公私法結合下的高校學生個人信息保護

南京信息工程大學 南康

近些年，在信息時代的大背景下，個人信息的收集與使用愈加廣泛。在此過程中，部分高校為了更便利高效地開展管理工作，加快了校內信息化建設，這也相應地產生了諸多個人信息保護問題。例如，個人信息過度收集、并且在管理過程中由于失誤導致信息泄漏，進而侵犯學生合法權利。我國《民法典》第111條確認了自然人的個人信息受法律保護，隨著《個人信息保護法》的生效，《民法典》中的相關規定被進一步完善與落實。在此基礎上，我們應當思考：高校在其信息處理過程中的諸多問題能否通過《個人信息保護法》相關規定加以規制？如何進行規制？在規制的同時如何實現管理效率與信息安全、隱私的平衡？

一、高校個人信息問題現狀

在高校加快信息化建設的大背景下，高校個人信息問題愈發突出，這一問題主要表現為三個方面。其一，高校在收集信息時，存在信息過度收集現象，即學生信息隱私保護問題。其二，高校在處理信息過程中存在技術漏洞、管理混亂等問題導致個人信息存在泄漏的安全隱患。最后，現階段，法規范在高校這一特定領域內還存在諸多適用與沖突問題有待解決。接下來筆者將展開論述：

（一）信息隱私問題

于2021年11月1日，《個人信息保護法》生效，其對個人信息處理者的信息收集范圍、利用目的、使用原則等做內容做出規定。例如，《個人信息保護法》第6條規定：收集個人信息，應限于實現處理目的的最小范圍，不得過度收集個人信息。該條規定直指近年來爭議較大的刷臉進校問題，人臉這一敏感生物信息，在高校管理活動中是否有收集的必要？高校收集人臉信息是否超出《個人信息保護法》第6條所表述的：應限于實際處理目的的最小范圍？

為明確高校收集了哪些信息，這些信息是否存在被過度收集的情況，筆者針對高校學生個人信息收集情況，實證調查如下：

以五所高校學生信息管理系統中收集的信息為例，將這些信息做出如下區分：本人基本情況信息，例如姓名、性別、民族等；家庭基本情況信息，如父母姓名、就業單位、政治面貌等；本人健康信息，如體檢情況、病史等；本人學業信息，如課程成績、等級考試成績、獎懲情況；本人部分生物信息，如人臉信息、指紋信息。鑒于2020年以來爆發的新冠疫情，疫苗接種信息、行程信息等公共安全相關信息也納入了高校信息采集的范圍。在這些信息中，的確存在高校正常學生管理工作所必需的部分信息。但其他非必要信息的收集管理工作更值得我們深入思考。例如，學生已經符合《高等學校體檢標準》，被高校錄取的情況下，高校是否依然有必要收集體檢標準之外的學生本人健康情況這一敏感個人信息？基于什么樣的使用目的收集？

（二）信息安全問題

國內大部分高校均采取了以教學單位和行政機構為核心的管理結構，學生個人信息在教學單位和行政機構之間雙向流動。

大部分高校管理方式以教學單位為基礎，故筆者以學院為調查單位，以單個學生為調查對象，一對一發放相關問卷共40份。在筆者本校，收有效問卷8份，其余32份問卷分別取自二十余所不同公辦高等院校的近三十個學院。在問卷中，筆者調查了相關高校信息收集范圍、處理方式、處理目的并對受調查者針對這一現象的看法和意見做了專門性收集。

問卷顯示，以“QQ”“微信”為核心的文件、信息傳遞方式是大部分高校的主要信息流通途徑。這一途徑雖具有便捷性，但其較高的安全風險同樣值得注意：其一，能直接接觸相關個人信息的賬號存在安全風險，如賬號盜取、他人登陸等；其二，大部分高校以“QQ”群為中心展開學生工作，此類“QQ”群聊中，人數較多，因此難以逐一核實身份，同時也伴隨著信息過度公開問題：即本該由管理者掌握、并負有保密義務的信息，為提升填報、核查等工作的效率，被公布在“QQ”群中，且未及時刪除，這一現象不僅增加了信息安全風險，同時也侵犯了學生隱私。我國教育部辦公廳于2017發布的要求各高校進一步規范學生資助信息公示工作的通知即針對這一亂象；其三，因這種粗放管理方式易操作、無門檻，甚至導致了冒充校方管理人員非法收集學生個人信息的情況出現，其嚴重威脅了個人信息安全。問卷結果顯示，在筆者所調研的四十個高校教學單位中有二十二個存在綜上問題，占比達到55%。足見高校個人信息安全問題之嚴峻。

（三）法規范問題

在《個人信息保護法》出臺前，主要包括《網絡安全法》《教育法》在內的部門法雖可為高校學生個人信息的法律保護提供一定支持,但在法律適用和法律制度層面均存在不足。更為重要的是，我國高校雖然可依照《高等教育法》自主設置章程和管理制度，但截至《個人信息保護法》生效前并無高校出臺學生個人信息保護的相關政策。綜上所述，高校信息化建設加快的背后是高校個人信息保護問題的突出，要想對兩者做出平衡，必須明確高校這一特殊場景下學生個人信息權的權利屬性。

二、高校學生個人信息的類型化

高校學生個人信息因其特殊性而成為本文的研究對象，為實現高校學生個人信息最終保護路徑之建構。本文將在高校學生個人信息特殊性的基礎上，對高校學生個人信息的應用場景及高校學生個人信息本身做出類型化的區分。

（一）高校學生個人信息應用場景類型化

欲探明高校學生個人信息的保護路徑，作為管理主體的高校和被管理的學生之間可能存在的場景首先應得以明確，只有這樣才能捋清高校在學生個人信息保護中處于何種地位，享有何種權利，應當負有何種義務。

1.內部管理場景

依《教育法》《高等教育法》和《學位條例》等法律法規，高校是經國家授權的，行使國家行政權力或公共管理權利，進行相應管理活動的事業法人，具備行政主體資格。在本文所研究的高校管理領域內，高校基于教育行政權實施教育管理行為，屬于典型的公法上的行政執法行為。在此意義內，高校對學生個人信息的管理權責劃分可按照《個人信息保護法》《高等教育法》等相關法律法規進行建構和明確。

值得注意的是，依《普通高等學校學生管理規定》第四十條規定：學校應建立和完善學生參與管理的組織形式，支持和保障學生依法、依章程參與學校管理。該條明確賦予了學生一定的自治權利，在些情況下，學生不再作為純粹的被管理者，基于該條規定，學生具備了一定的行政主體地位，不再是單一的行政相對人。因此針對這一過程中可能涉及的學生個人信息保護問題，高校與學生之間對個人信息保護的權責劃分需要相應做出調整。

學生自治具體表現形式可以區分為學生組織和學生社團。

在一般情況下，學生通過辦公室助理、學生會等學生組織形式參與高校的內部管理活動，所涉及和處理的學生個人信息仍舊是在高校“教學單位”——“行政機構”二元結構框架下，其行為屬于輔助管理行為，其信息隱私問題和信息安全問題與前述情況并無區別，亦無需作特別闡述與規制。需做出區別的是學生社團這種學生組織形式。

2.涉外管理場景

近些年，隨著校園活動的豐富，由學生自發成立和組織學生社團等日益繁多，各高校的學生社團數量眾多，且以高校學生興趣為導向，學生參與度高，覆蓋面廣。但因其龐大的數量，在實際管理過程中，很難得到團委的具體指導與支持，它們基于舉辦活動、維持運作的資金需求，其存在向部分商家謀求“贊助”的行為。，在此過程中，作為商家提供資金支持的交換條件，學生社團需要舉辦相關活動，或者以自身乃至他人的個人信息的財產性價值作為交換，因為學生個人信息的特殊屬性，個人信息安全風險凸顯。

在中共教育部黨組、共青團中央印發的《高校學生社團建設管理辦法》（教黨發〔2020〕13號）中明確了學生社團的性質為群眾性學生團體，同時也明確了高校對學生社團的管理責任與義務，例如組織建設，加強領導等。部分高校如南京理工大學、南京財經大學、南京信息工程大學等同樣根據《普通高等學校學生管理規定》（中華人民共和國教育部令第41號）和《高校學生社團管理暫行辦法》（中青聯發〔2015〕39號）等相關規定制定了學生社團管理辦法。但值得肯定的是，學生社團屬高校管理，而在學生社團面臨信息風險時，學校以何種方式承擔何種責任，需要在保護路徑中得到明確。

基于綜上區分，高校與學生的關系也可以隨之確定：在高校行使管理權情況中，高校是純粹的行政主體，其與學生的關系即單純的管理與被管理，此時高校處于主導地位，需要按照《民法典》和《個人信息保護法》的要求對學生個人信息做出嚴格保護；學生參與治理的情況則相對復雜，在此狀況下，高校與學生間雖然存在管理關系，但是學生同樣也被賦予了部分管理權利。在此部分自治基礎上，學生需要對其決策承擔責任，高校也同樣存在類似民法上的安保義務，二者的責任配比則依具體情況而定。

（二）高校場景下學生個人信息類型化

為高校學生個人信息提供保護，如果按照普通信息分類進行一般性處理，勢必導致諸多不便和保護效果的減損。因此對高校領域內個人信息進行基于其特征的特殊分類，并在此分類的基礎上，針對不同類型的信息制定專屬的保護規則，才有可能實現對高校學生個人信息更加周全的保護。

1.可推測信息與獨立信息

以學號為例，作為高校學生身份的核心、校園內可直接識別特定學生的唯一號碼，高校的學號安排具有規律性。通常以年級、專業、班級、序號的體例構成，并且存在初始密碼的設定，在校內系統中，此特征通常可以幫助行為人在未經同意的情況下獲得他人信息，雖然此一行為可能并無特定針對對象（初始密碼有可能已被修改，但同樣存在例外）。這一特征在信息密集的高校場景中，將導致少量有限的個人信息的價值也往往大于普通信息，換言之，學生個人信息一旦泄漏，可能導致嚴重后果。

基于綜上所述特征高校個人信息易分為可推測信息與獨立信息。

高校內，最常使用的身份識別方式有二：學號、居民身份證號（包括護照、港澳臺通行證等）。其中以學號為核心，關聯信息包括年級、院系、專業等高校內特有的個人識別方式。這一信息的泄漏影響將不止局限于個人，有規律的學號排列方式將導致一條泄漏，一個系部受其影響的可能，故這一部分信息應著重加以保護。

以居民身份證號為核心，其關聯信息包括手機號碼、戶籍信息等一般社會管理信息，這一部分信息的構成方式不是以高校為中心，而是以國家戶籍管理、電信管理等制度為核心，因此其泄漏之影響僅局限于個人而不至殃及高校中特定集體的信息安全，故對這部分信息加以一般性保護即可。

2.可公開信息與非公開信息

在高校的日常管理活動和教學秩序中，公示是一項常用且必需的制度，其適用范圍涵蓋了獎學金、學業預警、學生干部選任等校園生活的各個領域，同時也是學校管理行為的重要組成部分，并且學生作為被管理主體，也更關切這類與自身關聯密切的公示信息。再者，根據《個人信息保護法》第28條之分類，生物識別、醫療健康、家庭狀況等敏感個人信息也可能處于高校收集范圍甚至公開的范圍之內。這一制度決定了學生敏感個人信息的公示與否迫切需要更加嚴格的區分。在高校工作實際中，可公開與否，可能存在較大爭議。例如如近期熱議的“復旦大學三名學生在校外嫖娼被開除學籍”一案，校方依據《復旦大學學生紀律處分條例》開除三名學生并無不妥，但是對其原因加以公示卻引起了截然不同的討論。再者，如前文提及的《教育部辦公廳關于全面清理和規范學生資助公示信息的緊急通知》同樣針對這一問題。

結合《個人信息保護法》對敏感個人信息的規定，筆者認為：一旦公開，就容易導致自然人人格尊嚴受到侵害或者、人身財產安全受到危害的個人信息屬于隱私信息，并不宜公開。例如，接受國家資助的貧困生的家庭情況信息，如若公示，極有可能對其人格尊嚴造成損害，這一部分信息即非公開信息，這一分類也較為符合教育部《教育部辦公廳關于全面清理和規范學生資助公示信息的緊急通知》之精神，這部分信息應到得到高校的重視與特殊保護。當然這并不意味著公開信息即無須保護，公開方式、公開范圍、公開可能造成的影響均是高校行權時所必須做的考量。

綜上所述，高校在公示學生個人信息時，必須明確公開內容與范圍，如貧困生公示中，教育部即規定，僅公示必要的姓名、學號等，家庭情況、個人情況等涉及學生人格尊嚴的內容不得公開。與此同時，高校有義務保障這一部分之信息不為學校以外的單位或者個人獲取。

三、高校個人信息保護路徑之建構

在明確了高校個人信息的權利屬性、特征及分類、應用場景后，筆者力圖提出一種“一主多輔”的保護路徑。一主即以“結果保護”為主以法律法規授權的高校自治地位和章程創制權為核心，結合各高校實際管理情況制定專門的高校《個人信息保護管理辦法》；多輔即以“過程保護”為主，通過賦予學生救濟性權利、發揮民事司法裁判的個案指導功能等手段，從而實現學生個人信息之保護。筆者將在下文就此做出詳細論述。

（一）“結果保護”：以制定個人信息管理辦法為主

在明確結果保護的路徑之后，筆者將結合《個人信息保護法》《民法典》等法律法規及上文對應用場景和個人信息分類的論述，對高校《個人信息保護管理辦法》提出若干原則性規定：

1.內部管理場景

（1）高校為履行職責處理個人信息，應依照法律、行政法規規定的權限、程序進行，不得超出履行法定職責所必需的范圍和限度。此處的權限、程序和必要范圍及限度應結合隱私信息與公開信息之分類做出考量：涉及個人隱私信息之收集，高校應當審慎對待，結合《個人信息保護法》第6條之規定將其限于實現處理目的最小范圍，應明確該隱私信息收集之必要性，不得過度收集；涉及公開信息之處理，高校應制定切實的流程與制度，并結合《個人信息保護法》第7條之規定明確為何公開，如何公開，什么范圍內公開，并盡到告知義務。（2）高校處理個人信息過程中，應當保證學生校對自身信息核查的權利，確保保證個人信息質量，以避免因個人信息不準確、不完整對學生造成影響。這一原則是對《民法典》第1037條及《個人信息保護法》第8條之落實，高校因其管理工作之特征，學生個人信息將涉及其在校園生活的各個方面且使用頻率較高。因此高校有義務保證信息的正確性，同時這也是對管理效率的提升。（3）高校應當采取必要措施，加強對個人敏感信息保護。這一原則是對《個人信息保護法》第9條要求的落實，同時也是高校信息隱私性和關聯性這兩種特征的必然要求。（4）高校在信息處理過程中，應當做到隨用隨取，用后即刪。這一原則是基于高校信息的使用體制做出的規定，綜上所述，絕大部分高校采用“教學單位”—“行政機構”的二元管理體制，數以千百計的大量個人信息在兩者之間雙向流動，任由這部分信息在網絡上存在，將極大地增加個人信息泄漏風險，所以即使可能犧牲部分管理效率，但這一原則要求所獲得的個人信息安全收益將遠超于損失的管理效率。

2涉外管理場景

（1）嚴格限制學生使用高校內特有的識別方式參與涉外活動，如有需要，需向校方進行報備。這一規定基于可推測信息與獨立信息之劃分，如前所述，高校領域內學生個人信息，因其可推測性與密集性決定了其更高的信息價值與更嚴重的泄漏后果。學生使用高校特有的個人信息參與社會活動其影響將不再局限于個人，而是對一定范圍內諸多學生的公益造成了影響，因此需要嚴格限制。相對而言，學生使用個人獨立信息參與社會活動，應視作個人權利。在無顯著風險之情形下，高校不應對個人自由加以限制。筆者認為，上述原則性規定足以為高校個人信息提供一個完善的保護框架，各高校應結合自身實際情況，在不違反《民法典》與《個人信息保護法》的前提下，適當做出補充即可實現個人信息保護之目的。

（二）“過程保護”：多種手段構成的輔助性保護

1.提升技術保障

技術手段通常是高效解決問題的辦法之一。如本文第二部分中信息安全所述，依本文有關調查，“QQ群”往往是個人信息收集和傳遞的重要工具，但“QQ”作為一款社交軟件，其服務對象廣泛，使用主體多元，同時存在賬號泄露，信息泄露等多種風險，并不是信息收集、公布的理想軟件。高校可以基于自身的信息化管理平臺，構建一套具有嚴格加密標準的信息收集和公布系統，從而最大程度上減少信息泄露風險。筆者認為，完善的管理體制同樣屬于必要的技術保障，并且可以借此機會在保證個人信息安全的基礎上，最大可能地實現高校管理。正如本文所分析的，目前大部分高校均采取“教學單位”——“行政機構”的二元管理體制，信息需要在教學單位內部按照班、系、院的層級流動，再由提出相應信息需求的行政部門加以處理，在這一固有體制上實現個人信息之安全保護確有可能降低管理效率。對此高校可以結合實際情況，減少部分信息的流通環節，例如對少量、隱私性可以直接由相關行政機構向學生收集。

高校工作中因學生個人信息保護喪失的部分管理效率完全可以通過軟件技術和管理技術之提升加以彌補，甚至更加高效。

2.受限制的學生個人信息救濟性權利

《個人信息保護法》第四章中規定了個人在個人信息處理活動中的權利，這部分權利是否能在本文場景中應用？如何應用？這一問題之回答將成為能否給予學生救濟性權利的基礎。

綜觀《個人信息保護法》的立法過程，不難體悟出立法者認為個人信息權利應受公益之限制的立法精神。體現如下：《個人信息保護法（草案）》第三十五條的表述為：國家機關為履行法定職責處理個人信息，應依照本法規定向個人告知并取得其同意；法律、行政法規規定應當保密，或者告知、取得同意將妨礙國家機關履行法定職責的除外。從常見要求可知，國家機關為履行法定職責處理個人信息，需要“告知+同意”，一定程度上能提高國家機關處理個人信息的透明度。但是最終版本的《個人信息保護法》表述為國家機關為履行法定職責處理個人信息，應依照本法規定履行告知義務；有本法第十八條第一款規定的情形，或者告知將妨礙國家機關履行法定職責的除外。對比《個人信息保護法》第十三條第一款之規定，明顯可以看出，立法者在此對個人權利加以了適當的限制。

依此立法精神，前述問題之答案也呼之欲出：《個人信息保護法》第四章中個人在個人信息處理活動中的權利的應當適用于本文場景，但是其中部分權利應當受到限制。對此,筆者稍作區分：（1）無需限制的權利。例如《個人信息保護法》第四十六條規定的個人對其信息的校驗權，這即是對《民法典》相關規定的落實，也是對本文在高校個人信息保護辦法中1.2原則的落實。相類似的權利還包括《個人信息保護法》第四十五條的查閱權和復制權、第四十八條的請求解釋權。（2）需要受到部分限制的權利。針對無需限制的個人權利，高校乃至司法實踐都應當對之加以周全的保護，以保證學生的個人信息安全以及相關權利，至于需要部分限制的個人權利，相關各方應當針對為何限制，限制之后果，以及在限制之情況下發生權利受損情況下的責任分配問題做出詳細研究，結合實際情況，做出合適的處理。本文立足于高校這一特殊領域，以有效保護高校學生個人信息之辦法的提出為目的。針對高校個人信息保護所面對的問題，結合高校個人信息特征與分類以及不同的應用場景，提出了以設置高校個人信息管理章程為主，三種技術和民法手段為輔助的保護方式，以期為高校領域內的個人信息保護提供參考。