高校個(gè)人信息保護(hù)法治化

黃泓源

（南京郵電大學(xué)，南京 210023）

一、個(gè)人信息保護(hù)法律依據(jù)

（一）個(gè)人信息保護(hù)主要法律規(guī)定

我國相關(guān)法律法規(guī)在規(guī)范個(gè)人信息保護(hù)措施、維護(hù)個(gè)人信息權(quán)益方面作出了比較細(xì)致的規(guī)定。《刑法修正案（七）》于2009年2月28日起施行。該修正案新添了個(gè)人信息相關(guān)罪名。而于2015年11月1日正式實(shí)施的《刑法修正案（九）》將個(gè)人信息相關(guān)犯罪進(jìn)行了整合。于2017年6月1日正式實(shí)施的《中華人民共和國網(wǎng)絡(luò)安全法》（以下簡稱《網(wǎng)絡(luò)安全法》）從維護(hù)網(wǎng)絡(luò)安全視角加強(qiáng)對(duì)個(gè)人信息保護(hù)。于2021年1月1日正式實(shí)施的《中華人民共和國民法典》（以下簡稱《民法典》）用獨(dú)立的一章對(duì)個(gè)人信息保護(hù)作出了規(guī)范。對(duì)維護(hù)我國公民個(gè)人信息權(quán)益的發(fā)展具有十分重要作用的《個(gè)人信息保護(hù)法》于2021年11月1日正式實(shí)施。該法作為專門性法律，對(duì)維護(hù)個(gè)人信息權(quán)益的措施進(jìn)行了系統(tǒng)性規(guī)范。

（二）個(gè)人信息及其處理的法律含義

為更加規(guī)范地、準(zhǔn)確地維護(hù)好公民個(gè)人信息相關(guān)權(quán)益，我國已出臺(tái)的《網(wǎng)絡(luò)安全法》①《網(wǎng)絡(luò)安全法》第七十六條第五項(xiàng)規(guī)定，“個(gè)人信息，是指以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別自然人個(gè)人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號(hào)碼、個(gè)人生物識(shí)別信息、住址、電話號(hào)碼等。”、《民法典》②《民法典》第一千零三十四條第二款規(guī)定，“個(gè)人信息是以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號(hào)碼、生物識(shí)別信息、住址、電話號(hào)碼、電子郵箱、健康信息、行蹤信息。”、《個(gè)人信息保護(hù)法》③《個(gè)人信息保護(hù)法》第四條規(guī)定，“個(gè)人信息是以電子或者其他方式記錄的與已識(shí)別或者可識(shí)別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息。”等法律法規(guī)均對(duì)“個(gè)人信息”的定義和范圍作出了較詳細(xì)的闡述。《網(wǎng)絡(luò)安全法》和《民法典》采取概括與不完全列舉相結(jié)合的方法對(duì)個(gè)人信息的定義和范圍作出了闡述，而《個(gè)人信息保護(hù)法》中并未進(jìn)行列舉，且不同法律關(guān)于個(gè)人信息定義及范圍表述存在差異。比如，《網(wǎng)絡(luò)安全法》關(guān)于個(gè)人信息定義和范圍的表述在“自然人”后面新添“個(gè)人身份”，而《民法典》與《個(gè)人信息保護(hù)法》中則是沒有“個(gè)人身份”表述。當(dāng)今社會(huì)中存在著兩種識(shí)別方式，一種方式為對(duì)個(gè)體身份的識(shí)別，另一種方式為對(duì)個(gè)性特征的識(shí)別[1]。學(xué)術(shù)界中部分學(xué)者指出，《網(wǎng)絡(luò)安全法》第七十六條的規(guī)定中關(guān)于個(gè)人信息含義和范圍之規(guī)定須在準(zhǔn)確識(shí)別的限制下給予廣義的法律解釋[2]。筆者同意此觀點(diǎn)，認(rèn)為對(duì)《網(wǎng)絡(luò)安全法》中的個(gè)人信息作擴(kuò)大解釋，不但有助于更全面地保護(hù)個(gè)人信息，也有助于法律規(guī)定之間的相互協(xié)調(diào)。

關(guān)于什么是個(gè)人信息處理，我國相關(guān)法律也以不完全列舉方法予以明確。④《民法典》第一千零三十五條第二款規(guī)定，“個(gè)人信息的處理包括個(gè)人信息的收集、存儲(chǔ)、使用、加工、傳輸、提供、公開等”。《個(gè)人信息保護(hù)法》第四條第二款的規(guī)定，“個(gè)人信息的處理包括個(gè)人信息的收集、存儲(chǔ)、使用、加工、傳輸、提供、公開、刪除等”。《個(gè)人信息保護(hù)法》在《民法典》列舉的基礎(chǔ)上增列了“刪除”，即進(jìn)一步明確了刪除個(gè)人信息也屬于個(gè)人信息處理的情形。因此，受法律規(guī)制的個(gè)人信息處理的內(nèi)涵十分豐富，種類眾多，包括但不限于法律規(guī)定列舉的情形。除了法律所列舉的情形外，其他類似的情形也可歸于個(gè)人信息處理。

二、個(gè)人信息保護(hù)在高校管理中存在的相關(guān)法律問題

（一）高校管理中涉及的個(gè)人信息及其處理

現(xiàn)今高校管理中涉及個(gè)人信息保護(hù)的問題呈現(xiàn)出多而雜的特征。一方面，高校管理中不可避免地會(huì)涉及師生的個(gè)人信息，而高校師生人數(shù)眾多，且每年還有大量新生入學(xué)，涉及個(gè)人信息數(shù)量也十分龐大；另一方面，高校管理中涉及的個(gè)人信息種類繁多，在學(xué)籍、教務(wù)、檔案、人事、財(cái)務(wù)等諸多管理環(huán)節(jié)均可能涉及師生各種各樣的個(gè)人信息，包括學(xué)生本人姓名、身份證號(hào)、出生年月日、所在學(xué)校學(xué)號(hào)、各項(xiàng)考試成績、家庭住址或聯(lián)系地址、聯(lián)系方式、個(gè)人郵箱、銀行賬號(hào)、體檢報(bào)告或健康信息、行程、生物識(shí)別特征信息等，所涉?zhèn)€人信息比較全面，如將這些個(gè)人信息組合在一起，則可精準(zhǔn)識(shí)別特定的自然人，并形成較為完整的人物畫像；一旦個(gè)人信息沒有合法使用或泄露，就會(huì)侵犯個(gè)人隱私權(quán)等權(quán)益，也會(huì)導(dǎo)致高校承擔(dān)相應(yīng)法律責(zé)任。

高校管理行為可能涉及師生的個(gè)人信息采集、存儲(chǔ)、使用等諸多情形。比如學(xué)籍管理工作，從學(xué)生注冊(cè)入學(xué)到最終完成學(xué)業(yè)的整個(gè)過程，高校都會(huì)接觸到大量的學(xué)生個(gè)人信息，并對(duì)這些個(gè)人信息進(jìn)行處理。當(dāng)新生入學(xué)時(shí)，需要對(duì)學(xué)生姓名、身份證號(hào)、高考成績、畢業(yè)學(xué)校、家庭住址等諸多個(gè)人信息進(jìn)行收集整理。每年新入學(xué)的學(xué)生在進(jìn)校后通常是實(shí)名注冊(cè)個(gè)人信息，可能涉及其本人的身份證號(hào)、出生年月日、家庭住址或聯(lián)系地址、所在院系、班級(jí)和學(xué)號(hào)等信息的存儲(chǔ)。在學(xué)生進(jìn)入高校開始學(xué)習(xí)的過程中，又會(huì)形成其課程考試成績、學(xué)籍異動(dòng)等信息，這些信息將在學(xué)校管理系統(tǒng)中進(jìn)行存儲(chǔ)。在學(xué)生完成學(xué)業(yè)后，還需要在電子平臺(tái)上進(jìn)行學(xué)籍學(xué)歷注冊(cè)并傳輸照片。再如，高校信息公開工作，可能會(huì)涉及師生姓名、電話號(hào)碼等個(gè)人信息的收集、公開等。

（二）高校作為個(gè)人信息處理者時(shí)應(yīng)履行的法律義務(wù)

高校管理過程中可能會(huì)涉及收集、存儲(chǔ)、公開、刪除等各種處理師生個(gè)人信息的行為，此時(shí)高校作為個(gè)人信息處理者，應(yīng)當(dāng)依照法律規(guī)定嚴(yán)格履行相關(guān)義務(wù)。《民法典》第一千零三十八條以及《個(gè)人信息保護(hù)法》第五章均明確規(guī)定了個(gè)人信息處理者相應(yīng)法律義務(wù)和責(zé)任。筆者按時(shí)間階段，將高校作為信息處理者的法律義務(wù)分為事前義務(wù)、事中義務(wù)和事后義務(wù)。事前義務(wù)指的是個(gè)人信息處理者在對(duì)個(gè)人信息進(jìn)行處理活動(dòng)前所應(yīng)當(dāng)遵循的義務(wù)，主要涵蓋制定或修訂處理者內(nèi)部的相關(guān)管理制度和操作規(guī)程、合理確定個(gè)人信息處理的操作權(quán)限、制訂個(gè)人信息安全事件應(yīng)急預(yù)案、任命個(gè)人信息保護(hù)負(fù)責(zé)人、進(jìn)行事前風(fēng)險(xiǎn)評(píng)估與建立數(shù)據(jù)影響評(píng)估制度等。事中義務(wù)即個(gè)人信息處理者在進(jìn)行個(gè)人信息處理活動(dòng)過程中所應(yīng)當(dāng)遵循的義務(wù)，主要包括告知、征求同意、對(duì)個(gè)人信息實(shí)行分類管理、采取相應(yīng)的加密、去標(biāo)識(shí)化等安全技術(shù)措施、發(fā)生或者可能發(fā)生個(gè)人信息安全事件立即采取補(bǔ)救措施，以及定期對(duì)內(nèi)部從事該行業(yè)的員工開展信息安全教育或講座、專業(yè)培訓(xùn)等。事后義務(wù)即個(gè)人信息處理者在進(jìn)行個(gè)人信息處理活動(dòng)結(jié)束后所應(yīng)當(dāng)遵循的義務(wù)，主要包括定期進(jìn)行合規(guī)審計(jì)等。

（三）侵犯個(gè)人信息相關(guān)法律責(zé)任

我國個(gè)人信息保護(hù)法律體系逐步完善，《中華人民共和國刑法》（以下簡稱《刑法》）、《民法典》《網(wǎng)絡(luò)安全法》《個(gè)人信息保護(hù)法》《中華人民共和國數(shù)據(jù)安全法》（以下簡稱《數(shù)據(jù)安全法》）等諸多有關(guān)法律中均有對(duì)個(gè)人信息保護(hù)以及侵犯個(gè)人信息承擔(dān)責(zé)任的條文規(guī)范，這些條文規(guī)范從各自法益保護(hù)作為出發(fā)點(diǎn)，明確了違反該法相關(guān)規(guī)定應(yīng)當(dāng)承擔(dān)的對(duì)應(yīng)法律后果，包括涵蓋民事、行政以及刑事責(zé)任，從而形成較為完備的保護(hù)機(jī)制。

1.民事侵權(quán)責(zé)任。按照傳統(tǒng)“四要件說”，侵權(quán)責(zé)任的四個(gè)構(gòu)成要件分別是不法行為（比如未履行信息保護(hù)相關(guān)法律所規(guī)定的義務(wù)等）、損害（比如造成個(gè)人信息泄露、丟失等）、因果關(guān)系和過錯(cuò)。值得注意的是，根據(jù)《個(gè)人信息保護(hù)法》相關(guān)規(guī)定①《個(gè)人信息保護(hù)法》第六十九條規(guī)定，“處理個(gè)人信息侵害個(gè)人信息權(quán)益造成損害，個(gè)人信息處理者不能證明自己沒有過錯(cuò)的，應(yīng)當(dāng)承擔(dān)損害賠償?shù)惹謾?quán)責(zé)任。”，判斷是否屬于個(gè)人信息侵權(quán)采用的是過錯(cuò)推定方式，若信息處理者無法用證據(jù)證明自己無過錯(cuò)，則推定該信息處理者有過錯(cuò)，由信息處理者承擔(dān)舉證責(zé)任。因此，高校管理中如對(duì)師生的個(gè)人信息進(jìn)行處理，一旦發(fā)生侵權(quán)糾紛，將承擔(dān)更重的證明責(zé)任。比如，根據(jù)構(gòu)成侵權(quán)責(zé)任的四要件判斷和確定違反個(gè)人信息保護(hù)相關(guān)義務(wù)的行為構(gòu)成侵權(quán)，則需要承擔(dān)相應(yīng)侵權(quán)責(zé)任，即應(yīng)采取停止侵害、排除妨礙、消除危險(xiǎn)等措施。《個(gè)人信息保護(hù)法》主要明確了侵權(quán)責(zé)任中的侵權(quán)損害賠償責(zé)任，并明確了賠償數(shù)額的確定方式，即：按該信息所有者由于侵權(quán)行為產(chǎn)生的個(gè)人利益損害，或個(gè)人信息處理者由于其侵權(quán)行為所獲取的收益或利益來判斷；該信息所有者由于侵權(quán)行為產(chǎn)生的個(gè)人利益損害，或個(gè)人信息處理者由于其侵權(quán)行為所獲取的收益或利益不能判斷的，則按照現(xiàn)實(shí)情形判斷應(yīng)當(dāng)賠償?shù)臄?shù)額。

2.行政處罰。在處理個(gè)人信息時(shí)如違反相關(guān)法律義務(wù)，且超過民事法律規(guī)制范圍，但又尚不構(gòu)成刑事犯罪的，則有可能面臨行政處罰。比如，《個(gè)人信息保護(hù)法》就明確說明違反該法律的規(guī)定，非法處理個(gè)人信息或在處理個(gè)人信息過程中未盡到個(gè)人信息處理者應(yīng)盡的保護(hù)義務(wù)的，應(yīng)當(dāng)由相應(yīng)主管部門采取警告、沒收違法所得或讓其暫停或終止服務(wù)等。《數(shù)據(jù)安全法》明確規(guī)定，組織或者個(gè)人在進(jìn)行數(shù)據(jù)處理行為過程中未盡到法律規(guī)定的數(shù)據(jù)安全保護(hù)義務(wù)，應(yīng)當(dāng)由有關(guān)主管部門采取警告或處以罰款等方式，也可對(duì)直接負(fù)責(zé)的主管人員等人員處以罰款。個(gè)人信息處理不當(dāng)不但侵害個(gè)人的民事權(quán)利，還有可能對(duì)行政管理秩序產(chǎn)生不利影響，由此可能受到相應(yīng)的行政處罰。

3.刑事處罰。非法處理個(gè)人信息，侵犯個(gè)人信息相關(guān)權(quán)益的有關(guān)犯罪行為不容小覷，因?yàn)檫@關(guān)乎公民享有的合法權(quán)益，亦關(guān)乎社會(huì)經(jīng)濟(jì)發(fā)展。從《刑法》第二編有關(guān)法律條文來看，個(gè)人信息保護(hù)領(lǐng)域涉及的刑事犯罪包括竊取信用卡信息罪、收買信用卡信息罪以及非法提供信用卡信息罪，嚴(yán)重的最高可處十年有期徒刑以及二十萬元罰金；侵犯公民個(gè)人信息罪，嚴(yán)重的最高可處七年有期徒刑等。如在個(gè)人信息處理中有違反刑事法律規(guī)定的情況，將面臨較重的刑事處罰。

（四）高校管理中潛在的個(gè)人信息保護(hù)法律風(fēng)險(xiǎn)

隨著高校管理信息化水平不斷提高，不可避免地會(huì)涉及各種各樣的師生個(gè)人信息處理場景，在此過程中個(gè)人信息保護(hù)就顯得尤為重要。高校管理中涉及的個(gè)人信息數(shù)量龐大，種類繁多，且不乏生物識(shí)別、醫(yī)療健康、行蹤軌跡等敏感信息，如未加妥善保護(hù)，個(gè)人信息被批量復(fù)制甚至濫用的可能性將大大增加。特別是在大數(shù)據(jù)以及人工智能等技術(shù)條件日趨成熟的情況下，海量信息數(shù)據(jù)的分析與使用也變得越來越簡單，以至能夠?qū)崿F(xiàn)對(duì)分析目標(biāo)近乎精確之人物畫像，從而實(shí)現(xiàn)準(zhǔn)確經(jīng)營銷售，造成個(gè)人隱私權(quán)等權(quán)益的嚴(yán)重侵害，阻礙個(gè)人的權(quán)益保護(hù)和健康發(fā)展。這將給師生帶來難以預(yù)料的后果，也將使高校面臨承擔(dān)侵犯個(gè)人信息的法律風(fēng)險(xiǎn)。例如，江蘇省無錫市就曾發(fā)生過大量學(xué)生個(gè)人信息遭泄露，被校外培訓(xùn)機(jī)構(gòu)非法獲取用于營銷招生，侵害學(xué)生合法權(quán)益的案件[3]。該案中全班乃至全校的學(xué)生個(gè)人姓名、入學(xué)年月日、所在院系和班級(jí)、個(gè)人學(xué)號(hào)、聯(lián)系地址以及親屬姓名、親屬工作單位、聯(lián)系電話等內(nèi)容全面、精確度高的個(gè)人信息泄露，不僅使學(xué)生合法權(quán)益遭到侵害，而且容易引發(fā)電信詐騙等多種關(guān)聯(lián)犯罪，給學(xué)生及家長的人身和財(cái)產(chǎn)安全帶來了重大威脅，損害社會(huì)公共利益。

三、高校管理中個(gè)人信息保護(hù)法律風(fēng)險(xiǎn)成因分析

（一）個(gè)人信息保護(hù)管理制度缺失

《個(gè)人信息保護(hù)法》明確規(guī)定了個(gè)人信息處理者應(yīng)當(dāng)施行制定內(nèi)部管理制度和操作規(guī)程等辦法，以保證實(shí)施的個(gè)人信息處理行為未違反法律以及行政法規(guī)相關(guān)條文，并盡到防止未經(jīng)授權(quán)的訪問以及個(gè)人信息泄露、篡改、丟失的義務(wù)。高校管理過程中的諸多環(huán)節(jié)均有可能涉及師生的個(gè)人信息處理，更需要加強(qiáng)個(gè)人信息保護(hù)相關(guān)內(nèi)部管理制度的建設(shè)。目前我國許多高校對(duì)個(gè)人信息保護(hù)問題重視程度不足，國內(nèi)僅有少數(shù)高校發(fā)布了本校的個(gè)人信息保護(hù)制度，這就造成高校在實(shí)際管理中對(duì)師生個(gè)人信息進(jìn)行收集、存儲(chǔ)、刪除等處理時(shí)，缺乏將個(gè)人信息相關(guān)法律內(nèi)化為本校管理規(guī)程的校內(nèi)制度指導(dǎo)。法律雖然已對(duì)個(gè)人信息保護(hù)作出了相關(guān)規(guī)定，但是對(duì)于具體細(xì)化的管理及操作流程等則需要高校結(jié)合自身的實(shí)際情況探索總結(jié)制定出更為詳細(xì)且具有可操作性的個(gè)人信息保護(hù)相關(guān)的管理制度。

（二）個(gè)人信息保護(hù)法律意識(shí)不強(qiáng)

高校在教育管理活動(dòng)中，不可避免會(huì)涉及師生個(gè)人信息，但是由于高校個(gè)人信息保護(hù)意識(shí)不強(qiáng)，造成師生個(gè)人信息遭泄露等情況時(shí)有發(fā)生。例如，部分高校出現(xiàn)過將資助學(xué)生個(gè)人信息公開的情況，忽視了對(duì)資助學(xué)生的個(gè)人信息保護(hù)，使資助學(xué)生個(gè)人信息極易被不法分子獲取并利用，這對(duì)資助學(xué)生個(gè)人信息保護(hù)極為不利，很可能引發(fā)嚴(yán)重后果。對(duì)此，為保護(hù)學(xué)生個(gè)人信息安全，維護(hù)學(xué)生合法權(quán)益，國家教育部辦公廳于2017年11月27日發(fā)布了《關(guān)于全面清理和規(guī)范學(xué)生資助公示信息的緊急通知》（教財(cái)廳函〔2017〕28號(hào)）[4]，明確要求學(xué)校要規(guī)范學(xué)生資助信息公示工作，嚴(yán)禁把學(xué)生的身份證號(hào)、家庭地址、聯(lián)系方式、出生年月日等信息公示。多年來由于信息泄露發(fā)生的種種事件，無不反映目前部分高校個(gè)人信息保護(hù)意識(shí)不強(qiáng)問題。

（三）沒有實(shí)施相應(yīng)的安全技術(shù)手段

當(dāng)今時(shí)代，互聯(lián)網(wǎng)技術(shù)和信息技術(shù)快速發(fā)展，各高校的網(wǎng)絡(luò)信息化建設(shè)水平也在不斷提升。高校在對(duì)學(xué)生管理過程中越來越多地使用相應(yīng)的信息數(shù)據(jù)管理與分析軟件，不但大大提高了高校管理效率，也為學(xué)校老師和學(xué)生在校學(xué)習(xí)生活提供了愈發(fā)方便的保障和支持。但值得注意的是，存儲(chǔ)于網(wǎng)絡(luò)信息系統(tǒng)中的信息往往數(shù)量龐大，且容易被快速復(fù)制、編輯、修改等，一旦泄露后果不堪設(shè)想。特別是高校網(wǎng)絡(luò)信息系統(tǒng)中存儲(chǔ)著大量的師生個(gè)人信息，且這些信息往往與師生的學(xué)習(xí)生活密切相關(guān)，這就對(duì)高校的保護(hù)網(wǎng)絡(luò)安全和信息安全技術(shù)水平有了更加急切的需求和更嚴(yán)格的要求標(biāo)準(zhǔn)。然而，目前高校網(wǎng)絡(luò)信息安全問題仍時(shí)有發(fā)生，例如，上海市某大學(xué)就曾發(fā)生多位教師和學(xué)生的電子學(xué)籍管理系統(tǒng)的學(xué)籍賬號(hào)和密碼泄露事件，造成了不好的社會(huì)影響[5]。高校作為信息處理者，如未采取相應(yīng)的加密、去標(biāo)識(shí)化等安全技術(shù)措施，將為不法分子提供可乘之機(jī)。

四、高校管理中個(gè)人信息保護(hù)法治化建設(shè)

（一）加強(qiáng)制度建設(shè)

教育部印發(fā)的《教育部關(guān)于進(jìn)一步加強(qiáng)高等學(xué)校法治工作的意見》（教政法〔2020〕8號(hào)）明確要求，高校需構(gòu)建系統(tǒng)完備的校內(nèi)規(guī)章制度體系。在我國法治化建設(shè)水平不斷提高、各項(xiàng)法律制度不斷更新完善的背景下，高校應(yīng)密切關(guān)注國家法律動(dòng)態(tài)，按照國家法律規(guī)定不斷更新完善相關(guān)管理制度。目前，我國有關(guān)保護(hù)個(gè)人信息安全、維護(hù)個(gè)人合法權(quán)益的法律法規(guī)在不斷完善，對(duì)個(gè)人信息采集與處理等行為的監(jiān)管也在不斷加強(qiáng)。而高校的網(wǎng)絡(luò)信息化技術(shù)水平不斷提高，勢必會(huì)使因此，高校在管理中涉及到大量的個(gè)人信息采集與處理等。高校要將法律規(guī)定進(jìn)一步內(nèi)化為學(xué)校管理制度，更加全面深入地落實(shí)個(gè)人信息保護(hù)法律要求，為高校日常管理中處理個(gè)人信息提供具有可操作性的規(guī)范和指南。例如，北京大學(xué)制定的《北京大學(xué)校務(wù)信息數(shù)據(jù)管理辦法》、大連理工大學(xué)制定的《大連理工大學(xué)信息化個(gè)人信息保護(hù)管理辦法（試行）》等，將法律關(guān)于保護(hù)個(gè)人信息安全、維護(hù)個(gè)人合法權(quán)益的原則規(guī)范與措施等內(nèi)化于校內(nèi)規(guī)章制度。高校建立個(gè)人信息保護(hù)制度，既是遵守法律規(guī)定的個(gè)人信息處理者相關(guān)義務(wù)的要求，也是日常管理加大個(gè)人信息保護(hù)力度的實(shí)踐需要，更是對(duì)加強(qiáng)和推進(jìn)學(xué)校規(guī)章制度體系建設(shè)，推動(dòng)學(xué)校法治化進(jìn)程具有重要意義。

高校在制定校內(nèi)個(gè)人信息保護(hù)制度時(shí)可從以下五點(diǎn)來考量：第一，應(yīng)該遵循個(gè)人信息保護(hù)相關(guān)的法律。高校應(yīng)當(dāng)在國家個(gè)人信息保護(hù)相關(guān)法律的指導(dǎo)下制定本校的內(nèi)部管理規(guī)定，確保校內(nèi)制度合法合規(guī)。第二，須明確個(gè)人信息處理原則、范圍及操作流程。對(duì)于個(gè)人信息處理原則內(nèi)容的明確，可規(guī)定合法原則、誠信原則、必要原則、安全原則等，指導(dǎo)學(xué)校依法處理個(gè)人信息，并在滿足日常管理及信息建設(shè)的必要需求前提下，在合法合理的范圍內(nèi)收集、存儲(chǔ)、使用個(gè)人信息。同時(shí)，要注意提高相應(yīng)的安全技術(shù)措施和管理手段，以更好保障個(gè)人信息安全，避免造成個(gè)人信息外泄、損毀或者遺失等情況給信息主體帶來權(quán)益的侵害。第三，應(yīng)當(dāng)明確和規(guī)范個(gè)人信息保護(hù)中有關(guān)個(gè)人信息處理信息主體的權(quán)利、應(yīng)履行的義務(wù)以及應(yīng)承擔(dān)的責(zé)任。在高校個(gè)人信息保護(hù)管理制度中，可明確師生對(duì)個(gè)人信息進(jìn)行查看、更正、刪除等權(quán)利，以及對(duì)個(gè)人信息處理行為的同意、撤銷允許、投訴等權(quán)利，以及誠實(shí)信用確保提供的個(gè)人信息的準(zhǔn)確性等義務(wù)，明確高校在合法合理限度內(nèi)處理個(gè)人信息等權(quán)利，以及個(gè)人信息處理事前告知、影響評(píng)估等義務(wù)。第四，可確定專門的信息管理責(zé)任部門，以加強(qiáng)學(xué)校個(gè)人信息保護(hù)工作的組織領(lǐng)導(dǎo)，明確學(xué)校具體管理個(gè)人信息保護(hù)工作的責(zé)任部門。第五，明確責(zé)任追究機(jī)制，明確造成重大損失或違反制度等情形的相應(yīng)后果。

（二）提高個(gè)人信息保護(hù)法律意識(shí)

高校管理中涉及大量的師生個(gè)人信息，需要加強(qiáng)個(gè)人信息保護(hù)的法律意識(shí)，從而更好維護(hù)師生個(gè)人信息相關(guān)合法權(quán)益。就學(xué)校師生而言，其個(gè)人信息與其學(xué)習(xí)生活息息相關(guān)，若發(fā)生個(gè)人信息外泄或違法違規(guī)利用、買賣等情形，將可能產(chǎn)生嚴(yán)重的后果，既包括經(jīng)濟(jì)方面損失，也包括可能造成精神方面的壓力。對(duì)于高校而言，法律明確規(guī)定了個(gè)人信息保護(hù)的相關(guān)要求，高校在教育管理活動(dòng)中應(yīng)當(dāng)嚴(yán)格遵守法律規(guī)定，依法治校，避免因不當(dāng)行為而承擔(dān)民事責(zé)任、行政處罰或刑事處罰。因此，提高高校管理者對(duì)保護(hù)學(xué)生個(gè)人信息、維護(hù)學(xué)生合法權(quán)益的法律意識(shí)非常必要。高校可通過開辦個(gè)人信息保護(hù)專題講座、設(shè)置專題展板等方式加大個(gè)人信息保護(hù)宣傳力度，并可在校園法治宣傳中可增加個(gè)人信息保護(hù)相關(guān)欄目，讓保護(hù)個(gè)人信息、維護(hù)個(gè)人合法權(quán)益的意識(shí)真正滲入到師生日常學(xué)習(xí)生活中去，提高師生法律素養(yǎng)。此外，高校需重點(diǎn)加強(qiáng)可能接觸師生個(gè)人信息的相關(guān)管理人員的教育和培訓(xùn)，加強(qiáng)其嚴(yán)格遵守個(gè)人信息保護(hù)法律的意識(shí)，提高其防范個(gè)人信息泄露、丟失等風(fēng)險(xiǎn)的能力，筑牢個(gè)人信息保護(hù)的人防工程。

（三）加強(qiáng)信息安全技術(shù)建設(shè)

目前高校大多實(shí)現(xiàn)了信息化管理，諸多信息數(shù)據(jù)包括師生的個(gè)人信息都通過信息系統(tǒng)進(jìn)行存儲(chǔ)、傳輸?shù)龋虼耍訌?qiáng)信息安全技術(shù)建設(shè)就顯得尤為重要。高校在信息管理過程中作為信息處理者，可采取相應(yīng)加密、去標(biāo)識(shí)化等安全技術(shù)措施，可采用配置專門的安全控制及監(jiān)管設(shè)備、建立身份認(rèn)證系統(tǒng)權(quán)限等技術(shù)方法，從而做到合法合規(guī)獲取、存儲(chǔ)、處理師生個(gè)人信息，有效保護(hù)信息安全，使這些設(shè)備設(shè)施、系統(tǒng)、技術(shù)方法等成為保護(hù)師生個(gè)人信息安全的利器。通過加強(qiáng)信息安全技術(shù)更好為個(gè)人信息保護(hù)提供支撐性、保障性作用，筑牢學(xué)校信息系統(tǒng)的安全防火墻，為高校個(gè)人信息保護(hù)提質(zhì)增效。