敖顏思文

（國(guó)家開(kāi)放大學(xué) 組織部/人事部， 北京 100039）

智能化已經(jīng)成為在線教育的重要助力和發(fā)展趨勢(shì)。智能化發(fā)展既體現(xiàn)在優(yōu)質(zhì)教育資源的整合共享，也表現(xiàn)為消費(fèi)端的海量收集、分類推送和精準(zhǔn)畫(huà)像。一方面，在線教育平臺(tái)掌握大量用戶個(gè)人信息，受技術(shù)和業(yè)務(wù)模式局限，極易造成用戶個(gè)人信息泄露和濫用；另一方面，在線教育的自身特點(diǎn)決定了其開(kāi)發(fā)和使用用戶個(gè)人信息的必要性，如過(guò)分強(qiáng)調(diào)用戶個(gè)人信息的限制性保護(hù)將制約在線教育的發(fā)展。因此，需在保障在線教育平臺(tái)對(duì)用戶個(gè)人信息合理開(kāi)發(fā)的基礎(chǔ)上進(jìn)行優(yōu)先保護(hù)，構(gòu)建二者平衡管理框架，保障在線教育的平穩(wěn)發(fā)展。

一、問(wèn)題導(dǎo)入：在線教育平臺(tái)用戶個(gè)人信息保護(hù)的緣起

（一）規(guī)范缺陷

根據(jù)《網(wǎng)絡(luò)安全法》第76條規(guī)定，個(gè)人信息具有“可識(shí)別”和“記錄”兩個(gè)要素?！睹穹ǖ洹返?034—1037條規(guī)定了個(gè)人信息的概念和收集、處理?xiàng)l件?！秱€(gè)人信息保護(hù)法》草案沿襲《民法典》個(gè)人信息處理“知情同意”原則，明確除涉及公共利益和法律例外規(guī)定外，個(gè)人信息處理需征得信息所有人同意或?yàn)橐环铰男泻贤仨殹?019年《兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定》出臺(tái)，針對(duì)在線教育平臺(tái)收集和使用未成年用戶個(gè)人信息的行為進(jìn)行了更加詳細(xì)的規(guī)定。但仍存在如下問(wèn)題。

一是缺乏信息保護(hù)與開(kāi)發(fā)間的平衡機(jī)制。在線教育自身行業(yè)特點(diǎn)決定了其發(fā)展必須以用戶數(shù)量和資源整合單位數(shù)為基礎(chǔ)［1］，否則將失去個(gè)性化學(xué)習(xí)和整合化資源的行業(yè)發(fā)展優(yōu)勢(shì)。在此背景下，沿襲傳統(tǒng)隱私權(quán)保護(hù)路徑難以滿足在線教育平臺(tái)發(fā)展需要，現(xiàn)有規(guī)范文本并未對(duì)在線教育平臺(tái)收集和使用用戶個(gè)人信息設(shè)定合理邊界，無(wú)法形成個(gè)人信息利益和平臺(tái)信息合理使用權(quán)利的有效平衡。

二是在線教育領(lǐng)域用戶個(gè)人信息保護(hù)規(guī)定體系缺失。在個(gè)人信息保護(hù)專門(mén)立法尚未出臺(tái)的情況下，依靠《網(wǎng)絡(luò)安全法》《教育法》等概括性規(guī)范顯然缺乏用戶個(gè)人信息保護(hù)的針對(duì)性，同時(shí)也缺乏針對(duì)在線教育平臺(tái)的管理規(guī)范，對(duì)在線教育平臺(tái)信息處理的權(quán)利和義務(wù)尚無(wú)明確規(guī)定，導(dǎo)致實(shí)踐中監(jiān)管依據(jù)缺失，難以形成有效的法律震懾和懲戒指示。

（二）實(shí)踐困境

一是平臺(tái)與用戶存在技術(shù)鴻溝。信息的收集和開(kāi)發(fā)對(duì)軟件技術(shù)和硬件設(shè)置的要求較高，用戶處于信息保護(hù)的弱勢(shì)地位。一方面，用戶往往不具備保護(hù)個(gè)人信息的意識(shí)和基本能力，同時(shí)在線教育由高等教育和職業(yè)教育逐年下移，中小學(xué)課程和興趣教育用戶占比逐年攀升，低幼及素質(zhì)教育線上化率也明顯提升。［2］未成年用戶更是缺乏信息保護(hù)的意識(shí)，往往忽視在線教育平臺(tái)提供的風(fēng)險(xiǎn)提示。另一方面，用戶個(gè)人信息并不局限于個(gè)人身份信息，其學(xué)習(xí)行為和興趣偏好也是在線教育平臺(tái)信息收集和利用的重點(diǎn)，此類信息由在線教育平臺(tái)通過(guò)信息技術(shù)整合分析形成，并不減損用戶個(gè)人信息的“可識(shí)別性”，存在信息濫用的風(fēng)險(xiǎn)。

二是在線教育平臺(tái)經(jīng)營(yíng)模式存在技術(shù)風(fēng)險(xiǎn)。目前在線教育平臺(tái)主要存在以下4種經(jīng)營(yíng)模式。首先是B2C模式，即在線教育平臺(tái)直接向用戶提供課程資源，其產(chǎn)品以直播或錄播課程為主，往往以免費(fèi)或低價(jià)課程廣泛吸引用戶，通過(guò)分析用戶學(xué)習(xí)需求和學(xué)習(xí)行為達(dá)到精準(zhǔn)推送和推廣的目的，并通過(guò)海量信息的二次整合開(kāi)發(fā)，不斷優(yōu)化課程設(shè)計(jì)。其次是C2C模式，即在線教育平臺(tái)自身并不開(kāi)發(fā)課程資源，僅提供內(nèi)容分發(fā)和推廣平臺(tái)，其收入與課程用戶數(shù)和繳費(fèi)數(shù)高度關(guān)聯(lián)。在此模式下，受經(jīng)濟(jì)利益驅(qū)動(dòng)，在線教育平臺(tái)將大量資源和技術(shù)投入到用戶畫(huà)像上，既達(dá)到精準(zhǔn)推廣的目的，也將整合分析后的用戶個(gè)人信息作為產(chǎn)品售賣，信息被濫用的風(fēng)險(xiǎn)極大。再次是O2O模式，即通過(guò)線上課程資源收集和分析用戶需求，直擊用戶痛點(diǎn)并以此引流，其背后往往有互聯(lián)網(wǎng)企業(yè)資本投入和技術(shù)支持，用戶個(gè)人信息收集范圍廣、層次多元，且包含大量個(gè)人敏感信息。最后是B2B模式，即在線教育平臺(tái)與學(xué)校、科研院所、培訓(xùn)機(jī)構(gòu)等合作，主要提供職業(yè)資格考試和技能培訓(xùn)服務(wù)，用戶個(gè)人信息由合作機(jī)構(gòu)提供。在此模式下，由于合作雙方信息技術(shù)不對(duì)等，無(wú)法對(duì)在線教育平臺(tái)信息使用行為進(jìn)行有效監(jiān)管。

三是個(gè)人信息自身特性決定其高風(fēng)險(xiǎn)性。個(gè)人信息具有可識(shí)別性、高流動(dòng)性和高使用價(jià)值的特征。個(gè)人信息的可識(shí)別性決定了在商事活動(dòng)中難以同時(shí)滿足個(gè)人信息保護(hù)的私密性要求和信息流動(dòng)的最大化要求。高流動(dòng)性表明單純某一家在線教育平臺(tái)的有效保護(hù)行為并不能降低信息被泄露或?yàn)E用的整體風(fēng)險(xiǎn)，僅憑行業(yè)自律難以形成個(gè)人信息保護(hù)的有效共識(shí)和統(tǒng)一標(biāo)準(zhǔn)。高度使用價(jià)值驅(qū)使以在線教育平臺(tái)為代表的諸多商業(yè)主體廣泛收集使用個(gè)人信息，最大限度地汲取大數(shù)據(jù)紅利。在個(gè)人信息保護(hù)規(guī)范體系和保護(hù)標(biāo)準(zhǔn)尚不健全的情況下，技術(shù)鴻溝將導(dǎo)致信息侵犯風(fēng)險(xiǎn)的進(jìn)一步加劇，在線教育類個(gè)人信息舉報(bào)投訴占比超過(guò)80%。

二、理論回應(yīng)：“知情同意”原則的再解釋

（一）理論與實(shí)踐沖突分析

根據(jù)信息開(kāi)發(fā)的全生命周期理論①全生命周期理論最早作為生物學(xué)概念，被數(shù)據(jù)管理學(xué)研究者引入數(shù)據(jù)研究中，主要觀點(diǎn)為，應(yīng)以不同類型數(shù)據(jù)由產(chǎn)生到消除的全生命周期為視角，綜合考慮數(shù)據(jù)在產(chǎn)生、預(yù)處理、儲(chǔ)存、共享、使用開(kāi)放和維護(hù)管理等階段，強(qiáng)調(diào)程序的完整性和全面性。轉(zhuǎn)引自張聰叢，郜潁潁，趙暢，杜洪濤.開(kāi)放政府?dāng)?shù)據(jù)共享與使用中的隱私保護(hù)問(wèn)題研究——基于開(kāi)放政府?dāng)?shù)據(jù)生命周期理論［J］.電子政務(wù)，2018（9）.，信息開(kāi)發(fā)大致可分為三個(gè)階段。

一是信息的收集和篩選階段。在線教育平臺(tái)信息收集主要源于和用戶個(gè)人主動(dòng)提供，用戶為達(dá)成學(xué)習(xí)目的，更好地享受在線教育服務(wù)，一般會(huì)詳細(xì)提交各項(xiàng)信息；同時(shí)信息的提交也是接受服務(wù)的必要程序。因此，在信息收集和篩選階段，“知情同意”原則往往讓位于獲取服務(wù)的便捷性。

二是信息的使用階段。在線教育平臺(tái)為提供個(gè)性化、定制化教學(xué)服務(wù)，往往會(huì)根據(jù)用戶信息進(jìn)行精準(zhǔn)畫(huà)像，同時(shí)針對(duì)同類別用戶進(jìn)行交叉分析，增加了用戶個(gè)人信息被泄露的風(fēng)險(xiǎn)?！爸橥狻蓖谛畔⑹褂弥埃M管在線教育平臺(tái)履行了必要事項(xiàng)的告知程序，但大數(shù)據(jù)時(shí)代信息使用的方式較為復(fù)雜，相關(guān)風(fēng)險(xiǎn)難以預(yù)知，同時(shí)由于信息交互的特點(diǎn)，“知情同意”的范圍也勢(shì)必隨之?dāng)U大，難以覆蓋全部信息主體。

三是信息的維護(hù)和管理階段。在此階段在線教育平臺(tái)按照統(tǒng)一的數(shù)據(jù)安全標(biāo)準(zhǔn)和脫敏防護(hù)機(jī)制應(yīng)對(duì)已收集和使用的用戶個(gè)人信息進(jìn)行跟蹤、監(jiān)管與控制。一方面，個(gè)人信息脫敏處理和追蹤維護(hù)極具專業(yè)性，用戶個(gè)人只能機(jī)械地選擇同意，“知情同意”原則的作用被弱化甚至虛化。［3］另一方面，在線教育平臺(tái)往往將整合分析后的用戶信息視為改進(jìn)課程服務(wù)、優(yōu)化課程設(shè)計(jì)的重要工具，甚至作為二次宣傳和擴(kuò)大影響的重要渠道，因此，要求每一次信息處理前都經(jīng)過(guò)信息主體的“知情同意”在現(xiàn)實(shí)中難以實(shí)現(xiàn)。

（二）理論再解釋的必要性

“知情同意”作為個(gè)人信息收集利用的“帝王條款”［4］，要求有關(guān)個(gè)人信息的各項(xiàng)處理行為需經(jīng)過(guò)信息主體的充分知情且明示同意，其意義在于維護(hù)信息主體對(duì)于個(gè)人信息的自主權(quán)利。但隨著大數(shù)據(jù)時(shí)代的到來(lái)，“知情同意”高成本、低效率的弊端進(jìn)一步凸顯，同時(shí)技術(shù)壁壘也阻礙了“知情同意”原則在現(xiàn)實(shí)中的充分實(shí)現(xiàn)。在線教育行業(yè)特點(diǎn)決定其必須對(duì)用戶個(gè)人信息加以收集并進(jìn)行二次利用，而用戶在使用過(guò)程中往往忽視隱私條款中關(guān)于信息收集處理的相關(guān)表述，即使部分用戶有所留意，亦難理解其中的專業(yè)性概念。因此，在線教育領(lǐng)域個(gè)人信息保護(hù)應(yīng)在承認(rèn)“知情同意”原則在個(gè)人信息保護(hù)中處于核心地位的基礎(chǔ)上，適當(dāng)重構(gòu)“知情同意”理論路徑，突破“小數(shù)據(jù)”時(shí)代“知情同意”原則的理論桎梏，從而實(shí)現(xiàn)在線教育領(lǐng)域個(gè)人信息開(kāi)發(fā)與保護(hù)的平衡。

（三）“知情同意”原則的重構(gòu)

從規(guī)范意義上看，我國(guó)關(guān)于個(gè)人信息保護(hù)的現(xiàn)行規(guī)范均以信息主體的“知情同意”為信息處理的基本原則①詳見(jiàn)《消費(fèi)者權(quán)益保護(hù)法》第29條、 《網(wǎng)絡(luò)安全法》第41條、 《網(wǎng)絡(luò)安全法》第43條、 《電子商務(wù)法》第24條、 《民法典》第一千零三十三條第五項(xiàng)、 《個(gè)人信息保護(hù)法（草案）》第7條等。，以知情權(quán)難以實(shí)現(xiàn)為借口而剝奪知情權(quán)顯然有悖于法治理念［5］。域外立法實(shí)踐中歐盟《通用數(shù)據(jù)保護(hù)條例》和美國(guó)加州《2018年消費(fèi)者隱私法》均強(qiáng)調(diào)“知情同意”原則的法律地位可為佐證。

從信息開(kāi)發(fā)實(shí)踐上看，隨著大數(shù)據(jù)技術(shù)的廣泛應(yīng)用，“知情同意”理論受到質(zhì)疑，有學(xué)者認(rèn)為“知情同意”已不再是個(gè)人信息處理的正當(dāng)性基礎(chǔ)［6］，主張以事中動(dòng)態(tài)控制和事后嚴(yán)格監(jiān)管代替事前同意［7］，并要求信息處理主體承擔(dān)信息保護(hù)的信義義務(wù)［8］。具體到在線教育領(lǐng)域，由于目前尚無(wú)在線教育用戶信息保護(hù)的統(tǒng)一規(guī)范，也缺乏統(tǒng)一的信息共享和維護(hù)平臺(tái)，在線教育市場(chǎng)在事中的動(dòng)態(tài)控制技術(shù)尚不成熟、事后監(jiān)管責(zé)任體系尚不健全的情況下，單純依靠在線教育平臺(tái)的信義義務(wù)和行業(yè)自律顯然難以滿足個(gè)人信息保護(hù)需要。

針對(duì)“知情同意”的批判主要源于現(xiàn)實(shí)中的“同意困境”，但現(xiàn)實(shí)困境并不構(gòu)成對(duì)“知情同意”原則的拋卻理由。相反，“知情同意”原則在個(gè)人信息保護(hù)領(lǐng)域具有深厚的法理基礎(chǔ)，尤其在在線教育平臺(tái)信息管理規(guī)制尚不健全的情況下，盲目摒棄該原則本身既是對(duì)信息主體權(quán)利的嚴(yán)重侵犯，同時(shí)也加劇了信息被泄露和濫用的風(fēng)險(xiǎn)。因此應(yīng)以“知情同意”原則的改良為基本立場(chǎng)，在正視大數(shù)據(jù)對(duì)“知情同意”具體沖擊的基礎(chǔ)上，在法律層面確立“充分告知+分類同意+同意豁免”的規(guī)范結(jié)構(gòu)，以個(gè)人信息保護(hù)法為統(tǒng)御，以在線教育平臺(tái)信息處理規(guī)范為補(bǔ)充，推動(dòng)在線教育平臺(tái)個(gè)人信息保護(hù)與開(kāi)發(fā)的良性博弈。

三、他山之石：域外在線教育平臺(tái)信息開(kāi)發(fā)與保護(hù)的經(jīng)驗(yàn)

目前，關(guān)于域外在線教育平臺(tái)用戶個(gè)人信息保護(hù)與開(kāi)發(fā)的研究較少，主要以個(gè)人信息保護(hù)相關(guān)法規(guī)和管理方式為切入點(diǎn)進(jìn)行比較研究?？傮w而言，域外個(gè)人信息保護(hù)分為兩種類型：一是強(qiáng)調(diào)信息自由和行業(yè)自律，同時(shí)以國(guó)家治理為輔的美國(guó)模式；二是以個(gè)人權(quán)利保護(hù)為基礎(chǔ)，更加注重信息安全而非信息使用的歐盟模式。

美國(guó)采取分散立法模式，在公共領(lǐng)域以法律規(guī)范為主，強(qiáng)調(diào)在涉及個(gè)人信息收集和使用的公共領(lǐng)域制定個(gè)人信息保護(hù)的“部門(mén)法”，而在非公共領(lǐng)域則強(qiáng)調(diào)行業(yè)自律。同時(shí)依托信息技術(shù)優(yōu)勢(shì)，在信息保護(hù)方面制定了一系列技術(shù)規(guī)范標(biāo)準(zhǔn)，提出了信息收集“告知與同意”“數(shù)據(jù)完整”“數(shù)據(jù)可被追蹤”三大原則。由于美國(guó)三權(quán)分立的政治傳統(tǒng)，美國(guó)民眾和立法者對(duì)政府存在比較強(qiáng)烈的不信任感，在信息保護(hù)領(lǐng)域強(qiáng)調(diào)行業(yè)自律而非政府干預(yù)，因此諸如聯(lián)邦貿(mào)易委員會(huì)等信息監(jiān)管機(jī)構(gòu)在個(gè)人信息保護(hù)領(lǐng)域的權(quán)力極其有限。

歐盟以制定嚴(yán)格的信息保護(hù)標(biāo)準(zhǔn)和信息領(lǐng)域嚴(yán)格執(zhí)法兩種方式為主，2018年頒行《一般數(shù)據(jù)保護(hù)條例》賦予信息主體一系列信息主導(dǎo)權(quán)利，反映出歐盟更傾向于保障個(gè)人權(quán)利的自上而下的管理模式。一方面，明確個(gè)人信息保護(hù)標(biāo)準(zhǔn)，歐盟采取個(gè)人信息保護(hù)統(tǒng)一立法模式，2012年出臺(tái)《數(shù)據(jù)保護(hù)規(guī)范草案》，明確規(guī)定數(shù)據(jù)掌控者只有在向數(shù)據(jù)主體提供數(shù)據(jù)處理目的等相應(yīng)信息后才能采取處理措施，并配備完善的司法救濟(jì)和行政救濟(jì)措施，最新頒布的《一般數(shù)據(jù)保護(hù)條例》明確了信息主體享有“被遺忘權(quán)”“訪問(wèn)權(quán)”“數(shù)據(jù)便攜權(quán)”“同意許可權(quán)”等信息權(quán)利。另一方面，在信息領(lǐng)域嚴(yán)格執(zhí)法，歐盟《一般數(shù)據(jù)保護(hù)法案》將數(shù)據(jù)管理期限回溯一年，以此加強(qiáng)平臺(tái)信息的可追溯性。同時(shí)，對(duì)侵犯?jìng)€(gè)人信息的行政處罰設(shè)置較高的罰款。

四、制度完善：合理開(kāi)發(fā)與有效保護(hù)的平衡

（一）在線教育平臺(tái)“知情同意”原則的再解釋

個(gè)人信息自主權(quán)利需要在具體的社會(huì)環(huán)境中實(shí)現(xiàn)。在線教育的蓬勃發(fā)展必然構(gòu)成對(duì)用戶個(gè)人信息保護(hù)的挑戰(zhàn)，形成在線教育信息保護(hù)與開(kāi)發(fā)之間的張力。在用戶個(gè)人難以實(shí)際掌握信息主導(dǎo)權(quán)的情況下，應(yīng)當(dāng)對(duì)“知情同意”原則進(jìn)行再解釋，尋求用戶信息在合理使用前提下的有效保護(hù)。

一是要求在線教育平臺(tái)履行“充分告知”義務(wù)?！巴狻钡那疤嵩谟凇爸椤?，在線教育平臺(tái)與用戶存在技術(shù)鴻溝和知識(shí)落差，應(yīng)當(dāng)要求在線教育平臺(tái)在用戶協(xié)議中明確信息收集的目的、范圍、安全保護(hù)措施和存儲(chǔ)期限。用戶協(xié)議是否準(zhǔn)確、清晰、易懂將作為在線教育平臺(tái)信息收集和使用的準(zhǔn)入要求。

二是按照信息分類劃分“同意”類別。為克服“同意”形式化弊端，應(yīng)當(dāng)根據(jù)個(gè)人信息分類設(shè)置不同的“同意”類別。目前，學(xué)理上一般將個(gè)人信息分為個(gè)人敏感信息與一般個(gè)人信息兩類［9］，2017年《個(gè)人信息安全規(guī)范》也以國(guó)家推薦性標(biāo)準(zhǔn)的形式列舉了個(gè)人敏感信息的范圍。因此，有必要對(duì)“同意”類別進(jìn)行劃分，在用戶協(xié)議中對(duì)需收集使用的信息進(jìn)行梳理，列舉信息泄露后對(duì)信息主體產(chǎn)生消極影響，敏感信息應(yīng)獲得用戶明示同意。同時(shí)要求在線教育平臺(tái)獲得用戶一般個(gè)人信息授權(quán)后即應(yīng)實(shí)現(xiàn)全部教學(xué)功能，不得據(jù)此拒絕用戶使用或?qū)嵤┯脩羝缫暋?/p>

（二）明確在線教育平臺(tái)用戶信息規(guī)制原則

由于在新興技術(shù)領(lǐng)域法律滯后性凸顯，明確信息安全治理原則以指導(dǎo)信息采集、存儲(chǔ)、開(kāi)放及使用程序顯得尤為重要。在線教育平臺(tái)用戶信息規(guī)制原則主要包括以下三個(gè)方面。

一是信息合理利用優(yōu)先原則。大數(shù)據(jù)信息“勾畫(huà)一切”的基本功能使得個(gè)人信息的“個(gè)人性”被淡化，個(gè)人信息的保護(hù)與使用之間的界限日益模糊，從個(gè)人出發(fā)強(qiáng)調(diào)對(duì)信息的絕對(duì)自主既不符合現(xiàn)實(shí)，也易造成公共利益與個(gè)人權(quán)利的沖突。因此，應(yīng)當(dāng)確立信息合理利用優(yōu)先原則，通過(guò)立法明確信息的公共屬性以及信息合理使用原則。信息合理利用優(yōu)先并不意味著個(gè)人信息權(quán)利的喪失，而是要求在追求信息開(kāi)發(fā)價(jià)值最大化的同時(shí)，達(dá)到將公共領(lǐng)域和私人領(lǐng)域的風(fēng)險(xiǎn)最小化的效果。

二是數(shù)據(jù)安全原則。信息的安全使用已成為大信息時(shí)代的共識(shí)，信息安全原則的實(shí)現(xiàn)包括信息安全管理和信息安全技術(shù)標(biāo)準(zhǔn)兩項(xiàng)內(nèi)容，一方面要求在信息采集、存儲(chǔ)和使用過(guò)程中遵循安全可控、目的明確、權(quán)責(zé)明確［10］的要求，明確信息合理利用的范圍和界限。同時(shí)賦予個(gè)人對(duì)信息控制和主導(dǎo)的積極權(quán)能，保障信息主體對(duì)信息使用的知情、查詢、更改、刪除和被遺忘權(quán)等權(quán)利，完善公民個(gè)人信息被侵犯的救濟(jì)途徑。另一方面，要求制定完善的信息安全標(biāo)準(zhǔn)，從技術(shù)層面保證信息使用過(guò)程中的安全。

三是利益協(xié)調(diào)原則。信息安全治理過(guò)程中存在公共利益與個(gè)人利益之間的沖突，而利益協(xié)調(diào)又以信息安全領(lǐng)域法律規(guī)范的完善為前提。一般而言， 各國(guó)法律將“知情同意”原則作為信息使用的前提，但也規(guī)定了個(gè)人同意的例外事由。我國(guó)于2018年公布的《信息安全技術(shù)個(gè)人信息安全規(guī)范》中規(guī)定：因國(guó)家安全和公共利益需要，可以繞過(guò)信息主體的同意而徑直采集個(gè)人信息。但目前在信息使用中國(guó)家安全和公共利益的判斷依據(jù)尚付闕如，也因此產(chǎn)生了信息治理中利益難以協(xié)調(diào)的問(wèn)題。應(yīng)當(dāng)明確基于公共利益的考量，依據(jù)法律保留原則限制個(gè)人信息權(quán)的行使，授予公權(quán)力主體采集和使用個(gè)人信息的強(qiáng)制力，以保障公共管理和服務(wù)目的的實(shí)現(xiàn)；同時(shí)也應(yīng)基于比例原則，依據(jù)其所保障的國(guó)家利益或公共利益的性質(zhì)和重要程度，明確信息采集和使用的標(biāo)準(zhǔn)和范圍，以此最大限度地實(shí)現(xiàn)信息安全治理中公共利益與個(gè)人利益的協(xié)調(diào)。

（三）個(gè)人信息保護(hù)立法的出臺(tái)與完善

一是明確個(gè)人信息的范圍?！吨腥A人民共和國(guó)個(gè)人信息保護(hù)法（草案）》二審稿中并未明確個(gè)人信息的范圍。我國(guó)《網(wǎng)絡(luò)安全法》以“識(shí)別性”+不完全列舉的方式給出了個(gè)人信息的概念。個(gè)人信息的列舉式表述雖有域外立法例，但域外的個(gè)人信息列舉較我國(guó)更為詳細(xì)。我國(guó)現(xiàn)有規(guī)范中個(gè)人信息列舉類目繁多、在內(nèi)容上趨于相似，規(guī)范中不同列舉項(xiàng)之間呈交叉、包含關(guān)系［11］，致使個(gè)人信息的概念和范圍尚不明確。由于個(gè)人信息的“識(shí)別性”特征已被域外實(shí)踐和國(guó)內(nèi)學(xué)界普遍認(rèn)可，因此個(gè)人信息的范圍界定應(yīng)當(dāng)以信息的“識(shí)別性”為前提，結(jié)合我國(guó)推薦性國(guó)家標(biāo)準(zhǔn)《個(gè)人信息安全規(guī)范》附錄A中識(shí)別路徑和關(guān)聯(lián)路徑的判定依據(jù)，不具備或在特定情境中喪失直接或間接識(shí)別能力的信息不屬于個(gè)人信息，這需要結(jié)合信息的使用情境加以判斷。

二是明確個(gè)人信息權(quán)利。中華人民共和國(guó)個(gè)人信息保護(hù)法（草案）二審稿設(shè)專章對(duì)個(gè)人在個(gè)人信息處理活動(dòng)中的權(quán)利進(jìn)行了規(guī)制，實(shí)質(zhì)上賦予了個(gè)人對(duì)信息的同意、知情、刪除和更正的權(quán)利。從這4項(xiàng)權(quán)利行使的條件來(lái)看，信息同意的行使并無(wú)前提條件，但同意的表達(dá)方式和手段《網(wǎng)絡(luò)安全法》并未明確規(guī)定，實(shí)踐中網(wǎng)絡(luò)運(yùn)營(yíng)者往往提供用戶協(xié)議、服務(wù)條款或隱私聲明，要求用戶在接受服務(wù)之前點(diǎn)擊同意，用戶對(duì)協(xié)議的閱讀程度和對(duì)信息收集的知悉程度均不理想，反而變相授權(quán)了信息收集行為。信息知情要求信息被泄露、毀損、丟失時(shí)方可行使；信息刪除要求網(wǎng)絡(luò)運(yùn)營(yíng)者違反規(guī)定；信息更正要求發(fā)現(xiàn)信息錯(cuò)誤。以上均屬于信息的消極權(quán)利。相較于歐盟《統(tǒng)一數(shù)據(jù)保護(hù)條例》，《網(wǎng)絡(luò)安全法》并未涉及信息的訪問(wèn)、拒絕、攜帶、限制處理等積極權(quán)利。

個(gè)人信息權(quán)利的行使既需要平衡個(gè)人信息保護(hù)與信息的社會(huì)功能，同時(shí)也需平衡公共利益與個(gè)人利益的沖突，在平衡以上兩對(duì)關(guān)系的過(guò)程中不可避免地會(huì)構(gòu)成對(duì)個(gè)人信息權(quán)的干預(yù)，因此，脫離信息的經(jīng)濟(jì)價(jià)值和公共治理價(jià)值討論個(gè)人信息權(quán)利的行使并無(wú)現(xiàn)實(shí)依據(jù)，個(gè)人信息權(quán)利的劃定應(yīng)當(dāng)依據(jù)個(gè)人信息的類型。對(duì)于敏感信息，應(yīng)當(dāng)賦予信息主體訪問(wèn)、拒絕、攜帶、限制處理等信息的積極權(quán)利，同時(shí)強(qiáng)化信息同意權(quán)的行使，倒逼信息處理主體加強(qiáng)敏感信息的管理和審查。另外，應(yīng)當(dāng)遵循法律保留原則以及比例原則，規(guī)定個(gè)人信息權(quán)利行使的例外情形，如出于國(guó)家利益和公共利益需要在法定條件下對(duì)個(gè)人信息權(quán)利的限制。目前我國(guó)3份個(gè)人信息保護(hù)法草案均將個(gè)人信息的收集、處理和利用主體分為了國(guó)家機(jī)關(guān)和非國(guó)家機(jī)關(guān)兩類，表明學(xué)界已充分注意到國(guó)家機(jī)關(guān)在信息使用目的和使用場(chǎng)景的不同。

三是完善在線教育平臺(tái)用戶信息開(kāi)發(fā)與保護(hù)的相應(yīng)規(guī)范。制定在線教育平臺(tái)用戶信息開(kāi)發(fā)和使用的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，依照信息保護(hù)的全生命周期理論，建立在線教育平臺(tái)用戶信息生成、使用和維護(hù)管理三個(gè)環(huán)節(jié)的管理規(guī)范，開(kāi)展嚴(yán)格的數(shù)據(jù)分類和開(kāi)放分級(jí)審查，完善信息審查和信息開(kāi)放平臺(tái)管理流程，統(tǒng)一信息開(kāi)放協(xié)議，形成高效的數(shù)據(jù)監(jiān)管體系；制定數(shù)據(jù)更新和匿名化數(shù)據(jù)等方面的技術(shù)標(biāo)準(zhǔn)，探索數(shù)據(jù)匿名化等新型數(shù)據(jù)保護(hù)工具和個(gè)人信息泄露溯源機(jī)制，從管理和技術(shù)兩方面保護(hù)在線教育平臺(tái)用戶信息。同時(shí)構(gòu)建涵蓋數(shù)據(jù)管理方、數(shù)據(jù)利用方的法律責(zé)任體系，明確侵犯?jìng)€(gè)人信息的行政責(zé)任，同時(shí)做好與《保密法》《檔案法》《刑法》等涉及個(gè)人信息保護(hù)規(guī)范中法律責(zé)任的銜接。