高校處理學生個人信息的合理性

楊星　李越

摘要：學生個人信息的處理是高校管理工作中的必需。在個人信息保護走向法治化的當下，高校在處理學生個人信息的過程中應堅持合法、必要的原則，以維護學生利益為前提，為公共利益和管理需求，廓清合理范圍，合法保護學生個人信息。

關鍵詞：高校? 學生個人信息? 合理使用? 范圍

一、高校對學生個人信息的使用

個人信息不僅具有私權的屬性，也帶有公共屬性。一方面出于個人權利保護的目的，應強化對個人信息的保護;另一方面出于社會管理和公共利益的需求，必然也需要允許個人信息的使用。個人信息的二重屬性之間的矛盾性在高校的管理過程中會表現得更為突出。首先，高校的組織管理活動必需以學生個人信息的掌握為前提。其次，在高校日常教學、科研及學生管理的過程中，不可避免的需要收集、使用、管理學生的各類信息。最后，高校承擔著培養符合社會需求得高層次人的職責，負有對學生進行教育管理的義務，期間勢必面對“該不該用學生個人信息”的問題。例如學校依照校紀校規對違規學生做出處分，在公開的處分決定中是否可以使用了該生的一般信息，是否可以表露了其違規行為的信息，如果可以那么是否有使用程度的限制等?？梢?，高校對學生個人信息的使用界限相對來說是難以準確界定的。正因高校學生個人信息管理的難度，為管理的公開、透明，教育部于2017年12月印發通知《全面清理和規范學生資助公示信息》，要求全面清理超過期限的學生資助公示信息，必須將公示信息中含有的學生身份證件號碼、家庭住址、電話號碼、出生日期、銀行卡號等敏感個人信息全部刪除，以此保護學生的個人信息。可見高校在使用學生個人信息的過程中，合理使用的范圍確定確有是為高校日常管理中的新內容。

《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）的生效，不僅為高校處理學生個人信息提供了法律依據，也為高校學生個人信息管理工作帶來新的挑戰。依照該法的規定，學生的一般個人信息和敏感信息均受到法律保護。作為信息處理者地位的高校在學生個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除過程中必須堅持合法、正當、必要和誠實的原則，做到合法、合理的學生個人信息使用。

二、高校使用學生個人信息的合理化范圍

（一）為公共管理需求的使用

高等學校的管理活動應當符合國家高等教育發展規劃，符合國家利益和社會公共利益，因此，高校處理學校事務時應當盡力維護公共利益。當個人信息使用與公共利益發生沖突時，應以公共利益為主?？梢钥吹?，在抗擊新冠疫情的過程中，個人行程信息發揮的作用有目共睹。作為疫情防控重點場所的高校，學生行程信息的采集、使用也漸次成為常態化工作。對此，高校為維護國家利益、公共利益而使用學生個人信息的行為具有正當化理由，屬于合理使用的范疇。

另外，當高校學生實施違法行為需要承擔法律責任時，學校對學生信息的處理也應該具有合理化的理由。例如，高校學生因感情糾紛發生爭執，相約到校外聚眾斗毆。此時，學校不僅需要配合相應的機關處理學生違法行為，也會基于維護社會公共秩序、學校井然秩序的需求對學生進行校內的行政處分。期間，對于部分嚴重行為的警告等行政處分行為的通報是否可以使用學生個人信息，使用的程度應該如何把握。首先，應該明確校方對這類行為的處理是本著維護公共秩序的目的而實施的，其中對學生個人信息的使用屬于正當使用。在肯定學生擁有個人信息保有權和隱私權的前提下，為公共秩序的維持，對學生私人權利的有限侵犯也應視為合理、合法。

此時，對高校使用學生個人信息工作的更深層次的要求是如何明確公共利益和公共秩序需求。在認定公共利益的范疇時高校應從利益的客觀性、社會性以及權利主體的特定性等層面對某一利益是否屬于公共利益進行鑒別。憲法、法律和行政法規所確認的公共利益并無爭議，公共秩序，抑或只是學校管理的一是需求是需要客觀認定的。再例如，高校為嚴格學生管理要求特定的學生群體完成每日的指紋打卡的舉措就需要特別注意學生個人信息的專門保護。還需要繼續討論的是《個人信息保護法》規定，在公共場所安裝圖像采集、個人身份識別設備，所收集的個人圖像、身份識別信息只能用于維護公共安全的目的，不得用于其他目的。其中，應該如何定義“維護公共安全的目的”這需要對學校管理的時空范圍、管理的目的等進行綜合考慮，高校內的安全是否一定等同于公共安全，還是需要對公共安全做出合理的擴大解釋。從高校管理的必要性和學生個人信息保護的必要性出發，后一種理解方式可能更具有合理性。

（二）為維護學生利益的使用

學校學生的合法權益，受法律保護是我國教育立法展開的基礎和目的。當學生各項合法權益產生沖突時，只能通過權益之間的比較考來確認保護的范圍，此時，即便高校對學生個人信息的處理有不當的嫌疑，也應視為正當使用。層出不窮的“校園貸”案件對學生財產和人身造成了嚴重的侵害。為幫助學生走出“校園貸”的騙局，校方對該類事件的處理會涉及到學生的銀行卡號、轉賬金額、個人經濟狀況等敏感信息，理應是合理的。需要進一步討論的是，如何考慮學生各項權利之間的關系，尤其是不同學生之間利益的關系。就學生個體利益而言，可以從權益的重要性、緊迫性和必要性等層面進行分析。而在不同學生之間的權益平衡，更需要校方對使用前提和后果做精細的梳理、預估，本著成本最低的經濟原則給予處置。

（三）遵循信息采集目的的使用

《個人信息保護法》明確，信息處理者在收集個人信息過程中，應當限于實現處理目的的最小范圍，不得過度收集個人信息。在高校的日常管理中，采集學生個人信息的目的多是為了處理學校事務實現教學、科研和服務的有序，所以在使用學生個人信息時也應恪守信息采集的目的，切忌超越目的隨意使用學生個人信息。如，在高校學生管理中有著要求學生完成每日的健康打卡的做法，有些高校的管理方式中還有要求學生進行每日的指紋打卡，不否認學校管理本身的難度和重要性，但勢必也要求高校應該遵循健康打卡的目的和管理的必要性目的，恰當使用學生的敏感信息。又如，對學生各類考試的報名信息、就業信息的而處理更應符合采集目的。也就是說，《個人信息保護法》中所明確的最小范圍，應該嚴格遵從該項管理工作本身的目的，而且這個目的應為信息主體和信息處理者雙方一致確認?？梢姡咝W生個人信息管理工作制度的精細化、準確化勢在必行。

（四）在未侵犯學生個人信息自主權的條件下使用

依照《個人信息保護法》，個人對其個人信息的處理享有知情權、決定權，有權限制或者拒絕他人對其個人信息進行處理。高校學生都具有權利能力，通常也具有相應的行為能力，能獨立地行使自己的權利，加之對個人信息的自主權的意識逐漸增強。高校在使用學生個人信息時，要充分尊重學生的意見，得在取得學生的同意下使用學生的個人信息。于是，如何獲得學生的同意的問題便應運而生。通常而言獲得學生同意的方式包括意思表示的清楚、正確表達，當然也有默示的同意。比如在學生基本信息采集過程中，學生對所填充的一般識別性信息應該可以視為學生同意效防對其進行處理。但是，需要注意的是一些特殊的敏感性的征得學生同意的程序就需要考慮程序的正當。比如在涉及學生名譽性評價的信息處理的過程中，如何獲得學生的同意的問題。這種信息的同意理應建立在高校和學生之間有效溝通的基礎之上，應該以明確告知學生處理這類信息的目的、方式以及影響后果等為前提。這對高校進行學生個人信息處理工作的細致度和針對性是極高的要求，需要高校學生管理中各個部門、各個環節之間的信息交互高度一致。

三、高校使用學生個人信息方式和程序的合理化

高校對學生個人信息的使用并非僅限于范圍的合理，還在于使用、處理和保護的合理化，實現學生個人信息保護的全面性。首先，高校應接受學生補全和撤回個人信息的請求。學生在校學習的過程中出現的個人一般信息和敏感信息的改變的，高校應建議并允許學生及時修正自己的個人信息，以確保信息的正確性，切實維護學生利益。其次，高校應滿足學生對個人信息使用情況的知情權。預先的制度安排往往可以更好的避免糾紛的出現，允許學生知曉學校對自己個人信息的使用情況，可以有效的預防雙方矛盾的出現。再次，高校應保護的學生個人信息安全，避免學生個人信息出現不當使用、泄露。信息化和數據化是高校發展的必然，更應重視學生個人信息儲存的方式、時間、期限，確定信息保者的責任，明確刪除義務，完善學生個人信息保護制度。最后，高校的對學生個人信息的使用應恪守各項法律義務，積極創設與學校管理工作契合的的實施規則，細化、明確責任，使得高校學生個人信息使用走向制度化的軌道。

參考文獻：

[1]范江波.法治視角看高校個人信息保護（上篇）[J].中國教育網絡，2021，（05）：51-53.

[2]范江波.從法治視角看高校個人信息保護（下篇）[J].中國教育網絡，2021，（06）：65-68.

[3]陳曉寒;項定宜.大數據時代大學生個人信息保護探究[J].法制博覽，2020，（12）：94-95.

[4]張信華.維護高校學生合法權益的實踐與思考[J].揚州大學學報（高教研究版），2008，（04）：79-81.

[5]陳宜菲.高校學生管理權與學生合法權益的沖突與平衡[J].太原城市職業技術學院學報，2012，（05）：108-110.