歐盟教育數據隱私保護立法與治理體系構建

◎趙泓源

當前，數字技術正以前所未有的速度和規模向社會各領域融合滲透，引起了新一輪的科技和產業革命。將全新的數字技術融入教育領域，推動教育數字化轉型升級已經成為世界范圍內教育發展的一項重要議題。教育數字化轉型的順利開展需要以海量數據信息為支撐。在對學習者和教育工作者信息進行收集、匯總、存儲、傳輸、分析、處理、共享的過程中，教育數據的安全治理和隱私保護問題隨之而來。近年來，全球范圍內教育領域個人信息過度采集、隱私泄露、網絡攻擊等安全事件頻發，教育數據開放共享與隱私保護之間的固有矛盾日益凸顯，引起了各國政府和學界的廣泛關注。

在全球范圍內，歐美發達國家和地區在數據安全整體治理和教育數據隱私保護等問題上擁有相對豐富的法律制度和實踐經驗。在此背景下，對先進國家和地區的立法和實踐經驗進行系統研究并加以借鑒，為我國在現有數據安全法律制度基礎上構建教育數據隱私保護體系提供一種合理優化途徑。歐盟制定的《通用數據保護條例》（General Data Protection Regulation，以下簡稱GDPR）作為面向各領域各類型數據的一般性保護條例為保護教育數據安全和隱私，規范數據采集和處理行為提供了明確規范。因此，本文將以歐盟教育數字化轉型過程中實施的教育數據隱私保護立法與實踐為分析對象，梳理歐盟保護教育數據安全的手段和經驗。

一、歐盟教育數字化轉型中的數據隱私問題

作為教育水平發達地區之一，歐盟在教育數字化轉型戰略上一直處于世界前列，并于2020 年發布了最新綱領性文件——《數字教育行動計劃（2021—2027）》，將“發展高績效數字教育生態系統”作為兩大戰略之一，旨在推動數字技術在日常教與學中的廣泛應用。同時，全球性新冠肺炎疫情導致多數學生開始居家接受遠程在線教育，迫使教育數字化進程大幅提升。因此，當前歐洲地區教育理念和實踐模式不斷創新，數字化轉型正處于蓬勃發展階段。與此同時，包含學習者和教育工作者個人信息的海量數據被不斷收集、匯總、存儲、傳輸、分析、處理、共享，并被應用于不同的教育場景之中，導致近年來歐洲地區的教育數據在整個生命周期的各個環節均面臨著隱私侵犯的風險與危機。

（一）教育數據采集和匯總階段

數字技術在教育領域的全方位應用大幅度削弱了學習者和教育工作者在信息采集時的選擇權。一方面，數據主體為了獲得平等的教育機會和更多的教育資源，不得不做出授權個人隱私信息的被動選擇，且難以掌控其數據信息的使用方式和最終走向。另一方面，多數教育數據主體尚不具備足夠的數據保護意識和數字素養，與高速發展的數字技術之間存在明顯的不對稱性，使得數字技術可以以網絡為切口，在數據主體不知情或未經數據主體同意的情況下采集個人信息。

（二）教育數據存儲和傳輸階段

存儲和傳輸階段是教育數據泄露的高發階段。首先，教育機構內部的管理人員缺乏數據保護意識且技術水平欠缺。例如，2019 年，挪威卑爾根市的市政用戶計算機系統在投入使用前未進行充分的安全性和保密性測試，導致其管理的一所市政小學的小學生及雇員的個人數據處于不受任何保護且完全公開的狀態［1］。（注：挪威雖然不是歐盟成員國，但屬于歐洲經濟區（European Economic Area）成員。GDPR 已經納入歐洲經濟區協議，并于2018 年7 月在挪威適用。挪威與歐盟成員國一樣受到GDPR 的約束。因此，本文在對歐洲地區教育數據隱私問題進行研究時，將挪威也納入研究對象的范圍內。）其次，教育機構薄弱的數據保護與加密系統也為黑客制造網絡攻擊和勒索事件提供了可乘之機。有研究報告顯示，教育行業是最缺乏網絡攻擊防御能力的行業。近一半教育機構選擇通過支付贖金以恢復數據，但數據恢復不僅速度慢、成本高，且很難恢復到被攻擊前的正常水平［2］。

（三）教育數據分析和處理階段

對教育數據進行分析處理的過程中也存在隱私侵犯的潛在風險。人工智能算法利用大量教育歷史數據完成學習和訓練，進而對教育主體未來的行為活動做出準確預測或提供合理規劃。但是，由于人工智能算法的訓練數據在實際分布上存在一定偏差，其基于學生學業成績、學習行為以及社會背景等數據信息的分析可能含有種族、性別或其他歧視因素，形成數據偏見，不僅會影響決策的公正性，也會阻礙對學習者創造力和發展潛力的發掘［3］。

（四）教育數據共享和使用階段

實現教育數據的互通共享，并利用數據分析結果為學習者和教育工作者提供科學的規劃和指引，是教育數據生命周期的最后環節，也是真正發揮教育數據實際效用的關鍵階段。在這一階段，教育機構通常需要與第三方服務提供商建立合作，通過云儲存、學習管理系統、線上學習平臺或教育軟件等實現教育數據的有效利用。第三方不充分的數據保護協議或數據的不當處理可能會導致侵犯隱私和未經授權訪問教育信息等行為。教育主體的個人隱私信息被濫用于非教育行為的現象屢見不鮮。

二、歐盟教育數據隱私保護的立法與政策

（一）歐盟教育數據隱私保護立法背景

1.歐盟向來重視對公民隱私權和個人信息的保護。歐洲地區在公民隱私權和個人信息保護的問題上存在立法傳統。歐洲在保護公民隱私權的問題上注重發揮政府公權力之效用，通過立法和政策手段賦予公民隱私權以更高位階的保護。

1981 年，歐共體首次嘗試通過《個人信息保護公約》在歐洲地區建立統一的個人信息保護法律制度，但收效甚微。僅有少數成員國批準該公約生效，且未能建立配套的國內法幫助實施，無法從根本上解決問題。1995 年，歐盟訂立《關于個人信息處理保護及個人信息自由傳輸的指令》（以下簡稱《指令》），以推動個人信息保護在各成員國內部的有效落實。但是各成員國在將其轉化為國內法的過程中，結合自身實際需求采取了不同的法律解釋方法，反而加劇了成員國之間個人信息保護制度的沖突與矛盾，更加阻礙歐洲個人信息保護法的一體化進程。一直到2016 年，歐盟理事會表決通過《通用數據保護條例》（General Data Protection Regulation，以下簡稱GDPR），歐洲地區才在個人信息保護的立法問題上取得突破性進展。區別于《指令》，GDPR 在歐盟法體系中享有更高的法律效力，可直接適用于歐洲公民，正式在歐盟各成員國之間建立起統一的個人信息保護和數據流動規則，為教育數據隱私保護治理體系的構建打下了堅實基礎。

2.教育數據開放共享與隱私保護之間日益突出的矛盾關系。科技發展的兩面性始終是一個不可避免的議題。在全球教育數字化轉型的時代背景下，歐盟在教育數據采集存儲、分析處理、開放共享和互通互聯方面存在強烈的現實需求。具體而言，數據采集樣本數量越大、多樣性越強，數據分析的可行性和準確度越高；不同部門、教育機構及平臺之間盡可能地消除數據壁壘和數據壟斷，也有助于發揮教育數據的最大效用價值［4］。但與此同時，教育數據生命周期長、數量龐大且成分復雜等特征賦予其自身明顯的隱私屬性。如果一味無限度、無秩序地將教育數據開放共享，且不能采取有效措施加以保護，將會對公民的人身和財產安全，社會和經濟秩序的穩定發展以及國家安全造成威脅。由此可見，教育數據開放共享與公民隱私保護之間存在著固有的利益沖突。因此，如何建立與教育數字化轉型相匹配的立法和治理體系，在教育數據開放共享和教育數據隱私保護之間尋求動態平衡，是歐盟一直以來不斷探索的關鍵性議題。

（二）歐盟教育數據隱私保護的原則性法律框架

雖然目前歐盟在教育數據隱私保護方面尚未制定專門的法律，但GDPR 作為現階段歐盟數據安全治理領域的綱領性法律文件，為歐洲經濟區內教育數據的隱私保護和安全治理搭建起了原則性框架。因此，本文嘗試將GDPR 中的基礎性原則放置在教育數據治理的語境下，研究GDPR 在歐洲經濟區教育數據隱私保護中的具體應用和重要意義。

GDPR 尤其強調數據處理過程中數據控制者和數據處理者的重要性。在教育數據保護領域，學校作為主要的數據控制者需要與在線學習平臺、數據分析軟件等數據處理者簽訂合同，以完成一系列數據處理行為。由于數據處理者只是代表控制者處理數據，處理數據的手段和目的均由數據控制者，即學校決定，故下文將重點討論學校作為數據控制者如何在GDPR 規定的原則性框架下承擔保護個人信息安全的責任。

1.數據處理行為必須以合法依據為基礎。學校只能在有法律依據的情況下對個人數據進行處理。因此，學校在處理個人數據之前需要根據GDPR 第6 條［5］的規定確定其合法依據，包括：

第一，同意：數據主體同意基于一個或多個特定目的而處理其個人數據，且控制者能夠提供合理證據證明數據主體已經同意處理其個人數據。

第二，合同：數據處理是為履行數據主體作為一方的合同所必需。當學校與家長之間為某些目的（如研學旅行）簽訂合同時，可能適用合同依據。

第三，法律義務：數據處理是為履行控制者所負擔的法律義務所必需。

第四，切身利益：數據處理是為保護數據主體或另一自然人的重大利益所必需。該法律依據主要涉及到數據主體無法表示同意的情況下對生命的保護，例如，當學生發生嚴重事故時，為保護其切身利益，學校可以向救護人員提供該學生的醫療記錄、健康狀況等個人資料，便于及時開展緊急醫療服務。

第五，公共利益：數據處理是為執行公共利益領域的任務所必需或是為行使控制者被賦予的公務職權所必需。

第六，合法利益：數據處理是為實現控制者或者第三方所追求的合法利益所必需。如果學校開展不屬于基礎教育活動的活動，例如出租學校設施、開展課后或課外活動或籌辦學校范圍外的體育賽事，則學校可能擁有進行個人數據處理的合法權益。

2.根據數據信息的敏感程度對其進行分級分類處理。教育領域收集并處理的個人數據涵蓋范圍極廣，任何已識別到的或可被識別的自然人的所有信息都屬于個人數據的范疇，既包括學生、家長以及教職員工的姓名、地址、分數、聯系方式、學業報告等具有較強人身屬性的一般信息，也包括健康狀況、飲食要求以及生物識別數據等敏感信息。由于敏感信息可能導致對個人的基本權利與自由的非法歧視和區別對待，風險等級更高，因此，學校作為數據控制者應有效識別不同的個人數據并根據GDPR 的規定對其進行分級分類處理。對于敏感信息，除了滿足個人數據處理的一般合法基礎外，還必須滿足特殊種類數據處理的附加條件。

3.數據處理行為必須遵循基本原則。在GDPR 的原則性框架下，學校作為數據控制者開展的任何數據處理行為都必須遵循以下七項基本原則［6］：

第一，合法、公平和透明原則。具體而言，學校需要制定數據隱私聲明或政策條款，向有關教職員工、學生及學生家長明確解釋自己將如何處理他們的個人數據。

第二，目的限制原則。學校不得以超出預期目的的任何方式獲取、持有或處理數據，更不能出于“以防萬一”的目的收集有關人員的全部個人數據。

第三，數據最小化原則。學校必須對能夠實現預期目的所必需教育數據信息做出準確判斷，并且不收集任何進一步的數據，最大限度地減少其持有的個人數據量。

第四，準確性原則。學校應當定期對其所持有的個人數據進行審核，對發生變化的個人數據及時予以更新或同步，對不準確或已過期的個人數據及時予以刪除或修正，以確保其準確無誤并始終保持最新狀態。

第五，存儲限制原則。對于具備識別數據主體功能的個人數據，學校可以根據數據處理的目的自行決定保留數據的必要時間，但目的達成后，學校必須在必要留存期限到期前及時予以刪除或銷毀。

第六，完整性和保密性原則。學校在確保個人數據安全的前提下對其進行處理，包括使用適當的加密或禁止訪問措施以防止未經授權或者非法的數據處理、數據遺失、滅失或損毀。

第七，問責制原則。學校需要記錄數據處理活動的每個節點，包括處理什么數據、使用什么系統進行處理、是否存在第三方合同、該數據處理行為是否需要接收數據保護影響評估等，便于在數據處理行為受到質疑時，隨時提供充分且詳細的證明證據。

4.數據控制者的義務貫穿于個人數據處理的全過程。

（1）數據保護影響評估和事先咨詢。教育涉及生活、教學、服務，學校、家庭、社會多個場景，其所包含的個人數據信息具有層級多、種類雜、跨度長、數量大等特點，電子存儲、數據訪問和共享傳輸的引入和廣泛使用又增加了數據丟失、泄漏、損壞或濫用的可能性，導致教育領域的數據保護問題通常具有較高的風險系數。因此，學校作為數據控制者應當及時開展有效的風險評估和分析流程，全面了解數據處理過程中可能面臨的各類風險，以采取有效措施降低風險。

（2）個人數據泄露事故的事后通知。學校等教育機構需要建立起一套完備的個人數據泄露應急預案，便于在事故發生時及時發現、隨時記錄、評估事故風險、采取補救措施、通知監管機構及相關數據主體，盡可能地將個人數據泄露造成的危害和損失降到最低。此外，如果個人數據泄露可能對數據主體的權利和自由造成高風險，學校應當即刻通知相關的數據主體，并與之展開實時溝通交流。

5.對未成年人的教育數據隱私予以特殊保護。未成年人是教育領域，尤其是基礎教育領域的主要數據主體，因此，GDPR 中對于未成年人信息保護的特殊規定，在教育數據保護過程中得到了廣泛應用。由于未成年人處于心智尚不成熟的階段，缺乏獨立的民事行為能力，對個人數據處理的風險、后果以及防范意識較薄弱，因此應當獲得特別保護。GDPR 第8 條“關于信息社會服務相關的兒童同意的條件”特別強調，“只有在取得兒童監護人同意和授權的情況下進行的數據處理才屬于合法處理”［7］。具體表現為，父母或其他監護人可以以自己的名義代為行使知情權、訪問權、糾正權、拒絕權等各項權利，有權代為表明對未成年人個人數據進行處理的知情和同意意愿，通過撤回授權的方式代為行使被遺忘權［8］。此外，為了確保監護人同意或授權的真實性，GDPR 引入“驗證機制”，要求在考慮到現有技術水平的前提下，數據控制者和處理者應當做出合理的努力以核實該同意或授權確由未成年人的監護人真實作出，為未成年人個人數據保護提供了雙重保障。

三、歐盟教育數據隱私保護的治理體系

（一）歐盟教育數據隱私保護的組織架構

為確保上述原則性法律框架得到迅速落實和有效實施，GDPR 對于個人數據保護的組織架構同樣做出了具體的規定。

目前，歐盟形成了歐盟數據保護委員會（European Data Protection Board）、各成員國數據監管機構以及數據保護專員（Data Protection Officer）三位一體、協調合作的綜合組織架構。歐盟數據委員會負責向各成員國發布GDPR 個人數據保護指南、建議和最佳實踐范例，并在促進監管機構合作和多邊交流上發揮著重要作用；各成員國監管機構對本國境內所有領域涉及個人數據處理的行為和活動進行管理和監督，并開展跨國合作，為實現個人數據的互通共享和跨境合作掃清障礙；數據保護專員則在個人數據保護工作中發揮著溝通協調的橋梁作用，將數據控制者或處理者與監管機構聯系起來，便于監管機構對數據控制者或處理者進行審查、糾正、建議。三者相互配合、相輔相成，共同推動GDPR 規則在歐洲經濟區內的一致適用，促進個人數據在歐洲境內的自由流動。

在教育數據保護領域，該組織架構則具體表現為：

第一，學校作為教育數據控制者必須任命至少一位數據保護專員。數據保護專員作為學校數據安全保護的監督者和輔助者，對專業性有較高的要求，不僅需要掌握數據保護知識和網絡安全技術，而且需要熟悉數據保護相關的法律法規和學校的運作方式及業務內容等。在歐盟各成員國教育行政部門發布的學校教育數據保護指南中，數據保護專員必須積極參與學校內部所有與個人數據保護有關的事務，包括向學校領導和工作人員就其數據保護義務提供建議、監控學校數據控制和處理的合規性、定期進行數據審核與國家數據監管機構溝通等等。

第二，監管機構充分發揮監督和執法作用，有權對違反GDPR 的學校等教育機構處以行政罰款。由于學校等教育機構具有特殊的信任地位，尤其涉及未成年人個人數據的處理，需要嚴格遵守數據保護法。近年來受全球疫情影響，學校主要通過視頻會議工具等實時通訊軟件舉行在線課程和考試，數字技術的使用大幅增加。在這種情況下，各國數據監管機構對教育部門作出處罰的數量有所增加，并且呈現持續上升趨勢。例如，2021 年，意大利博科尼大學在在線考試中使用遠程監控軟件對學生進行視頻監控并拍攝照片，但并未以適當的方式告知考生數據處理情況，被意大利數據監管機構處以20 萬歐元的罰款［9］。

（二）各成員國共同治理的教育數據隱私保護體系

歐盟教育數據隱私保護治理體系的構建離不開各成員國的積極參與。一方面，GDPR 作為歐盟層面的上層法律制度，雖然可以直接適用于各成員國公民，但其具體執行仍需要各國政府的積極配合和合理調節；另一方面，GDPR 在部分法律問題上采取了較為抽象的表述方式，賦予成員國一定自由選擇的空間，可以在此基礎上根據本國實際需求進一步細化。鑒于篇幅限制，本文選擇歐盟成員國法國和德國作為重點研究對象，歸納總結它們在GDPR 法律框架下保護教育數據隱私安全的各項舉措。

1.法國。法國政府從20 世紀初就開始致力于公民隱私的保護工作。早在1978 年，法國就出臺了《法國數據保護法》（French Data Protection Act，以下簡稱FDPA），成為歐洲地區第一個針對個人數據的收集、處理和使用引入隱私保護法的國家。2018 年，FDPA 進行了大幅修訂，在主體內容上與GDPR 的現代數據保護機制保持高度一致，僅在個別問題上結合本國實際需求做更詳細的規定。國家信息與自由委員會（National Commission on Informatics and Liberty，以下簡稱CNIL），作為法國的首要數據監管機構，負責監管FDPA 和GDPR 在法國各領域的執行，并通過發布大量針對特定部門的建議和指南，指導各企業或機構更好地遵守數據保護的各項法律法規。

（1）與教育行政部門開展合作，助力教育領域數據安全治理。法國國家教育和青年部于2018 年與CNIL 簽訂協議以建立長期合作伙伴關系，在培養教育領域成員個人數據保護意識、支持教育機構遵守GDPR、對數據進行教育性使用等領域開展聯合行動。同時，成立由國家教育和青年部以及CNIL 代表共同組成的指導委員會，對教育領域的個人數據保護和處理工作進行監督和審查，確保各行動計劃得到妥善實施［10］。

（2）在未成年人數據保護和其自主意愿表達之間尋求平衡。CNIL 長期以來一直致力于保護未成年人數據安全與隱私，尤其強調對“被遺忘權”的保護。2021 年，CNIL 對法國未成年人數據保護工作進行了全面審查，并針對審查結果發布了8 項建議，旨在為未成年人提供一個安全開放的數字環境，在未成年人數據保護和其自主權之間尋求動態平衡［11］。根據GDPR 和FDPA 的規定，原則上應當由父母及其他監護人代表未成年人行使其個人數據權。但是，CNIL 主張，對于與年齡、認知和智力水平相匹配的數據處理行為，未成年人需要擁有較大程度上的數據自主權。這有助于培養未成年人的個人數據保護意識，幫助他們更好地理解并學會合理地行使自己的個人數據權。同時，未成年人的父母及其他監護人在該法律框架下發揮著“安全閥”作用，當父母認為有必要保護未成年人的最大利益時，可采取及時有效的補救措施，守住未成年人數據隱私安全底線。

（3）為尚處于開發階段的教育科技項目提供數據保護建議。從2022 年開始，CNIL 積極介入教育科技項目的開發工作，在促進數字技術在教育領域廣泛應用的同時，為其中涉及的教育數據隱私問題保駕護航。以DATA 項目為例［12］，其目的是建立一個針對開放性在線課程網站學習者的學習痕跡庫。在使用在線課程網站學習時，學習者的行為，如觀看視頻、點擊內容和測試結果等均會產生數據。這些可以準確描述學習者的學習進度、揭示他們遇到的困難或他們感興趣的課程主題等的數據被稱為“學習痕跡”。該學習痕跡庫將數據分析處理的結果向學習者和教學團隊做出反饋，以改進教學實踐、提高學習者的透明度、制定個性化的學習路徑。CNIL 要求項目負責人在項目開發過程中就做好教育數據隱私的保護和防范工作，對學習痕跡進行匿名化處理，排除其中具備明顯個人特征的數據，弱化匿名數據與其他數據之間的關聯關系，以便將此類數據開放共享；同時，對數據開放情況進行長期監測，時刻評估數據開放存在的可能風險。

2.德國。德國數據保護的歷史最早可以追溯到二戰后，黑森州聯邦通過了全球第一部數據保護法。1978 年，德國通過《聯邦數據保護法》（BDSG），確立了德國數據保護原則，規定了數據控制者和處理者的權利和義務，并設立聯邦數據保護專員確保法律執行。2018 年，為配合GDPR 的同步運行，德國出臺了全新的聯邦數據保護法案（BDSG-new），在GDPR 尚未涵蓋或允許例外的情況下起到補充作用。

（1）聯邦制下教育數據保護的去中心化。德國的聯邦制決定了德國學校在實現教育數字化轉型和實施教育數據保護中的獨特性。德國的教育政策屬于16 個州的獨立事務，由各州的教育部門自主管轄，各州之間的合作由聯邦機構——德國教育和文化事務部長常設會議管理。因此，德國約11000 個市鎮學校網絡基礎設施的建立、數字教學設備的引進等均由其各自的能力和財力決定，彼此之間的教育數字化進程和教育數據保護能力存在較大差異。因此，為平衡這一差異，確保不同地區的教育機構均符合數據保護法的要求，德國的教育數據保護整體呈現去中心化形態，尤其注重對各學校教育數據保護專員的選聘與培訓。各監管機構要求，學校的數據保護專員承擔數據文件管理、數據處理登記、數據保護監督、風險影響評估等一系列工作，不僅需要擁有高水平的專業知識，而且需要具備足夠的時間和精力，因此必須設置全職職位，不能由學校教職員工兼任。此外，德國聯邦教育體系在進行差異化管理的同時，也會對資源有限、發展落后的地區予以重點關注和幫扶，盡可能地實現教育數字化和教育數據保護的多層次、一體化發展進程。

（2）優化教育數據保護的技術保障。學校等教育機構只能與能夠充分保證遵守數據保護規定的網絡信息系統服務商合作，服務商則需要通過認證（Certification）向其客戶證明其信息系統的安全性。2021年，德國聯邦教育和研究部（BMBF）資助開展“教育信息系統數據保護認證研究項目”，為學校信息系統提供數據保護認證的概念設計、示范實施和測試。該項目計劃設計一個質量印章（Quality Seal），通過進一步開發和應用將其發展成為數據保護認證，并根據GDPR 制定認證的標準目錄，為符合標準的數據控制者或處理者提供規范化、模塊化、高效率的認證程序。

（3）改革未成年人保護法為兒童數據隱私提供多重保護。為積極回應GDPR 對于未成年人數據保護的特別規定、執行聯合國《數字環境中兒童權利一般性意見》的要求，德國于2021 年對其《聯邦未成年人保護法》進行改革，對未經授權向第三方披露和使用數據的風險進行了明確規定，要求在線平臺服務商在提供服務的過程中通過兒童友好的條款和條件、安全默認設置、確保搜索引擎無法找到用戶個人資料等預防措施來應對此類風險，以保障未成年人的高水平隱私安全。同時，為幫助上述各項立法發揮實際效用，德國聯邦政府成立“數字世界中的兒童保護和兒童權利”項目，制定和實施兒童與青少年數據保護相關的政策戰略，并積極與歐盟和聯合國層面的互聯網治理機構開展合作，將德國兒童和青少年數據保護的行動和經驗傳達到歐洲和國際層面。

（三）歐盟教育數據隱私保護的倫理構建

盡管GDPR 作為歐洲經濟區內通行的數據保護法律已經取得了顯著成效，但要有效應對數字時代的挑戰，仍需要探索綜合性的方法來解決數據保護問題。在當前產業發展勢頭迅猛、法律監管尚不成熟的時期，倫理規約作為一種軟性約束發揮著不可或缺的作用，在實現有效監管的同時，賦予數字技術和數據共享傳輸自由發展的彈性空間。總的來說，現階段想要實現對個人數據的良好治理，離不開倫理與法律的共同效用，需要軟硬兼施、取長補短，實現自律與他律的有機協調。

具體到教育領域，教育數據倫理是“對教育數據產生、采集、存儲和分析利用過程中所應秉持的道德信念和行為規范的理性審視”［13］。教育數據安全涉及的主體不同，他們所承擔的倫理責任也不同，需要各主體將教育數據隱私保護的道德共識內化于心、外化于行，共同形成具有軟性約束力的倫理規約。目前，歐盟在教育數據隱私保護領域的倫理規約構建主要表現在公民素養和行業自律兩個方面：

1.提升公民對教育數據隱私的自我保護意識和保護能力。公民缺乏數據保護意識、對數據收集和處理行為的忽視和不理解，是當前很多網絡安全和數據保護事故發生的根源所在。因此，為培養公民數據素養，提升其自我保護意識和保護能力，歐盟自2013 年開始發布公民數字能力框架，并在2022 年最新發布的2.2 版公民數字能力框架中特別規定了如何在學習場景下保護個人數據和隱私，包括在學校數字學習平臺上分享個人信息時如何選擇最合適的保護方式、如何評估個人數據在數字平臺使用時可能帶來的權利和隱私風險、如何理解和克服數據隱私遭受侵犯復雜情況等等。歐盟資助的歐洲學習分析協會也積極推進教育數據倫理和隱私問題的相關研究和實踐。自2014 年起，歐洲學習分析協會組建多個學習分析道德和隱私有關工作坊，加強教育工作者對數據倫理和隱私問題的認識，使他們能夠在教育活動中合法、合規地使用數據［14］。

在歐盟的領導和倡議下，出臺數字倫理道德倡議、培養教育主題數字素養的歐洲成員國數量迅速增加。2020 年法國出臺《疫情背景下教育數據使用的倫理問題》，提出開展對于各類在線教育參與者的信息技術與信息化公民素養培訓，包括數據隱私保護意識、數字主權維護意識以及道德培養等相關內容［15］。德國則在學校開展對教師和學生數據保護的全面培訓，并通過klicksafe 網站向整個歐洲地區發起倡議，通過提供有關互聯網數據風險的實用指南、參考手冊和培訓課程等，提高德國和歐洲范圍內兒童、青少年、家長和教育工作者的互聯網數字素養。

2.基本立法與自律性政策相結合的共同監管模式。行業自律性政策是企業經營者、社會合作伙伴、非政府組織或協會之間采取的共同行為準則。相較于政府公權力監管而言，自律性政策成本更低，可以根據教育機構及整個行業的實際需求定制特有的自我監管政策，從而實現更高質量的管理和更高效率的執行。此外，法律法規的制定需要經歷復雜的起草、審議和出臺程序，而自律政策更具有靈活性和及時性，能夠結合行業的實際發展狀況迅速做出反應。歐盟在數據保護問題上傾向于采取共同監管模式，即通過基本立法GDPR 規定共同監管的框架和范圍，然后由行業內相關各方達成自我監管協議，以實現基本立法的目標。教育數據隱私保護和安全治理也離不開行業自律政策的調節。歐盟鼓勵學校及教育機構積極起草數據收集、處理、共享的行為準則，以表明其符合法律規定，從而獲得學生、家長及教育工作者等教育數據主體的信任。

四、結語

歐盟在教育數據隱私保護領域已經形成了相對穩定且有效的治理體系。GDPR 為教育數據治理提供了原則性的法律依據和基本原則，并與軟法性質的倫理規約相互協調，形成自律與他律相結合的制度體系，提升歐盟在教育數據領域的整體管理秩序和道德規范。同時，在歐盟數據保護委員會、各國數據監管機構和數據保護專員的積極配合下，形成多方參與、共同治理的組織架構，確保上層制度體系的具體落實和有效執行。

值得注意的是，歐盟在教育數據隱私治理上仍存在許多問題和不足。首先，歐盟在教育數據治理領域的上層制度構建仍不完善，尚未出臺針對教育數據治理的專門法律法規，目前只能以GDPR 這一通用的數據保護規則作為唯一的法律依據。其次，當前部分的學校和教育機構尚不具備完全的數據保護能力，為嚴格遵守GDPR 各項規定、有效應對數字技術可能帶來的數據風險，學校和各教育機構的工作量、資金和技術需求以及應當承擔的責任都大幅增加，一定程度上增加了學校和教育機構的財政和管理負擔。各國在細化本國教育數據治理、加大對學校和教育機構幫扶力度等方面仍任重而道遠。對歐盟教育數據隱私治理體系的全面研究，一方面可以借鑒其有益經驗，規范各類教育主體的數據權利和義務，幫助我國建立教育數據隱私保護和安全治理的合理路徑；另一方面可以吸取其經驗教訓，加快教育領域的數據保護立法，從資金、技術、思想多個層面對教育領域的數據保護工作予以支持，促進教育領域數據保護相關的法律和政策得到有效實施。

未來，我國需要不斷完善教育領域數據保護的法律法規，提升學生、教育工作者和教育機構的數據隱私保護能力，加強教育數據控制者和處理者的自律意識，形成層層遞進的教育數據保護組織結構，構建起具有中國特色符合中國國情解決中國問題的教育數據隱私治理體系。