南京信息工程大學(xué) 南康

近些年，在信息時代的大背景下，個人信息的收集與使用愈加廣泛。在此過程中，部分高校為了更便利高效地開展管理工作，加快了校內(nèi)信息化建設(shè)，這也相應(yīng)地產(chǎn)生了諸多個人信息保護(hù)問題。例如，個人信息過度收集、并且在管理過程中由于失誤導(dǎo)致信息泄漏，進(jìn)而侵犯學(xué)生合法權(quán)利。我國《民法典》第111條確認(rèn)了自然人的個人信息受法律保護(hù)，隨著《個人信息保護(hù)法》的生效，《民法典》中的相關(guān)規(guī)定被進(jìn)一步完善與落實(shí)。在此基礎(chǔ)上，我們應(yīng)當(dāng)思考：高校在其信息處理過程中的諸多問題能否通過《個人信息保護(hù)法》相關(guān)規(guī)定加以規(guī)制？如何進(jìn)行規(guī)制？在規(guī)制的同時如何實(shí)現(xiàn)管理效率與信息安全、隱私的平衡？

一、高校個人信息問題現(xiàn)狀

在高校加快信息化建設(shè)的大背景下，高校個人信息問題愈發(fā)突出，這一問題主要表現(xiàn)為三個方面。其一，高校在收集信息時，存在信息過度收集現(xiàn)象，即學(xué)生信息隱私保護(hù)問題。其二，高校在處理信息過程中存在技術(shù)漏洞、管理混亂等問題導(dǎo)致個人信息存在泄漏的安全隱患。最后，現(xiàn)階段，法規(guī)范在高校這一特定領(lǐng)域內(nèi)還存在諸多適用與沖突問題有待解決。接下來筆者將展開論述：

（一）信息隱私問題

于2021年11月1日，《個人信息保護(hù)法》生效，其對個人信息處理者的信息收集范圍、利用目的、使用原則等做內(nèi)容做出規(guī)定。例如，《個人信息保護(hù)法》第6條規(guī)定：收集個人信息，應(yīng)限于實(shí)現(xiàn)處理目的的最小范圍，不得過度收集個人信息。該條規(guī)定直指近年來爭議較大的刷臉進(jìn)校問題，人臉這一敏感生物信息，在高校管理活動中是否有收集的必要？高校收集人臉信息是否超出《個人信息保護(hù)法》第6條所表述的：應(yīng)限于實(shí)際處理目的的最小范圍？

為明確高校收集了哪些信息，這些信息是否存在被過度收集的情況，筆者針對高校學(xué)生個人信息收集情況，實(shí)證調(diào)查如下：

以五所高校學(xué)生信息管理系統(tǒng)中收集的信息為例，將這些信息做出如下區(qū)分：本人基本情況信息，例如姓名、性別、民族等；家庭基本情況信息，如父母姓名、就業(yè)單位、政治面貌等；本人健康信息，如體檢情況、病史等；本人學(xué)業(yè)信息，如課程成績、等級考試成績、獎懲情況；本人部分生物信息，如人臉信息、指紋信息。鑒于2020年以來爆發(fā)的新冠疫情，疫苗接種信息、行程信息等公共安全相關(guān)信息也納入了高校信息采集的范圍。在這些信息中，的確存在高校正常學(xué)生管理工作所必需的部分信息。但其他非必要信息的收集管理工作更值得我們深入思考。例如，學(xué)生已經(jīng)符合《高等學(xué)校體檢標(biāo)準(zhǔn)》，被高校錄取的情況下，高校是否依然有必要收集體檢標(biāo)準(zhǔn)之外的學(xué)生本人健康情況這一敏感個人信息？基于什么樣的使用目的收集？

（二）信息安全問題

國內(nèi)大部分高校均采取了以教學(xué)單位和行政機(jī)構(gòu)為核心的管理結(jié)構(gòu)，學(xué)生個人信息在教學(xué)單位和行政機(jī)構(gòu)之間雙向流動。

大部分高校管理方式以教學(xué)單位為基礎(chǔ)，故筆者以學(xué)院為調(diào)查單位，以單個學(xué)生為調(diào)查對象，一對一發(fā)放相關(guān)問卷共40份。在筆者本校，收有效問卷8份，其余32份問卷分別取自二十余所不同公辦高等院校的近三十個學(xué)院。在問卷中，筆者調(diào)查了相關(guān)高校信息收集范圍、處理方式、處理目的并對受調(diào)查者針對這一現(xiàn)象的看法和意見做了專門性收集。

問卷顯示，以“QQ”“微信”為核心的文件、信息傳遞方式是大部分高校的主要信息流通途徑。這一途徑雖具有便捷性，但其較高的安全風(fēng)險同樣值得注意：其一，能直接接觸相關(guān)個人信息的賬號存在安全風(fēng)險，如賬號盜取、他人登陸等；其二，大部分高校以“QQ”群為中心展開學(xué)生工作，此類“QQ”群聊中，人數(shù)較多，因此難以逐一核實(shí)身份，同時也伴隨著信息過度公開問題：即本該由管理者掌握、并負(fù)有保密義務(wù)的信息，為提升填報、核查等工作的效率，被公布在“QQ”群中，且未及時刪除，這一現(xiàn)象不僅增加了信息安全風(fēng)險，同時也侵犯了學(xué)生隱私。我國教育部辦公廳于2017發(fā)布的要求各高校進(jìn)一步規(guī)范學(xué)生資助信息公示工作的通知即針對這一亂象；其三，因這種粗放管理方式易操作、無門檻，甚至導(dǎo)致了冒充校方管理人員非法收集學(xué)生個人信息的情況出現(xiàn)，其嚴(yán)重威脅了個人信息安全。問卷結(jié)果顯示，在筆者所調(diào)研的四十個高校教學(xué)單位中有二十二個存在綜上問題，占比達(dá)到55%。足見高校個人信息安全問題之嚴(yán)峻。

（三）法規(guī)范問題

在《個人信息保護(hù)法》出臺前，主要包括《網(wǎng)絡(luò)安全法》《教育法》在內(nèi)的部門法雖可為高校學(xué)生個人信息的法律保護(hù)提供一定支持,但在法律適用和法律制度層面均存在不足。更為重要的是，我國高校雖然可依照《高等教育法》自主設(shè)置章程和管理制度，但截至《個人信息保護(hù)法》生效前并無高校出臺學(xué)生個人信息保護(hù)的相關(guān)政策。綜上所述，高校信息化建設(shè)加快的背后是高校個人信息保護(hù)問題的突出，要想對兩者做出平衡，必須明確高校這一特殊場景下學(xué)生個人信息權(quán)的權(quán)利屬性。

二、高校學(xué)生個人信息的類型化

高校學(xué)生個人信息因其特殊性而成為本文的研究對象，為實(shí)現(xiàn)高校學(xué)生個人信息最終保護(hù)路徑之建構(gòu)。本文將在高校學(xué)生個人信息特殊性的基礎(chǔ)上，對高校學(xué)生個人信息的應(yīng)用場景及高校學(xué)生個人信息本身做出類型化的區(qū)分。

（一）高校學(xué)生個人信息應(yīng)用場景類型化

欲探明高校學(xué)生個人信息的保護(hù)路徑，作為管理主體的高校和被管理的學(xué)生之間可能存在的場景首先應(yīng)得以明確，只有這樣才能捋清高校在學(xué)生個人信息保護(hù)中處于何種地位，享有何種權(quán)利，應(yīng)當(dāng)負(fù)有何種義務(wù)。

1.內(nèi)部管理場景

依《教育法》《高等教育法》和《學(xué)位條例》等法律法規(guī)，高校是經(jīng)國家授權(quán)的，行使國家行政權(quán)力或公共管理權(quán)利，進(jìn)行相應(yīng)管理活動的事業(yè)法人，具備行政主體資格。在本文所研究的高校管理領(lǐng)域內(nèi)，高?；诮逃姓?quán)實(shí)施教育管理行為，屬于典型的公法上的行政執(zhí)法行為。在此意義內(nèi)，高校對學(xué)生個人信息的管理權(quán)責(zé)劃分可按照《個人信息保護(hù)法》《高等教育法》等相關(guān)法律法規(guī)進(jìn)行建構(gòu)和明確。

值得注意的是，依《普通高等學(xué)校學(xué)生管理規(guī)定》第四十條規(guī)定：學(xué)校應(yīng)建立和完善學(xué)生參與管理的組織形式，支持和保障學(xué)生依法、依章程參與學(xué)校管理。該條明確賦予了學(xué)生一定的自治權(quán)利，在些情況下，學(xué)生不再作為純粹的被管理者，基于該條規(guī)定，學(xué)生具備了一定的行政主體地位，不再是單一的行政相對人。因此針對這一過程中可能涉及的學(xué)生個人信息保護(hù)問題，高校與學(xué)生之間對個人信息保護(hù)的權(quán)責(zé)劃分需要相應(yīng)做出調(diào)整。

學(xué)生自治具體表現(xiàn)形式可以區(qū)分為學(xué)生組織和學(xué)生社團(tuán)。

在一般情況下，學(xué)生通過辦公室助理、學(xué)生會等學(xué)生組織形式參與高校的內(nèi)部管理活動，所涉及和處理的學(xué)生個人信息仍舊是在高?！敖虒W(xué)單位”——“行政機(jī)構(gòu)”二元結(jié)構(gòu)框架下，其行為屬于輔助管理行為，其信息隱私問題和信息安全問題與前述情況并無區(qū)別，亦無需作特別闡述與規(guī)制。需做出區(qū)別的是學(xué)生社團(tuán)這種學(xué)生組織形式。

2.涉外管理場景

近些年，隨著校園活動的豐富，由學(xué)生自發(fā)成立和組織學(xué)生社團(tuán)等日益繁多，各高校的學(xué)生社團(tuán)數(shù)量眾多，且以高校學(xué)生興趣為導(dǎo)向，學(xué)生參與度高，覆蓋面廣。但因其龐大的數(shù)量，在實(shí)際管理過程中，很難得到團(tuán)委的具體指導(dǎo)與支持，它們基于舉辦活動、維持運(yùn)作的資金需求，其存在向部分商家謀求“贊助”的行為。，在此過程中，作為商家提供資金支持的交換條件，學(xué)生社團(tuán)需要舉辦相關(guān)活動，或者以自身乃至他人的個人信息的財產(chǎn)性價值作為交換，因?yàn)閷W(xué)生個人信息的特殊屬性，個人信息安全風(fēng)險凸顯。

在中共教育部黨組、共青團(tuán)中央印發(fā)的《高校學(xué)生社團(tuán)建設(shè)管理辦法》（教黨發(fā)〔2020〕13號）中明確了學(xué)生社團(tuán)的性質(zhì)為群眾性學(xué)生團(tuán)體，同時也明確了高校對學(xué)生社團(tuán)的管理責(zé)任與義務(wù)，例如組織建設(shè)，加強(qiáng)領(lǐng)導(dǎo)等。部分高校如南京理工大學(xué)、南京財經(jīng)大學(xué)、南京信息工程大學(xué)等同樣根據(jù)《普通高等學(xué)校學(xué)生管理規(guī)定》（中華人民共和國教育部令第41號）和《高校學(xué)生社團(tuán)管理暫行辦法》（中青聯(lián)發(fā)〔2015〕39號）等相關(guān)規(guī)定制定了學(xué)生社團(tuán)管理辦法。但值得肯定的是，學(xué)生社團(tuán)屬高校管理，而在學(xué)生社團(tuán)面臨信息風(fēng)險時，學(xué)校以何種方式承擔(dān)何種責(zé)任，需要在保護(hù)路徑中得到明確。

基于綜上區(qū)分，高校與學(xué)生的關(guān)系也可以隨之確定：在高校行使管理權(quán)情況中，高校是純粹的行政主體，其與學(xué)生的關(guān)系即單純的管理與被管理，此時高校處于主導(dǎo)地位，需要按照《民法典》和《個人信息保護(hù)法》的要求對學(xué)生個人信息做出嚴(yán)格保護(hù)；學(xué)生參與治理的情況則相對復(fù)雜，在此狀況下，高校與學(xué)生間雖然存在管理關(guān)系，但是學(xué)生同樣也被賦予了部分管理權(quán)利。在此部分自治基礎(chǔ)上，學(xué)生需要對其決策承擔(dān)責(zé)任，高校也同樣存在類似民法上的安保義務(wù)，二者的責(zé)任配比則依具體情況而定。

（二）高校場景下學(xué)生個人信息類型化

為高校學(xué)生個人信息提供保護(hù)，如果按照普通信息分類進(jìn)行一般性處理，勢必導(dǎo)致諸多不便和保護(hù)效果的減損。因此對高校領(lǐng)域內(nèi)個人信息進(jìn)行基于其特征的特殊分類，并在此分類的基礎(chǔ)上，針對不同類型的信息制定專屬的保護(hù)規(guī)則，才有可能實(shí)現(xiàn)對高校學(xué)生個人信息更加周全的保護(hù)。

1.可推測信息與獨(dú)立信息

以學(xué)號為例，作為高校學(xué)生身份的核心、校園內(nèi)可直接識別特定學(xué)生的唯一號碼，高校的學(xué)號安排具有規(guī)律性。通常以年級、專業(yè)、班級、序號的體例構(gòu)成，并且存在初始密碼的設(shè)定，在校內(nèi)系統(tǒng)中，此特征通?？梢詭椭袨槿嗽谖唇?jīng)同意的情況下獲得他人信息，雖然此一行為可能并無特定針對對象（初始密碼有可能已被修改，但同樣存在例外）。這一特征在信息密集的高校場景中，將導(dǎo)致少量有限的個人信息的價值也往往大于普通信息，換言之，學(xué)生個人信息一旦泄漏，可能導(dǎo)致嚴(yán)重后果。

基于綜上所述特征高校個人信息易分為可推測信息與獨(dú)立信息。

高校內(nèi)，最常使用的身份識別方式有二：學(xué)號、居民身份證號（包括護(hù)照、港澳臺通行證等）。其中以學(xué)號為核心，關(guān)聯(lián)信息包括年級、院系、專業(yè)等高校內(nèi)特有的個人識別方式。這一信息的泄漏影響將不止局限于個人，有規(guī)律的學(xué)號排列方式將導(dǎo)致一條泄漏，一個系部受其影響的可能，故這一部分信息應(yīng)著重加以保護(hù)。

以居民身份證號為核心，其關(guān)聯(lián)信息包括手機(jī)號碼、戶籍信息等一般社會管理信息，這一部分信息的構(gòu)成方式不是以高校為中心，而是以國家戶籍管理、電信管理等制度為核心，因此其泄漏之影響僅局限于個人而不至殃及高校中特定集體的信息安全，故對這部分信息加以一般性保護(hù)即可。

2.可公開信息與非公開信息

在高校的日常管理活動和教學(xué)秩序中，公示是一項(xiàng)常用且必需的制度，其適用范圍涵蓋了獎學(xué)金、學(xué)業(yè)預(yù)警、學(xué)生干部選任等校園生活的各個領(lǐng)域，同時也是學(xué)校管理行為的重要組成部分，并且學(xué)生作為被管理主體，也更關(guān)切這類與自身關(guān)聯(lián)密切的公示信息。再者，根據(jù)《個人信息保護(hù)法》第28條之分類，生物識別、醫(yī)療健康、家庭狀況等敏感個人信息也可能處于高校收集范圍甚至公開的范圍之內(nèi)。這一制度決定了學(xué)生敏感個人信息的公示與否迫切需要更加嚴(yán)格的區(qū)分。在高校工作實(shí)際中，可公開與否，可能存在較大爭議。例如如近期熱議的“復(fù)旦大學(xué)三名學(xué)生在校外嫖娼被開除學(xué)籍”一案，校方依據(jù)《復(fù)旦大學(xué)學(xué)生紀(jì)律處分條例》開除三名學(xué)生并無不妥，但是對其原因加以公示卻引起了截然不同的討論。再者，如前文提及的《教育部辦公廳關(guān)于全面清理和規(guī)范學(xué)生資助公示信息的緊急通知》同樣針對這一問題。

結(jié)合《個人信息保護(hù)法》對敏感個人信息的規(guī)定，筆者認(rèn)為：一旦公開，就容易導(dǎo)致自然人人格尊嚴(yán)受到侵害或者、人身財產(chǎn)安全受到危害的個人信息屬于隱私信息，并不宜公開。例如，接受國家資助的貧困生的家庭情況信息，如若公示，極有可能對其人格尊嚴(yán)造成損害，這一部分信息即非公開信息，這一分類也較為符合教育部《教育部辦公廳關(guān)于全面清理和規(guī)范學(xué)生資助公示信息的緊急通知》之精神，這部分信息應(yīng)到得到高校的重視與特殊保護(hù)。當(dāng)然這并不意味著公開信息即無須保護(hù)，公開方式、公開范圍、公開可能造成的影響均是高校行權(quán)時所必須做的考量。

綜上所述，高校在公示學(xué)生個人信息時，必須明確公開內(nèi)容與范圍，如貧困生公示中，教育部即規(guī)定，僅公示必要的姓名、學(xué)號等，家庭情況、個人情況等涉及學(xué)生人格尊嚴(yán)的內(nèi)容不得公開。與此同時，高校有義務(wù)保障這一部分之信息不為學(xué)校以外的單位或者個人獲取。

三、高校個人信息保護(hù)路徑之建構(gòu)

在明確了高校個人信息的權(quán)利屬性、特征及分類、應(yīng)用場景后，筆者力圖提出一種“一主多輔”的保護(hù)路徑。一主即以“結(jié)果保護(hù)”為主以法律法規(guī)授權(quán)的高校自治地位和章程創(chuàng)制權(quán)為核心，結(jié)合各高校實(shí)際管理情況制定專門的高?！秱€人信息保護(hù)管理辦法》；多輔即以“過程保護(hù)”為主，通過賦予學(xué)生救濟(jì)性權(quán)利、發(fā)揮民事司法裁判的個案指導(dǎo)功能等手段，從而實(shí)現(xiàn)學(xué)生個人信息之保護(hù)。筆者將在下文就此做出詳細(xì)論述。

（一）“結(jié)果保護(hù)”：以制定個人信息管理辦法為主

在明確結(jié)果保護(hù)的路徑之后，筆者將結(jié)合《個人信息保護(hù)法》《民法典》等法律法規(guī)及上文對應(yīng)用場景和個人信息分類的論述，對高?！秱€人信息保護(hù)管理辦法》提出若干原則性規(guī)定：

1.內(nèi)部管理場景

（1）高校為履行職責(zé)處理個人信息，應(yīng)依照法律、行政法規(guī)規(guī)定的權(quán)限、程序進(jìn)行，不得超出履行法定職責(zé)所必需的范圍和限度。此處的權(quán)限、程序和必要范圍及限度應(yīng)結(jié)合隱私信息與公開信息之分類做出考量：涉及個人隱私信息之收集，高校應(yīng)當(dāng)審慎對待，結(jié)合《個人信息保護(hù)法》第6條之規(guī)定將其限于實(shí)現(xiàn)處理目的最小范圍，應(yīng)明確該隱私信息收集之必要性，不得過度收集；涉及公開信息之處理，高校應(yīng)制定切實(shí)的流程與制度，并結(jié)合《個人信息保護(hù)法》第7條之規(guī)定明確為何公開，如何公開，什么范圍內(nèi)公開，并盡到告知義務(wù)。（2）高校處理個人信息過程中，應(yīng)當(dāng)保證學(xué)生校對自身信息核查的權(quán)利，確保保證個人信息質(zhì)量，以避免因個人信息不準(zhǔn)確、不完整對學(xué)生造成影響。這一原則是對《民法典》第1037條及《個人信息保護(hù)法》第8條之落實(shí)，高校因其管理工作之特征，學(xué)生個人信息將涉及其在校園生活的各個方面且使用頻率較高。因此高校有義務(wù)保證信息的正確性，同時這也是對管理效率的提升。（3）高校應(yīng)當(dāng)采取必要措施，加強(qiáng)對個人敏感信息保護(hù)。這一原則是對《個人信息保護(hù)法》第9條要求的落實(shí)，同時也是高校信息隱私性和關(guān)聯(lián)性這兩種特征的必然要求。（4）高校在信息處理過程中，應(yīng)當(dāng)做到隨用隨取，用后即刪。這一原則是基于高校信息的使用體制做出的規(guī)定，綜上所述，絕大部分高校采用“教學(xué)單位”—“行政機(jī)構(gòu)”的二元管理體制，數(shù)以千百計(jì)的大量個人信息在兩者之間雙向流動，任由這部分信息在網(wǎng)絡(luò)上存在，將極大地增加個人信息泄漏風(fēng)險，所以即使可能犧牲部分管理效率，但這一原則要求所獲得的個人信息安全收益將遠(yuǎn)超于損失的管理效率。

2涉外管理場景

（1）嚴(yán)格限制學(xué)生使用高校內(nèi)特有的識別方式參與涉外活動，如有需要，需向校方進(jìn)行報備。這一規(guī)定基于可推測信息與獨(dú)立信息之劃分，如前所述，高校領(lǐng)域內(nèi)學(xué)生個人信息，因其可推測性與密集性決定了其更高的信息價值與更嚴(yán)重的泄漏后果。學(xué)生使用高校特有的個人信息參與社會活動其影響將不再局限于個人，而是對一定范圍內(nèi)諸多學(xué)生的公益造成了影響，因此需要嚴(yán)格限制。相對而言，學(xué)生使用個人獨(dú)立信息參與社會活動，應(yīng)視作個人權(quán)利。在無顯著風(fēng)險之情形下，高校不應(yīng)對個人自由加以限制。筆者認(rèn)為，上述原則性規(guī)定足以為高校個人信息提供一個完善的保護(hù)框架，各高校應(yīng)結(jié)合自身實(shí)際情況，在不違反《民法典》與《個人信息保護(hù)法》的前提下，適當(dāng)做出補(bǔ)充即可實(shí)現(xiàn)個人信息保護(hù)之目的。

（二）“過程保護(hù)”：多種手段構(gòu)成的輔助性保護(hù)

1.提升技術(shù)保障

技術(shù)手段通常是高效解決問題的辦法之一。如本文第二部分中信息安全所述，依本文有關(guān)調(diào)查，“QQ群”往往是個人信息收集和傳遞的重要工具，但“QQ”作為一款社交軟件，其服務(wù)對象廣泛，使用主體多元，同時存在賬號泄露，信息泄露等多種風(fēng)險，并不是信息收集、公布的理想軟件。高?？梢曰谧陨淼男畔⒒芾砥脚_，構(gòu)建一套具有嚴(yán)格加密標(biāo)準(zhǔn)的信息收集和公布系統(tǒng)，從而最大程度上減少信息泄露風(fēng)險。筆者認(rèn)為，完善的管理體制同樣屬于必要的技術(shù)保障，并且可以借此機(jī)會在保證個人信息安全的基礎(chǔ)上，最大可能地實(shí)現(xiàn)高校管理。正如本文所分析的，目前大部分高校均采取“教學(xué)單位”——“行政機(jī)構(gòu)”的二元管理體制，信息需要在教學(xué)單位內(nèi)部按照班、系、院的層級流動，再由提出相應(yīng)信息需求的行政部門加以處理，在這一固有體制上實(shí)現(xiàn)個人信息之安全保護(hù)確有可能降低管理效率。對此高?？梢越Y(jié)合實(shí)際情況，減少部分信息的流通環(huán)節(jié)，例如對少量、隱私性可以直接由相關(guān)行政機(jī)構(gòu)向?qū)W生收集。

高校工作中因?qū)W生個人信息保護(hù)喪失的部分管理效率完全可以通過軟件技術(shù)和管理技術(shù)之提升加以彌補(bǔ)，甚至更加高效。

2.受限制的學(xué)生個人信息救濟(jì)性權(quán)利

《個人信息保護(hù)法》第四章中規(guī)定了個人在個人信息處理活動中的權(quán)利，這部分權(quán)利是否能在本文場景中應(yīng)用？如何應(yīng)用？這一問題之回答將成為能否給予學(xué)生救濟(jì)性權(quán)利的基礎(chǔ)。

綜觀《個人信息保護(hù)法》的立法過程，不難體悟出立法者認(rèn)為個人信息權(quán)利應(yīng)受公益之限制的立法精神。體現(xiàn)如下：《個人信息保護(hù)法（草案）》第三十五條的表述為：國家機(jī)關(guān)為履行法定職責(zé)處理個人信息，應(yīng)依照本法規(guī)定向個人告知并取得其同意；法律、行政法規(guī)規(guī)定應(yīng)當(dāng)保密，或者告知、取得同意將妨礙國家機(jī)關(guān)履行法定職責(zé)的除外。從常見要求可知，國家機(jī)關(guān)為履行法定職責(zé)處理個人信息，需要“告知+同意”，一定程度上能提高國家機(jī)關(guān)處理個人信息的透明度。但是最終版本的《個人信息保護(hù)法》表述為國家機(jī)關(guān)為履行法定職責(zé)處理個人信息，應(yīng)依照本法規(guī)定履行告知義務(wù)；有本法第十八條第一款規(guī)定的情形，或者告知將妨礙國家機(jī)關(guān)履行法定職責(zé)的除外。對比《個人信息保護(hù)法》第十三條第一款之規(guī)定，明顯可以看出，立法者在此對個人權(quán)利加以了適當(dāng)?shù)南拗啤?/p>

依此立法精神，前述問題之答案也呼之欲出：《個人信息保護(hù)法》第四章中個人在個人信息處理活動中的權(quán)利的應(yīng)當(dāng)適用于本文場景，但是其中部分權(quán)利應(yīng)當(dāng)受到限制。對此,筆者稍作區(qū)分：（1）無需限制的權(quán)利。例如《個人信息保護(hù)法》第四十六條規(guī)定的個人對其信息的校驗(yàn)權(quán)，這即是對《民法典》相關(guān)規(guī)定的落實(shí)，也是對本文在高校個人信息保護(hù)辦法中1.2原則的落實(shí)。相類似的權(quán)利還包括《個人信息保護(hù)法》第四十五條的查閱權(quán)和復(fù)制權(quán)、第四十八條的請求解釋權(quán)。（2）需要受到部分限制的權(quán)利。針對無需限制的個人權(quán)利，高校乃至司法實(shí)踐都應(yīng)當(dāng)對之加以周全的保護(hù)，以保證學(xué)生的個人信息安全以及相關(guān)權(quán)利，至于需要部分限制的個人權(quán)利，相關(guān)各方應(yīng)當(dāng)針對為何限制，限制之后果，以及在限制之情況下發(fā)生權(quán)利受損情況下的責(zé)任分配問題做出詳細(xì)研究，結(jié)合實(shí)際情況，做出合適的處理。本文立足于高校這一特殊領(lǐng)域，以有效保護(hù)高校學(xué)生個人信息之辦法的提出為目的。針對高校個人信息保護(hù)所面對的問題，結(jié)合高校個人信息特征與分類以及不同的應(yīng)用場景，提出了以設(shè)置高校個人信息管理章程為主，三種技術(shù)和民法手段為輔助的保護(hù)方式，以期為高校領(lǐng)域內(nèi)的個人信息保護(hù)提供參考。