實踐中往往拒絕對《家庭教育權和隱私權法》確立的“教育記錄”作出擴張解釋和適用。美國聯邦最高法院在法爾沃（Falvo）案判決中即認為，該案涉及的學生相互打分行為（peer grading）不應作為教育記錄受到保護，作出這一判定的原因有兩個。第一，教育記錄的“持有”必須符合“中心保管”原則的要求，即只有存放于學校檔案室或安保數據庫中的材料才是法律所指的“教育記錄”，學生在課堂上相互批改的作業或試卷并未進入學校檔案室或數據庫中，因此“持有”要件未能得到滿足；第二，教育記錄的持有人只能是教育機構或代理其行為的學校工作人員、校方助理、教師或者其他學校雇員等，作業或試卷的持有人卻只是聽從教師安排參與相互打分活動的同學，這一活動在實質上仍然是教學內容的一部分，學生并不能被視為學校的代理人，“教育記錄持有人”的要件也不能得到滿足。①長期以來，法爾沃案（Owasso independent school district v. Falvo, 534 U.S. 2002: 42）代表了司法實踐中限制性解釋“教育記錄”的一個基本立場。此外，由于教育記錄將“源自學生的直接個人體驗而形成的認知”排除在外，當教育機構的員工“私下發現某個學生從事反常和具有威脅性的行為時”，則可以將相關信息與他人分享。[10]顯然，對“可識別”個人信息與“教育記錄”的限縮性解釋，使得受保護的K-12學生個人信息的范圍相應縮小。

（二）局限克服：對“可識別”的擴張解釋

在數字技術背景下，《家庭教育權和隱私權法》的適用限制使一部分學生個人信息被排除在法律保護范圍之外。例如，未與教育機構締結合同的第三方通過在線工具從學生或教師那里直接獲取的學生信息，以及學生在校接受問卷調查或標準考試時產生的可交易文件，均無法獲得該法的保護。[11]為了解決這一困境，美國聯邦立法趨向于對學生“可識別”個人信息的內涵作出擴張解釋，以期將包括一個學生的項目、地址和社會安全號及其他間接識別符等在內的更多個人信息類型納入法律保護范圍。一些州立法也試圖采用更具包容性和彈性的方法來解釋K-12學生個人信息的概念。以加利福尼亞州《學生在線個人信息保護法》（Student Online Personal Information Protection Act）為例，它通過“一般定義+特別列舉”的方法，將受保護的K-12學生個人信息界定為“個人身份可識別的信息或數據”，并補充列舉了相關信息或數據被儲存的特定媒介形式。如此，未受《家庭教育權和隱私權法》保護的學生個人信息得以納入法律的保護框架，從而在一定程度上擴大了原有立法的保護范圍。

數字科技使得非識別性個人信息可以與個人關聯起來，經滌除的個人信息能夠被重新識別，某個時間被認為非識別的信息也會在以后的某個時間轉化為可識別性信息。在一般個人信息保護法律實踐中，法院亦往往針對“可識別”采取限縮性解釋的方法，強調PII中的“I”為“已識別”（identified），即基于當前的技術水平能夠被識別。[12]受制于個人信息“可識別”這一核心概念的限縮解釋立場，受保護的K-12學生個人信息同樣被限定于“已識別”的信息部分。這意味著，諸如個人數據痕跡之類的新生信息類型難以被納入既有的法律保護框架，運營商仍然能夠保存和使用“身份識別信息被滌除”（de-identified）或“匿名”(anonymous)的學生個人信息來拓展教育產品和服務。“當技術變化使得法律的文義變得模糊時，必須根據法律的基本目的作出解釋。”②該論點出自 21世紀音樂公司訴艾肯案（Twentieth Century Music Corp. v. Aiken, 422 U.S. 1975:156），其積極應對技術變更的主張為許多案件提供了指引。基于K-12學生個人信息的特別保護目的，對“可識別”這一范疇作出寬泛界定，使更多個人信息類型被納入法律的保護框架之下，具有重要的現實意義。[13]正因如此，“可識別”的內涵隨著技術的快速發展在美國法律實踐中不斷擴大，以至于保羅·奧姆（Paul Ohm）感嘆“最高法院和立法者都趕不上其發展進程”[14]。這一擴張趨向在一定程度上也填補了原有法律對K-12學生個人信息保護的漏洞。

三、重視法律義務機制的構建

根據一般兒童權利觀念，兒童的基本權利應當建立在更為廣泛的基本義務之上，這些基本義務能夠被用于有效踐行具有正當性的權利。從美國相關立法發展來看，在前期，關于K-12學生個人信息的立法保護以權利為本位，強調對學生及其監護人信息權利的賦予；在后期，立法者普遍接受實際風險控制者擔責理論，立法保護的重心日漸轉向注重學校、運營商以及其他社會組織的義務承擔。在數字技術背景下，K-12學生個人信息的立法規制目標從傳統上掌管其日常生活的學校、家庭進而轉向掌握新技術密碼的運營商；保護方法上更側重于義務機制的構建，令數據的采集者和使用者對數據的管理及其可能產生的危害負責，不再狹隘地將其責任局限于是否通過正常途徑采集數據。概而言之，美國K-12學生個人信息保護的立法重心從最初的權利本位日漸趨向于義務本位。以學校和運營商這對具有風險控制能力的義務主體為重心，構建學生個人信息保護的義務機制，尤其是突出數字技術背景下運營商的特定義務承擔，這與既有的授權保護模式相呼應，有力地保障了中小學生的個人信息利益。

（一）學校義務承擔模式

美國立法始終強調學校對K-12學生個人信息保護的義務承擔。學校掌控著未成年學生的教育記錄，在信息風險的控制鏈條中居于關鍵位置；學生的權利客觀上也需要通過學校義務的具體履行得以實現。因此，學校義務承擔模式早在美國最初的立法文件中，就被視為一種有效的保護方法。以《家庭教育權和隱私權法》為范例，該法在突出保護學生及其家長的信息權利的同時，又詳盡地列舉了學校的法定義務，包括公開K-12學生個人信息應獲取其家長同意、告知家長及學生相關信息權利、提供聽證機會和確保教育記錄的正確性以及糾正錯誤與刪除不當內容等。對學校義務承擔模式的堅持，也進一步呈現于近年來的州立法活動中。譬如，加利福尼亞州《教育法典》第49073.6(c)節即確立了詳盡的義務條款，要求學校承擔將擬收集或保存的數據項目情況告知未成年學生及其家長、僅能收集或保有與學校或學生安全直接相關的數據內容等具體義務。這表明，學校義務承擔模式仍然被視為美國法中K-12學生個人信息保護的一個基本規制方法。

（二）運營商義務承擔模式

運營商義務承擔模式在相關K-12學生個人信息的立法中獲得更為廣泛的采納。受利益的驅使，掌握新技術密碼的運營商會毫無節制地收集和使用未成年學生的個人信息。美國聯邦貿易委員會在制定《兒童在線隱私保護法》前夕，對一個以1400個流行網站為對象的調查顯示，高達85%的網站存在收集個人信息的行為，大多數面向兒童的網站會收集兒童個人信息，僅有極個別網站張貼了充分的隱私政策。[15]顯然，運營商需要承擔起更大的社會責任，證明自己的產品不會引發問題，以及在應用程序中增加防護措施而非只顧從市場中牟利。[16]

據此，美國聯邦立法《兒童在線隱私保護法》明確規定網站或網絡服務商對包括K-12在內的兒童負有特定義務，要求其收集、使用或披露13歲以下兒童的個人信息時，須制定清晰的隱私政策，合理解釋收集兒童信息的行為，明確說明正在收集何種信息以及如何使用該信息，并應獲得家長同意和提供合理途徑、方法，以便于家長檢查、刪除被收集的數據。許多州立法也日漸突出運營商對K-12學生個人信息保護的義務承擔。例如，加利福尼亞州《學生在線個人信息保護法》第22584條通過兩個重要舉措，強化數字技術背景下運營商對學生個人信息的保護義務。一是重新詮釋“運營商”的內涵，使義務主體的范圍擴展至幾乎囊括所有可能收集和使用K-12學生個人信息的主體；二是細化運營商義務的內容，包括運營商不得在網站、服務或應用中進行有針對性的廣告宣傳或基于獲取的信息策劃廣告，不得違反教育目的利用所收集的信息形成學生檔案，不得銷售或披露法律所涵蓋的學生信息，還要保護該信息免受未經授權的獲取、破壞、使用、修正或披露等。特拉華等其他多個州的學生信息隱私保護法也作出了類似規定。美國立法通過明確運營商對K-12學生信息主體的法定保護義務，令其信息隱私安全獲得更大保障。

（三）采取“二元制”的規制路徑

學校和運營商對K-12學生個人信息保護的義務承擔，在美國法中主要通過“二元制”的規制路徑得以實現。一是立法者施加特定義務于學校，相關內容納入教育類法律，由對學校具有控制權力的教育主管部門監督實施；二是立法者施加特定義務于運營商，相關內容納入貿易和行業類立法，由對運營商具有控制權力的聯邦貿易委員會監督實施。此種規制路徑將學校和運營商承載義務的實踐使命，交由對其具有實質控制和影響力的主管部門，責任界分清晰，而非泛泛地要求“各部門聯合執行”，這在很大程度上促進了義務內容的有效實現。

四、平衡K-12學生個人信息保護與其他利益的沖突

根據現代法的觀念，一部法律的好壞標準還在于它能否成功維持所在社會秩序的良性運行。隨著信息保護理論研究的深入，人們日漸意識到維持個人信息保護及其沖突性利益平衡的重要性。美國德茂欣（Duane Morris）律師事務所的報告顯示，盡管信息隱私是一個持久不斷的熱門話題，圍繞學生個人信息保護的恰當使用或濫用的對話趨向并非側重于信息隱私本身，而是側重于商家和消費者之間的相互作用，以及如何使教育產品和服務提供者獲取技術進步。[17]K-12學生個人信息的法律保護同樣面臨與技術進步、經濟發展及國家安全等利益的沖突和平衡。例如，基于打擊恐怖主義和維護國家安全的需要，美國《愛國者法》（USA Patriot Act）允許調查機關在涉及恐怖主義的事件中不經通知或許可程序秘密調取學生的教育記錄。[18]不過，就K-12學生這一特定信息主體而言，更為突出的問題是如何平衡其與公共教育、家庭監管及教育科技應用等利益之間的沖突。在根植于務實主義文化土壤的美國法中，K-12學生個人信息保護與其他受保護利益之間的平衡，主要是通過免責、限制適用與排除等例外性規定以及彈性的個案判決得以實現的。

（一）立法平衡

在立法層面上，美國《家庭教育權和隱私權法》規定了不經書面同意獲得教育記錄的“例外”情況，包括基于“合法教育利益”原則將學生的教育記錄透露給學校管理者，或者為了保護學生與他人的健康和安全將教育記錄透露給合適的人；如果父母、其他監護人或有資格的學生沒有選擇退出，學校也有權將包括姓名、地址、電話號碼、生日、出勤日期、學歷和獎勵等在內的學生“目錄信息”（directory information）透露給公眾。作為具有代表性的州立法，加利福尼亞州《學生在線個人信息保護法》采用了免責、限制適用及排除等具體平衡方法。首先，在遵循該法22584條（b）分項包括的（1）—（3）項未被違反的前提下，披露K-12學生個人信息的“免責”情形包括：根據其他聯邦或州法律規定的要求披露；以合法研究為目的；基于K-12學校教育目的、根據州或聯邦法律許可使用；運營商所使用的學生數據并不能識別身份等。其次，限制適用的情形包括：不得將（b）分項解釋為禁止運營商使用信息以維護、發展、支持、促進或診斷其網站、服務或其應用；不得通過解釋以限制法律執行機構根據法律授權或有資格的司法法院的命令從運營商那里獲取任何內容或信息；不得限制運營商基于自我適應性學習或基于學生量身定做的目的而使用學生數據的能力。再次，該法22584條也列出了排除適用的情形：主體為一般的網站、在線服務、在線應用或移動應用的一般愛好者，網絡服務提供者為學校、學生或其家庭提供網絡鏈接，網站、在線服務、應用或移動應用的運營商不以使用受保護信息為目的向家長推銷產品。通過此類具體平衡規則的適用，立法者鼓勵教育者和立法者攜手共進，在K-12學生個人信息保護、技術創新和其他需求之間獲取利益平衡。

（二）司法平衡

在司法層面上，美國聯邦最高法院通過一系列判例實踐限制了《家庭教育權和隱私權法》的適用。例如，法爾沃案審理法院對教育記錄的保護范圍作出限縮性解釋，不久后，多伊（Doe）案則確立了個人不得以該法為依據提起訴訟的先例，要求完全由教育部家庭政策合規辦公室（Department of Education's Family Policy Compliance Oきce）負責相關訴訟①通過多伊案（Gonzaga University v. Doe. 536 U.S. 2002: 273）確立的這一先例，美國司法上進一步提高了《家庭教育權和隱私權法》相關訴訟的門檻。。除遏制針對學校的濫訟行為外，聯邦最高法院相關判例的核心要旨還在于：在個人信息隱私代表的私人利益與維護公立院校良好運營的公共利益之間尋求一個平衡點，尊重K-12學生個人信息的同時確保公共教育秩序的良好運行。

五、結語

在數字技術背景下，如何應對新的挑戰和合理保護中小學生個人信息成為一個重要的法律命題，美國近年來的法律改革正是對這一命題的積極回應。兒童的不成熟屬性、本土社會價值觀及其法律文化觀等因素，促使美國針對K-12學生采取區分主義的立法保護模式。客觀上看，以信息處理為核心的行業本身情況千差萬別，這就要求依據相關行業和領域的特殊性及社會發展的需要擬制特別的規范。[19]中小學生的個人信息保護在信息類型、權利行使、訴訟主體等問題上呈現出獨有的特征，針對他們制定專門的保護規則，進行產業合規及法律個案判斷時也更為準確。

美國法律改革旨在從不同層面上為K-12學生的個人信息提供保護。一是保護范圍上趨向擴張。現代技術軌跡正在轉向采集、使用和儲存對個人沒有直接聯系的信息，如果對中小學生個人信息的“可識別”采行限縮主義的解釋方法，新生的信息類型將難以納入法律的保護范圍。對個人信息的“可識別”作擴張化解釋，使受保護信息既包括“目前”可識別的信息，也包括“將來”可識別的信息，更有助于中小學生信息利益的全面保護。二是重視義務機制的建構。為了有效實現中小學生個人信息的保護目標，美國進一步明確了學校的法定義務，強調運營商的特定義務承擔，并力圖確立更為具體可行的義務內容和歸責方案。三是采用免責、限制適用及例外等限制性條款的方式平衡不同利益之間的沖突，保護中小學生個人信息的同時，為公共教育和科技創新保留一定的發展空間。此外，基于數字技術的復雜性，允許法官在處理相關訴訟時基于社會情勢、個案事實及其在同類案件中的審判經驗作出權衡。