高校处理大学生个人信息问题研究

绪论：在寻找写作灵感吗？爱发表网为您精选了1篇高校处理大学生个人信息问题研究，愿这些内容能够启迪您的思维，激发您的创作热情，欢迎您的阅读与分享！

在大数据背景下，个人信息数据的经济与社会价值逐渐凸显，但也有可能出现个人信息泄露或者被非法使用等问题。科学技术的发展对教育领域产生了深刻的影响，导致高校有时很难对大学生个人信息安全进行有效的保护。近年来，高校信息泄漏的情况频繁发生。2018年9月，江苏省一所大学的多名学生的个人资料被泄露，据透露，这些个人资料可能被公司用来伪造员工身份和工资信息，在某些情况下还用来逃税。无独有偶，2020年6月份，郑州某学院近2万余名学生宣称其个人信息被泄露，其中包括学生重要个人隐私信息。官方的《致歉声明》随后正式公布。声明称，信息的外泄是因有关工作人员的保密意识不足导致的。该案虽已办结，对直接责任人员已给予相应处分，但其不良后果尚未彻底消除。同年7月份，“湖南某学院学生身份被冒用”的谣言开始在网络上传播，13日官方文件发布，学生的个人资料确实在市级行政审批服务局系统的数据传输中被泄露[1]。这些泄漏高校学生个人信息的事件损害了学生权益，对所涉高校产生了十分恶劣的负面影响。2022年11月《中华人民共和国个人信息保护法》的实施，为个人信息保护提供了法律层面上的保障，但法律并未特别规定大学生这一特殊群体的个人信息保护范围及措施。在实践中，仍有许多问题法律未曾涉及。下面，笔者将以《个人信息保护法》为理论基础，将高校作为个人信息处理者一方，从权利义务角度进行分析，找出实践中高校在处理大学生个人信息时存在的问题。

1高校处理大学生个人信息时存在的问题

1.1收集的限度与途径问题

（1）收集信息的限度过于宽泛《个人信息保护法》第六条第二款规定了收集信息的限制和原则。它指出，数据处理者必须将个人数据的收集限制在实现处理目的所需的最低限度，不得收集过量的个人信息。也就是说高校在收集学生的个人信息资料时应遵循“最小必要原则”。最小化原则的具体要求，有最小数量、最小类型、最小存储时间、最小分享量、最小处理频率[2]。然而在实践中高校却往往无法遵循此原则，因为高校内对大学生个人信息的侵害往往是打着合法的幌子，难以察觉，比如为了发放奖助学金而大量收集学生家庭情况和经济情况，并美其名曰为达到资助的公平、正义，但殊不知在这种“合法”的幌子之下，已经是对学生隐私权及个人信息安全的一种侵害。高校有权保留与学校生活直接相关的个人信息，如学术信息和奖惩记录，以实现其教育培养青年的核心目的。上述信息本就在校园内产生，学校对这些信息有管理控制权，这一点毋庸置疑。然而，有些敏感信息，如学生的财产信息，并不是在校园内产生的，学校不能像获取学术信息那样随意获取这些信息，只有在特定情况下才能获取。例如，当学校发放助学贷款时，可以要求申请助学金的学生上报家庭经济情况，但这并不意味着学校可以大肆收集所有学生的财务信息[3]。（2）收集信息的途径复杂个人信息保护法在全文中并未对收集途径进行细化规定。然而，教育部在2022年最新发布的《关于进一步做好普通中小学招生入学通知》指出，“应在招生时集体收集信息，而不是通过不同的APP和小程序反复、随意地收集信息。”[4]电子学籍的诞生将以往高校用纸质表格收集信息的形式，改为使用计算机上传个人信息。随着时间的推移，手机开始普及，各种在线表格也被开发出来，简化了烦琐的数据收集过程，但也增加了风险系数。看来只要有相应的链接，谁都能随便浏览。而采集的信息量虽多，但容量不大，一般数百KB即可存储数千条信息，只需轻点手指即可转发，这样也在无形之中加大了信息泄漏的危险。在实际生活中，随着网络技术的发展，高校大多依赖APP、小程序、公共表格等方式采集学生个人信息，在共同编辑过程中，只要拥有表格链接，就掌握了表格中所有学生的信息资料。并且，高校在收集信息时，收集线路上至终端信息储存库，下至各个班级的班委负责人，整个收集链长且复杂，收集链越长，可能接触到信息的人就越多，信息泄漏风险就越大，存在隐患就更大。

1.2存储系统安全力不足

《个人信息保护法》在第五十一条第（3）项中要求信息处理者根据其可能带来的安全风险，采取适当的技术安全措施，如加密和去标识化，以防止未经授权访问个人信息以及个人信息数据的泄漏、更改或丢失。但是，现在的高校却没有对学生的个人信息进行严格有效的保护，高校泄露事件还是多有发生。伴随着信息技术的飞速发展和各类网络工具的不断更新，黑客们对漏洞的利用变得越来越巧妙。然而，一些大学和平台使用的网站维护系统仍然非常落后，官方网站没有按要求进行更新或维护。一些网站仍在使用十年前的网站服务系统，这导致了各种安全问题。在硬件方面，一些校园网缺乏安全技术保护和安全检测设施，数据中心的安全保护和审查制度亟待建立和完善。在日常的人员管理方面，一些网络安全人员长期不上线更新或维护学校信息管理系统，无法及时发现并修补漏洞，日常工作不规范，未定期进行常规数据备份，安全保密意识较差。在应用系统的设计中，某些学校采用的系统设计存在一定的缺陷，易造成信息安全事故的发生，从而造成学生的信息易被泄露。

1.3高校信息使用不透明

《个人信息保护法》第十七条规定，在处理个人信息时，处理者有义务事先明确和充分告知个人信息的使用情况。第五十五条规定在进行某些处理行为时，必须事先评估某些处理操作对保护个人数据的影响，并对处理情况进行记录。但在实践中，信息一旦被收集到学校手里，信息的使用便不受学生的控制。鉴于受教育者和教育机构之间存在巨大的权力差异，大学生往往处于弱势，很难确保他们在学习生活方面的知情同意权[5]。学校在处理学生个人信息的过程中既不透明又很难做到充分透明，学生对个人信息数据几乎不能控制，学生能够控制的只是一些信息是否提交的权利。同时，学生个人信息采集后流通去向及渠道的未知性和不可控性也使得信息处理及使用者很难做到每一步都获得信息主体的同意。事前告知，事后记录本该是高校处理学生个人信息时应尽的义务，但许多高校却对次不甚重视，不仅加大了信息泄露的可能，也导致了泄露发生后的犯罪侦查工作难以进行。

1.4学校的信息公开与个人信息保护矛盾

《个人信息保护法》第二十五条规定，除非得到个人的同意，否则信息处理者不得披露经过处理的个人数据。但在高校的实际操作中，高校学生的个人隐私信息依旧被公开，这给高校学生的学习生活带来了不少的隐患。例如，2017年，河北省某大学在其官方网站上公布了奖学金信息，其中就包括大学生的个人电话。但这些主动披露的信息大多属于学生个人隐私，与公示目的并无关联，这些信息披露与学生个人信息保护是互相冲突的。已经出台的一些有关高校信息公开与学生个人信息保护管理的法律法规在实践中又缺少一定操作性，许多法条仅规定了义务，并没有明确说明违背时应当承担的相应后果，在两者之间的界限也没有确切的规定，这就造成了一系列的现实问题。

1.5问责和监管的制度不明确

《个人信息保护法》第六十条规定，由国家网信部门对个人信息保护工作及相关监督管理进行统筹协调，据此，《个人信息保护法》执法仍然是多元执法，多头执法，对个人数据进行多重监管，边界不清，将很难确保国家补救措施充分发挥其作用[6]。大数据背景下，由于个人信息保护范围的不断扩大和泄漏途径的广泛性，使得与个人信息有关犯罪的调查和处理变得十分困难。此外，个人信息主体难以收集到能够对信息泄露的事实或损害予以证明的证据，因而难以获得充分的救济。司法实践中若检察机关要向教育行政部门提出检察建议，就有必要确定大学生个人资料的泄露是由于教育主管部门工作人员的故意或过失行为，还是由于教育行政部门没有履行《个人信息保护法》规定的监督和管理义务所致。论证大学生个人信息的泄露是由教育行政部门非法行使职权还是不作为造成的，也是一个很大的问题。这些问题在《个人信息保护法》出台后依然得不到有效的解决，个人信息主体诉讼的低效反向加剧了个人信息控制者侵害个人信息权益的行径。由于维权取证困难，又不知该找谁来维权，大学生在很大程度上放弃了自己的权利。这些泄露出来的信息通过互联网传播恣意蔓延，加大了大学生再次受伤的危险。

2完善高校大学生个人信息的保护途径

2.1提高高校和学生的个人信息保护意识

首先，大学生必须提高警惕，防范个人信息泄露，并逐步提高对个人信息保护和维权的认识。其次，不仅仅是学生需要提高个人保护意识，学校也要定期组织人员进行法律的学习。随着国家对个人信息保护的持续加强，大学及教职员应该进一步提高对大学生个人信息侵害相关的行政责任和刑事责任的认识。为此，大学生要加强信息安全法的学习，规范个人信息的使用问题，避免信息被不法分子盗取，依法对个人的信息进行处理，保障自身的信息安全。高校构建大学生个人信息安全法律体系，落实国家出台的各项法律法规，组织法制进校园活动，宣传法律知识普及法律保护意识，对在校大学生，开展法律知识大讲堂学法系列讲座，从源头入手，引导在校学生注意保护自我信息安全，不随意向人透露任何个人信息，遇到问题时学会用法律手段保护自身安全。

2.2高校构建安全的个人信息保护机构和体制

国内大学在个人信息管理中普遍缺乏正当程序，这意味着大学生缺乏保护自己隐私权的法律依据。自《个人信息保护法》出台以来，有必要在大学的管理制度中引入法律程序。各高校要在法律引导下出台校级层面的数据保护制度并细化个人数据保护法规，为此，学校应设立专门的学生信息收集与管理部门，确定学校信息收集与管理的部门责任，规范学生信息收集程序，定期上报学生信息使用事项和次数，信息授权情况及网络安全系统情况，负责学生信息管理与保护工作。另外，学校应定期组织集体培训，以提高信息管理部门工作人员的信息工作水平与管理素养。同时，要注意对大学生一般信息与敏感信息进行辨析。可根据不同类型管理人员对大学生个人信息进行差异化设置查看权限，对敏感信息进行严格保护，例如，辅导员、任课老师也只能看到与自己工作任务有关联的信息。而且，学校要对本校的信息处理系统进行优化，并让技术人员对系统进行定期的更新和漏洞修复，强化学校的网络防火墙等，以防止学生信息泄露。

2.3完善《个人信息保护法》确保其更好地实施

法律是人民和国家的保障，但现行的法律也存在着客观上的局限性。在《个人信息保护法》出台后，如何有效地采取措施确保该法能够真正实施，成为未来需要持续关注与思考的重要课题。因此，本人有如下几点建议：首先是国家要继续健全个人信息保护制度，进一步细化保护对象和信息的范围，实现分级化精准保护。其次，要建立起健全的救济渠道以及专门信息监管机构，并用法律的形式予以明确。同时，要制定相应的下位法，确保《个人信息保护法》能够落到实处，切实保障大学生的信息安全。从法律法规方面规范高校及其相关工作人员行为，要针对高校学生个人信息保护工作中的各种问题发布专项法律文件。具体来讲，要从规章层面制定教育部发布的《普通高等学校学生信息安全保障办法》，该办法不仅是为了规范高校及工作人员行为，更重要的是促使相关责任主体主动履行对大学生个人信息的保护义务，并对大学生个人信息保护进行专项保护规范[7]。

2.4健全监督问责体制，铺设良好的救济渠道

《个人信息保护法》明确了个人信息处理活动中的权利义务界限，并规定了“双重处罚制”，即对违法处理个人信息的处理单位和直接负责人同时处罚。高校根据教学管理和与公共事务管理的需求使其成为一个人信息处理者，必须为其个人信息的处理活动承担起责任，采取必要的措施以确保其处理的个人信息的安全性。在选择救济措施时，应主要考虑大学生个人信息的性质和教育局在泄露大学生个人信息方面的过失。如果是由于教育行政主管部门的失职，导致大量大学生个人信息泄露的，可以采用单独诉讼或公益诉讼等方式进行救济。为了解决大学生举证困难问题，我国《个人信息保护法》第六十九条采用了举证责任倒置的制度，这有助于倒逼高校履行保护义务，强化其个人信息保护技术。但由于大学生维权能力较弱，当他们受到经济损失时，通常不选择民事诉讼或者行政诉讼方式进行维权。所以投诉制度也不失为一种经济实用的机制，有关规范文件可以明确大学生个人信息受到侵害时的投诉机构，并且将投诉号码公之于众，解决了行政机关多头管理、学生不知该向谁投诉等问题[8]。

3结语

个人信息是当前社会发展的重要内容，在我国经济快速发展和互联网时代到来后，个人信息的保护问题也受到了越来越多人的关注。然而，随着信息技术的不断普及与应用，个人信息被滥用现象日益严重。所以确保个人信息的安全就成为时代发展中亟待解决的问题。大学生的个人信息与其本人的学习、生活、就业等密不可分。同时，大学生的个人信息也是学生人格权的重要载体。大学生群体数量庞大，其个人信息具有很高的资源价值。本文从《个人信息保护法》法条切入，对大学生个人信息保护现状进行分析，指出高校在学生信息保护方面的不足之处，并提出相应对策，为更好地促进大学生合法权益的维护和完善大学生个人信息法律制度建设提供一定的借鉴。

参考文献：

[1]吴学安.避免学生个人信息“裸奔”需要“强保护”[N].民主与法制时报，2020-07-18（002）.

[2]武腾.最小必要原则在平台处理个人信息实践中的适用[J].法学研究，2021，43（06）：71-89.

[3]谢婧雯.校园个人信息保护问题[J].合作经济与科技，2022（10）：188-189.

[4]教育部办公厅.《关于进一步做好普通中小学招生入学工作的通知》[EB/OL].

[5]滕长利.教育大数据信息采集权与大学生隐私权的冲突研究[J].黑龙江高教研究，2021，39（09）：140-144.

[6]丁西泠.大数据时代个人信息的法律保护路径[J].征信，2019（11）：54．

[7]邓琬心.高校学生个人信息法律保护的现状及优化[J].学校党建与思想教育，2020（18）：67-69.

[8]蔡立新.校园贷对大学生个人信息安全的影响及法律保护[J].法制博览，2021（32）：30-32.

[9]《中华人民共和国个人信息保护法》全文公布（附权威解读）[EB/OL].

作者：马海桐 单位：中国地质大学