摘 要:新冠肺炎疫情防控中发生的"返乡大学生"信息泄露事件反映出高校学生个人信息的法律保护存在困境.目前信息网络法、教育法以及其他部门法虽可为高校学生个人信息的法律保护提供一定支持,但在法律适用和法律制度层面均存在不足.应当确立高校学生个人信息有限披露机制,出台《普通高等院校学生信息安全保护办法》,推动高校学生个人信息法律保护的优化.
关键词:高校学生个人信息,信息泄露,法律保护,利益平衡
作者简介: 邓琬心,武汉大学法学院博士研究生,研究方向为中国刑法.(湖北武汉430072);
2020年初,一场突如其来的新冠肺炎疫情在全国乃至世界范围内蔓延.新冠病毒基于其传染性和春运的人员流动性迅速传播,造成了极其严重的社会后果.与2003年的"SARS"疫情不同,新冠肺炎疫情发生时我国正在信息时代的高速公路上飞驰,信息在疫情防控中的地位与作用也呈现出前所未有的重要性.其中,对武汉返乡人员的重点防控即与信息化紧密结合,但是由此也引发了对这些人员个人信息的过度侵犯问题,特别是"返乡大学生"信息更是成为个人信息被泄露的"重灾区".在信息化、法治化的时代浪潮中,重大疫情对于信息披露的要求自不必言,但是高校学生个人信息的保护问题也不容忽视,否则可能对其造成长远的伤害.文章从高校学生个人信息法律保护的现状着手,对高校学生个人信息法律保护的优化进行了探索.
一、高校学生个人信息法律保护的现状
1. 高校学生个人信息保护立法的梳理.
随着信息时代的发展,我国也在不断出台个人信息保护的法律,以促进个人信息保护的实现.在基础层面,《中华人民共和国宪法》(以下简称"宪法")第三十八条规定公民的人格尊严不受侵犯,第四十条规定对公民的通信自由和通信秘密予以保护,这可以作为高校学生个人信息保护的宪法依据.在此基础上,还需要结合各个法律的具体规定来维护高校学生个人信息的安全.
一是信息网络法.《中华人民共和国网络安全法》(以下简称《网络安全法》)第四十一条规定了个人信息的收集与使用规则,指出网络运营者收集、使用个人信息要做到目的适正、公开透明和个人同意,同时不得违反法律和约定收集个人信息.而《网络安全法》第四十一条第二款、第四十二条则规定了个人信息的保管规则,指出网络运营者应当依照法律规定和约定处理其保存的个人信息,不得泄露、篡改、毁损和未经同意向他人提供个人信息,应在发生或者可能发生上述情况时采取补救措施,并且告知个人和报告有关部门.《网络安全法》的第四十四条明确指出任何个人和组织不得非法获取、出售或提供个人信息.
二是教育法.《中华人民共和国教育法》(以下简称《教育法》)第四十三条规定,"受教育者享有法律、法规规定的其他权利".《中华人民共和国高等教育法》(以下简称《高等教育法》)第五十三条规定,"高等学校学生的合法权益,受法律保护".
三是其他部门法.如民法部门,《中华人民共和国民法总则》(以下简称《民法总则》)第一百一十一条规定:"自然人的个人信息受法律保护.任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息."又如刑法部门,《中华人民共和国刑法》(以下简称《刑法》)第二百五十三条规定,对违反国家有关规定向他人出售或者提供公民个人信息(含将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人),以及窃取或者以其他方法非法获取公民个人信息的行为均予以处罚.
2. 现有法律保护的不足.
通过以上法律构成的个人信息立法体系,在一般情况下可以相当程度上为高校学生的个人信息提供法律层面的保护.但是在重大疫情防控中,现有法律保护体系则在保护高校学生个人信息的过程中呈现出较大的不足,具体体现在两个层面.
其一,在法律适用层面表现为缺乏公共利益和高校学生个人信息权利的平衡机制.对于社会发展而言,个人信息的流动与保护同样重要.一味强调信息的保护,禁止信息的流动,势必导致国家信息产业乃至社会发展的停滞;反之,如果只强调信息的流动,不注重个人信息的法律保护,也会导致社会的无序和混乱,从而产生极其严重的后果.因此,平衡理念在个人信息法律保护的过程中十分重要.有学者就这一问题进行探讨,如有学者提出"三方平衡"的观念:"'三方平衡'是指个人对个人信息保护的利益(核心是人格自由和人格尊严利益)、信息业者对个人信息利用的利益(核心是通过经营活动获取经济利益)和国家管理社会的公共利益之间的平衡."[1]或以具体领域为例进行阐述,如"在公共健康领域,应平衡个人隐私权、第三人知情权与健康权及公共利益三者的关系"[2].对于高校学生个人信息的保护而言也是如此,必须考虑法益保护的平衡.比如,高校及其工作人员对于学生个人信息的占有、利用,只要和教育教学活动相关,具有正当性,则应当在法律允许的范畴.但是如果超越了平衡的界限,则需要通过法律予以禁止.[3]比如,公开张贴学生的学业成绩,公开申请资助学生的个人信息,在心理咨询中不注意保护咨询学生的隐私,在宿舍管理中未告知或未经学生同意擅自进入学生私人空间等行为,都在不同程度上侵犯了大学生的隐私权.[4]在重大疫情防控期间,这种平衡确实需要进行调整,特别是注重向公共利益保护进行倾斜,但是并不意味着完全忽视对于高校学生个人信息的保护.
其二,在法律制度层面表现为缺乏有效的、科学的高校学生个人信息规范体系.虽然现有立法可以在一定程度上为高校学生个人信息提供保护依据,但是其针对性、有效性有限,及至重大疫情等重大公共事件发生,根本难以在法律层面对其个人信息进行完善保护.现行立法中,《网络安全法》《民法总则》《刑法》等立法虽然规定对个人信息进行保护,但是均是基于一般主体作出,而非专门针对高校学生作出,不具有针对性.
二、高校学生个人信息法律保护的优化
基于高校学生个人信息法律保护的不足,应当从多个视角采取对策,推动其信息安全维护和社会利益维护的有机协调,以及制度体系的全面完善.
1. 确立高校学生个人信息有限披露机制.
在重大疫情防控等特殊时期,应全面统筹疫情防控需要和高校学生个人信息保护需要,基于平衡的视角寻找妥当的保护边界,防止偏废.在此过程中,应特别注重对于两重法律机制的构建,实现其个人信息有限披露:一是确立高校学生个人信息定向披露机制.毋庸置疑,武汉"返乡大学生"个人信息向公安、防疫等部门的披露对于重大疫情防控至关重要,但是也应当对于这种披露进行必要的限定,即只对特定主体进行定向披露,而非向社会进行不定向披露.二是确立高校学生个人信息间接披露机制.在平时无论是直接识别个人信息还是间接识别个人信息(需与其他信息结合识别自然人个人身份的各种信息)都属于法律所保护的个人信息范畴.然而在重大疫情防控中,确实对于"行踪轨迹"等信息的披露有助于公众自觉检视疫情风险,采取预防措施,防止疫情扩大.由此,应当基于公共利益和个人权利平衡的视角,允许对高校学生个人间接信息的披露.
2. 出台《普通高等院校学生信息安全保护办法》.
应围绕高校学生个人信息保护的重点、难点和焦点问题出台专门的法律文件.具体而言,应在规章层面出台由教育部颁布的《普通高等院校学生信息安全保护办法》,其目的既在于规范高校及其工作人员的行为(防范内部信息危险),也在于督促相关责任主体积极履行大学生个人信息保护义务(防范外部信息危险),为重大疫情等社会公共事件中该类主体的个人信息保护提供专门的保护规范.主要内容应包括以下四个部分.
第一部分为总则.总则中应规定以下两项内容:一是适用范围.应基于对于个人信息安全的界定,明确其适用高校学生的个人信息收集、使用、加工和传输.二是基本原则.具体应包括合法原则、正当原则、同意原则、保护原则.合法原则即要求对学生的信息收集合法,在违反相关法律法规或未经学生知情同意的情况下,不得收集其信息.合理原则即对学生的信息收集须有正当性理由.同意原则即对学生个人信息的处理和利用必须与收集目的一致,必要情况下的目的变更应当符合法律要求并征得信息主体的同意.保护原则即收集、处理和利用学生个人信息的主体应当采取合法有效的措施保护学生个人信息安全,防止学生个人信息丢失、毁损、泄露等.
第二部分为管理机构与职责.其内容主要包括以下三项:一是管理方针与机构.应明确规定教育行政部门、高校必须重视学生个人信息保护工作,同时应当成立专门的组织机构履行其保护职责.二是管理事项与要求.应明确规定教育行政部门、高校建立全员性的教师行为准则、保密规定等学生个人信息保护工作制度,同时要求教育行政部门、高校收集学生个人信息时应就信息内容等必要事项向各级主管部门进行登记.三是限制性规定.应明确规定教育行政部门、高校将第二款所规定的学生个人信息提供给信息主体之外的第三人的,应当同时就使用目的、方法、再交换条件以及其他重要事项做出明确限制.
第三部分为权利与义务.具体分为学生的个人信息权利与义务与教育行政部门、高校的个人信息权利与义务.一是学生的个人信息权利与义务.具体包括对学生个人信息行使的自主决定权、对信息内容的查询权等权利,以及教育行政部门、高校在管理和安全保卫活动中需要收集、使用、加工和传输学生个人信息时,予以必要配合的义务.二是教育行政部门、高校的个人信息权利与义务.包括因教学管理和安全保卫确实需要的,可以强制收集、使用、加工和传输学生个人信息的权利,以及在法律规定的范围内收集、使用、加工和传输学生个人信息的义务,保护学生个人信息安全的义务,建立学生个人信息查询备案制度等义务.
第四部分为法律责任.具体分为以下三个方面:一是教育行政部门、高校非法收集、使用、加工和传输高校学生个人信息的,或者将获取的信息用于其他用途的,或者违反本办法第三章规定的,可以根据情节不同处以责令改正、警告或罚款的处罚.二是教育行政部门、高校不履行本办法规定的保护学生个人信息义务的,由其上级机关或者有关机关责令改正,并给予负责人处分.三是构成刑事责任、民事责任或者其他行政责任的,依照相应的规定予以处罚.
3. 推动高校学生个人信息立法的完善.
第一,尽快出台专门的《中华人民共和国个人信息保护法》.结合目前的立法规划,其内容应该包括个人信息保护的基本原则,个人信息保护的管理体制,个人信息收集、处理、传输和利用制度,以及法律责任.个人信息保护的基本原则中应明确个人信息保护所应该遵循的基本方向和要求.个人信息保护的管理体制中应明确主管机构及其职责、管理程序、管理责任等.个人信息收集、处理、传输和利用制度中应明确上述行为的具体内涵和法律边界,以及实施过程中的具体要求.法律责任中应规定相关主体违反义务所承担的法律责任,包括行政主体、企业主体和个人主体.此外,也应在相关条款中作出专门规定,特别是关于高校学生等特殊主体的问题.
第二,协调相关部门法的具体规定.其核心内容应为协调教育法和其他部门法的规定,比如,应基于《网络安全法》以及新制定的《中华人民共和国个人信息保护法》等法律规定,在《教育法》《高等教育法》等教育法中明确规定(高校)学生的个人信息依法受到法律保护,并且明确相关教育主体的义务和责任.最重要的即为高校等主体的义务与责任,既需要确保其自身及工作人员不成为学生个人信息的侵权人,也要做好学生个人信息的"守夜人",全面实现学生个人信息的保护义务.具体可从纵向与横向两个维度展开:在纵向维度,保证教育行政主体及其工作人员不侵犯学生个人信息安全的义务,以及在必要程度上保护学生个人信息安全免受其他主体侵犯的义务.在横向维度,保护学生个人信息不被非法获取、非法提供、非法利用.[5]在此基础上,推动建立高校、学生个人、相关部门共同参与的信息保护模式.
参考文献
[1]张新宝.从隐私到个人信息:利益再衡量的理论与制度安排[J].中国法学,2015,(3).
[2]李燕.限制与保护:公共健康领域的个人隐私权[J].政法论丛,2017,(2).
[3]刘磊,彭云杰.高校管理中大学生隐私权保护的法律思考[J].教育科学,2012,(4).
[4]陈廷根,赖嫦媛.高校管理中大学生隐私权的保护[J].高教探索,2011,(5).
[5]王肃之,马力.论大数据环境下教育行政主体的学生个人信息安全保护义务[J].中国教育法制评论,2019,(1).