高校校友信息管理的法律風險及其防范機制

汪雨露　李偉

摘要：信息化的互聯(lián)網(wǎng)時代大數(shù)據(jù)技術(shù)快速發(fā)展，給高校校友信息管理的創(chuàng)新帶來了突破。然而，在校友信息作為大數(shù)據(jù)應用的核心和基礎被挖掘和利用的同時，涉及隱私安全、信息收集、數(shù)據(jù)利用等法律風險問題突出。隨著我國對個人信息保護和數(shù)據(jù)安全研究的持續(xù)升溫，場景化研究浮出水面。完善校友信息保護立法配套設計，制定高校個人信息保護政策，構(gòu)建數(shù)據(jù)涉入者責任承擔機制是高校校友信息管理防范風險和規(guī)制未來法律的重點方向。

關(guān)鍵詞：大數(shù)據(jù);高校校友信息;法律風險;防范機制

中圖分類號：G647 文獻標識碼：A ?文章編號：1003-9082（2020）07-0-02

一、研究背景與立法現(xiàn)狀

近年來，大數(shù)據(jù)技術(shù)迅速在各領域展開應用，公民信息被分散在不同的場景中。公安部門掌握著公民的戶籍信息;金融部門和機構(gòu)掌握著公民的財產(chǎn)信息;教育部門和學校掌握著公民的學籍信息;電信部門和機構(gòu)掌握著公民的通信信息;鐵路、公路和民航部門和企業(yè)掌握著公民詳細的出行信息;互聯(lián)網(wǎng)公司掌握著公民全部的網(wǎng)絡信息。[1]這些信息作為大數(shù)據(jù)運用的核心和基礎又被各類主體競相挖掘和利用。學術(shù)界逐漸意識到，數(shù)據(jù)信息不論基本理論研究，還是安全風險應對，抑或是保護機制探索都圍繞場景化問題。高校作為教育活動的重要陣地，我國立法機關(guān)和高校對校友信息保護問題并未十分重視，導致校友個人隱私保護意識淡薄，信息技術(shù)無嚴格的技術(shù)標準，個人敏感信息慘遭泄露并造成嚴重物質(zhì)和精神損害的情況時有發(fā)生。

2009年《刑法修正案（七）》在第二百五十三條之后增加了侵犯公民個人信息罪，其中對主體作出了限制。規(guī)定國家機關(guān)或者金融、電信、交通、教育、醫(yī)療等單位的工作人員是侵權(quán)主體。2015年頒布的《刑法修正案（九）》刪掉了限制，將上述幾類特定主體作為法定從重處罰的情節(jié)。不僅擴大了行為實施的主體范圍，還加重了對侵權(quán)人的刑罰。教育單位也始終作為特定主體身份和重點規(guī)制對象。2017年《民法總則》首次將“個人信息”和“數(shù)據(jù)”以兩個條文的形式收入其中，卻只強調(diào)了其在民法領域的有無問題。同年，我國教育部發(fā)布緊急通知，要求各高校加快規(guī)范學生資助信息公示工作，切實保護好受助學生的個人信息和隱私。保險業(yè)、旅游業(yè)、電子商務領域等法律中先后出現(xiàn)了個人信息保護的相關(guān)內(nèi)容。2020年5月全國人大常委會指出下一步工作安排，其中包括制定個人信息保護法、數(shù)據(jù)安全法。公眾期待已久的個人信息保護和數(shù)據(jù)安全立法將持續(xù)升溫。

二、高校校友信息管理的法律風險分析

1.隱私安全風險

隱私安全關(guān)系到每一個校友的生活安寧，立法對自然人隱私權(quán)采嚴格的人格權(quán)保障模式。法學界對隱私和個人信息的區(qū)別已達成共識，《中華人民共和國民法典》（以下簡稱《民法典》）更是以專章的形式規(guī)范二者。其中隱私是自然人的私人生活安寧和不愿為他人知曉的私密空間、私密活動、私密信息。個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人的各種信息。前者注重“隱”，是公民精神性的人格權(quán)，包括維護個人的私生活安寧、個人私密不被公開。后者更注重身份識別性，包括對個人信息的支配和自主決定。同時，個人信息具有人格和財產(chǎn)的雙重屬性。[2]其不僅僅關(guān)系到個人利益，還涉及公共利益和公共安全，例如對高校校友信息中社會數(shù)據(jù)信息。隱私法律保護注重事后救濟，個人信息保護注重事前的法律風險防范。 [3]高校校友信息管理時應嚴格區(qū)分涉及校友隱私的部分，信息的類型化管理是防范隱私安全風險的關(guān)鍵措施。

2.信息收集風險

目前國內(nèi)高校校友數(shù)據(jù)信息收集的主要來源包括，高校存檔的原始學籍信息;高校校友總會、地區(qū)校友會、班級聚會開展活動收集的校友信息;學校相關(guān)部門提供的畢業(yè)生信息;校友及校友企業(yè)捐贈收集的校友信息等。一般通過主動填寫、參與校友活動、反饋信息給校友組織的方式，默認校友主動授權(quán)。在校友信息收集時甚至沒有明確的原則性規(guī)定。知情同意是個人信息收集的基本原則，但是大數(shù)據(jù)應用需要一定的公共價值，傳統(tǒng)的知情同意原則無法滿足個人信息保護和數(shù)據(jù)利用的利益平衡，逐漸趨于形式化。有學者認為應嚴格限制默示同意，原則上采用明示同意。有學者認為應更加注重知情同意的實質(zhì)化，不把知情同意原則作為收集處理個人信息的唯一正當性基礎，可以引入個人信息匿名化以獲得知情同意豁免。筆者認為不同具體場景下的知情同意模式差異較大，校友信息采用默示校友授權(quán)模式的正當性有待考察，在收集時應該明確收集必要性，禁止收集無關(guān)信息等規(guī)則體系。

3.數(shù)據(jù)利用風險

不斷推陳出新的數(shù)據(jù)利用方式，能挖掘信息的深層價值。例如，研究校友工作行業(yè)分布情況，能夠為高校友就業(yè)工作提供參考數(shù)據(jù);統(tǒng)計校友所屬區(qū)域分布情況，能夠為高校招生宣傳提供數(shù)據(jù)支撐;分析校友在行業(yè)內(nèi)的職位分布情況，能夠為高校業(yè)內(nèi)影響力提供證明。這些數(shù)據(jù)挖掘行為，是大數(shù)據(jù)時代高校校友信息管理法律風險的另一嚴峻挑戰(zhàn)。信息去身份或匿名化的方式被大數(shù)據(jù)產(chǎn)業(yè)及其從業(yè)者采用，2017年12月正式發(fā)布的《信息安全技術(shù)個人信息安全規(guī)范》中涉及個人信息匿名化問題，通過專門去除或改變個人身份信息的方式，能達到去除直接標識符和喪失準標識符判斷力的目的，降低數(shù)據(jù)流通中的隱私風險，滿足信息有序流通的要求，處理后所得信息不再屬于個人信息。在此基礎上，有學者提出了再識別風險， 認為在采取了匿名化處理并滿足法律排除適用的條件后， 很有可能會隨著技術(shù)的進步或企業(yè)數(shù)據(jù)類型的增多而再度識別出用戶。

三、校友信息管理法律風險防范機制

1.完善校友信息保護立法配套設計

我國大數(shù)據(jù)相關(guān)的司法實踐具有刑事打擊為主、私權(quán)救濟罕見、行政處罰缺位的特征，市場領域的大數(shù)據(jù)糾紛普遍通過反不正當競爭法尋求救濟。一方面，立法上需要整合、修改和補充原有的法律規(guī)范，消除其間的矛盾，強化私法救濟和行政監(jiān)督。另一方面，個人信息保護機制無法面面俱到， 只能明確基本原則、基本制度、基本行為規(guī)范和法律責任，在具體場景下細化落實仍要依賴其他法律、法規(guī)、規(guī)章、規(guī)范性文件乃至國家標準。完善個人信息和數(shù)據(jù)的法律規(guī)制體系，離不開多領域、多層次的法律綜合治理和自下而上的行業(yè)自律模式。高校校友信息保護是一個綜合性的法律問題。在《民法典》已經(jīng)明確了頂層設計的情況下，需推進《個人信息保護法》和《數(shù)據(jù)安全法》的立法進程，同時在《教育法》《高等教育法》和《普通高等學校學生管理規(guī)定》等法律和規(guī)章中增加專門保護校友隱私權(quán)和個人信息的條款。

2.制定高校個人信息保護政策

個人信息保護政策在防范相關(guān)風險，切實保護利益主體隱私權(quán)方面起到了不可或缺的作用。但是國內(nèi)各高校官方平臺并沒與信息保護、數(shù)據(jù)保護、隱私聲明等相關(guān)的政策說明。這也是由于國內(nèi)隱私政策的相關(guān)立法較晚，且重點規(guī)制對象落實在互聯(lián)網(wǎng)領域。2019年中央網(wǎng)信辦、工業(yè)和信息化部、公安部、市場監(jiān)管總局，在全國范圍組織開展App違法違規(guī)收集使用個人信息專項治理。編制了大眾化應用基本業(yè)務功能及必要信息規(guī)范、App違法違規(guī)收集使用個人信息治理評估要點，組織相關(guān)專業(yè)機構(gòu)，對用戶數(shù)量大、與民眾生活密切相關(guān)的App隱私政策和個人信息收集使用情況進行評估。制定了《App違法違規(guī)收集使用個人信息行為認定方法》，其中確立公開收集使用規(guī)則，明示（目的、方式和范圍）收集規(guī)則，同意收集使用規(guī)則，必要性和禁止收集與其提供的服務無關(guān)信息規(guī)則、提供刪除或更正個人信息功能規(guī)則、公布投訴和舉報方式規(guī)則，并對規(guī)則的具體行為作出了列舉規(guī)定。

3.構(gòu)建數(shù)據(jù)涉入者責任承擔機制

大數(shù)據(jù)不同于一般的物理設施，數(shù)據(jù)可以通過復制和刻錄而被永久性的存儲，并且被不同領域的人無數(shù)次挖掘并使用。傳統(tǒng)的告知與許可制度不能在大數(shù)據(jù)時代發(fā)揮作用。在該種情形下，為保護數(shù)據(jù)所有者的隱私和信息權(quán)利不受侵害，必須構(gòu)建數(shù)涉入者責任承擔機制，其中包括數(shù)據(jù)采集者、數(shù)據(jù)存儲者、數(shù)據(jù)挖掘者和數(shù)據(jù)使用者的責任細分問題，因為他們是大數(shù)據(jù)的使用者和受益者。高校校友數(shù)據(jù)管理的大數(shù)據(jù)往往來源于默認的情況，并在校友“未知”的情況下被二次運用。不管高校使用數(shù)據(jù)的目的是非營利還是非商業(yè)，教育對象始終處于弱勢地位，高校應當承擔數(shù)據(jù)安全使用的完全責任。高校有義務建立數(shù)據(jù)使用規(guī)章制度，嚴格評估數(shù)據(jù)使用風險。若不慎出現(xiàn)損害到校友的權(quán)益情形，也應及時承擔相應責任，履行刪除義務。高校校友一旦發(fā)現(xiàn)自己的個人信息泄露或受到非法利用等侵犯行為，要及時采取相應補救措施，盡可能收集和保留相關(guān)證據(jù)，主動維護自己的合法權(quán)益。

參考文獻

[1]齊愛民，張哲.識別與再識別：個人信息的概念界定與立法選擇[J].重慶大學學報（社會科學版），2018，24（02）：119-131.

[2]張平.大數(shù)據(jù)時代個人信息保護的立法選擇[J].北京大學學報（哲學社會科學版），2017，54（03）：143-151.

[3]王利明.論個人信息權(quán)的法律保護——以個人信息權(quán)與隱私權(quán)的界分為中心[J].現(xiàn)代法學，2013，35（04）：62-72.

作者簡介：汪雨露（1995.11—）女，漢族，重慶，本科，西南大學法學院碩士研究生在讀。研究方向：民法。

通訊作者：胡益僑，電子科技大學電子科學與工程學院。