□文/謝婧雯

（廈門大學(xué) 福建·廈門）

［提要］ 校園個(gè)人信息作為個(gè)人信息中具有高值性的子類，在信息保護(hù)熱潮中備受關(guān)注。但不論是信息主體、學(xué)校、第三方機(jī)構(gòu)還是社會(huì)對(duì)校園個(gè)人信息的保護(hù)都不足。為給校園個(gè)人信息保護(hù)尋求出路，在分析校園個(gè)人信息保護(hù)中的法律關(guān)系、權(quán)責(zé)劃分基礎(chǔ)上，針對(duì)不同主體提出保護(hù)校園個(gè)人信息的有效措施。

2016 年電信詐騙案轟動(dòng)全國(guó)，人們由此注意到校園個(gè)人信息的泄露可能產(chǎn)生巨大危害。但法律中有關(guān)個(gè)人信息權(quán)的規(guī)定尚不足以保護(hù)校園個(gè)人信息。此前研究更多是公民群體的個(gè)人信息保護(hù)，而少有對(duì)校園個(gè)人信息保護(hù)的研究。故本研究將主題定位為校園個(gè)人信息保護(hù)，并將結(jié)合實(shí)證調(diào)研的成果，為校園個(gè)人信息的保護(hù)尋求出路。

一、校園個(gè)人信息保護(hù)中的法律問(wèn)題

（一）多方利益的平衡問(wèn)題分析。校園個(gè)人信息的保護(hù)涉及信息主體的個(gè)人信息權(quán)、學(xué)校的管理權(quán)及各用益主體的權(quán)利，如銀行與學(xué)校合作辦理新生銀行卡時(shí)擁有的獲知學(xué)生部分個(gè)人信息的權(quán)利。但校園個(gè)人信息的保護(hù)必然不是一刀切式的學(xué)校能獲取或不能獲取校園主體的個(gè)人信息，而是獲取個(gè)人信息的數(shù)量多寡、多方利益的平衡問(wèn)題。學(xué)校涉校園個(gè)人信息的活動(dòng)應(yīng)受比例原則、知情原則及透明度原則的限制，才不至于侵害校園主體的個(gè)人信息權(quán)。下文將分別闡釋這三項(xiàng)原則。

首先，學(xué)校作為行政主體，收集校園個(gè)人信息要遵循比例原則。高校為實(shí)現(xiàn)培養(yǎng)青年學(xué)生的基本目的，有權(quán)保存學(xué)生的學(xué)業(yè)信息、獎(jiǎng)懲記錄等與在校學(xué)習(xí)生活直接相關(guān)的個(gè)人信息；為幫助學(xué)子走向社會(huì)，高校則有權(quán)獲知學(xué)生的發(fā)展意向信息，以展開畢業(yè)實(shí)習(xí)項(xiàng)目等項(xiàng)目。上述幾類信息本就產(chǎn)生于校園內(nèi)，學(xué)校掌控這些信息沒(méi)有太大爭(zhēng)議，但有些信息不產(chǎn)生于校園之內(nèi)，如學(xué)生的財(cái)產(chǎn)信息，學(xué)校對(duì)此則沒(méi)有和對(duì)學(xué)業(yè)信息同等的權(quán)限，而只能在特定情形下獲取學(xué)生的財(cái)產(chǎn)信息。如，學(xué)校只在發(fā)放助學(xué)貸款時(shí)才能收集學(xué)生的財(cái)產(chǎn)信息，因助學(xué)貸款的目的在于保障貧困學(xué)生的基本生活；而在發(fā)放獎(jiǎng)學(xué)金等其他情境下則無(wú)此權(quán)限，因?yàn)楠?jiǎng)學(xué)金的目的在于獎(jiǎng)勵(lì)學(xué)業(yè)優(yōu)秀的學(xué)生，它是以學(xué)生學(xué)業(yè)信息為必要判斷標(biāo)準(zhǔn)的，有且僅有貧困學(xué)生獎(jiǎng)學(xué)金的發(fā)放需以學(xué)生財(cái)產(chǎn)信息為附加判斷標(biāo)準(zhǔn)，故學(xué)校也僅能在該特殊類獎(jiǎng)學(xué)金發(fā)放時(shí)才有權(quán)獲取學(xué)生的財(cái)產(chǎn)信息。且學(xué)校對(duì)財(cái)產(chǎn)信息的獲取也只能是由學(xué)生提交證明材料，而不能去主動(dòng)調(diào)查。學(xué)校對(duì)財(cái)產(chǎn)信息的保存時(shí)間也相對(duì)在校內(nèi)產(chǎn)生的信息要短，通常僅限于異議期間。同時(shí)，學(xué)校在后續(xù)使用該財(cái)產(chǎn)信息時(shí)，僅能在特定部門間流轉(zhuǎn)，而不能像學(xué)業(yè)信息的使用那樣各部門皆可調(diào)取，故助學(xué)金與貧困生獎(jiǎng)學(xué)金在發(fā)放時(shí)應(yīng)分別由學(xué)生提交財(cái)產(chǎn)證明材料，而非由學(xué)校直接從信息庫(kù)中調(diào)取。

其次，知情同意原則。一方面是知情，學(xué)校在收集或使用特定校園個(gè)人信息時(shí)應(yīng)告知校園主體實(shí)情，包括告知其信息被收集及信息的使用情況等。比如，在疫情防控的特殊時(shí)期，學(xué)校將人臉信息用于門禁時(shí)應(yīng)告知校園主體，若情況緊急則應(yīng)在事后告知。其原因在于不特定多數(shù)人的生命健康權(quán)這一法益高于特定個(gè)體的信息權(quán)，故學(xué)校有權(quán)收集使用人臉信息。但該行為又構(gòu)成對(duì)校園主體個(gè)人信息權(quán)的侵犯，故應(yīng)對(duì)學(xué)生施以告知義務(wù)，以緩和雙方的權(quán)利沖突。且人臉信息屬生物敏感信息，故學(xué)校在存儲(chǔ)使用人臉信息時(shí)還負(fù)有更重的保障信息安全之義務(wù)，為此學(xué)校在實(shí)際操作中應(yīng)采用保密性更強(qiáng)的技術(shù)等以提高人臉信息的安全程度。另一方面則是同意，學(xué)校應(yīng)在取得校園主體的同意后方可收集使用其個(gè)人信息，且這里的同意應(yīng)是出于完全自愿的意思表示，而非受到相關(guān)主體脅迫，比如學(xué)校或者教師的強(qiáng)制、利誘或欺詐。但在疫情防控下，學(xué)校對(duì)信息的使用可不經(jīng)信息主體同意，這也是因公益優(yōu)先。

最后，還應(yīng)遵循透明度原則。也就是學(xué)校對(duì)校園個(gè)人信息的收集使用應(yīng)受監(jiān)管，不僅在學(xué)校內(nèi)部應(yīng)設(shè)立專門機(jī)構(gòu)紀(jì)委辦公室、監(jiān)察處進(jìn)行監(jiān)管，還應(yīng)接受外部機(jī)關(guān)的監(jiān)管。進(jìn)一步探究怎樣才能讓監(jiān)管發(fā)現(xiàn)的問(wèn)題得以實(shí)際解決，筆者認(rèn)為學(xué)校應(yīng)設(shè)立核心責(zé)任部門，由該部門享有收集校園個(gè)人信息的權(quán)利，也由該部門承擔(dān)校園個(gè)人信息使用不當(dāng)?shù)鹊呢?zé)任。通過(guò)設(shè)置層級(jí)式組織架構(gòu)，一方面使涉校園個(gè)人信息的業(yè)務(wù)更規(guī)范地開展，保障校園個(gè)人信息在收集、使用各個(gè)環(huán)節(jié)上的安全性；另一方面則利于責(zé)任的追究，在事故發(fā)生后能通過(guò)調(diào)取記錄來(lái)確定泄露信息的部門，針對(duì)性地改善信息保護(hù)措施。就信息管理中心而言，各項(xiàng)目的開展需責(zé)任到人，才能從根本上提升監(jiān)管力度。

再看校園個(gè)人信息三方關(guān)系的利益平衡問(wèn)題。很典型的情況便是學(xué)校將學(xué)生個(gè)人信息傳輸給銀行辦理新生卡，我們就以此為例來(lái)闡述信息主體、信息收集方與信息受讓方間的權(quán)利義務(wù)關(guān)系。第一個(gè)要解決的問(wèn)題是學(xué)校是否有權(quán)為學(xué)生辦理銀行卡。當(dāng)前，學(xué)校學(xué)費(fèi)、住宿費(fèi)的繳交都是以銀行卡扣費(fèi)的形式實(shí)現(xiàn)的，且學(xué)校生活費(fèi)用的支付實(shí)行的是學(xué)生卡制度，而學(xué)生卡需與銀行卡綁定來(lái)完成扣費(fèi)，故學(xué)校為達(dá)成校園統(tǒng)一管理的目的，有權(quán)為學(xué)生統(tǒng)一辦理銀行卡。在此之上需要思考學(xué)校及銀行能獲取多大限度的校園個(gè)人信息。在這里，我們先跳過(guò)學(xué)校這一信息中介，而看校園個(gè)人信息流通的終端——銀行，它所能獲取的信息量。同樣的，銀行獲取校園個(gè)人信息應(yīng)遵循比例原則和透明度原則，且承攬辦卡業(yè)務(wù)的銀行屬商業(yè)機(jī)構(gòu)，故銀行處理校園個(gè)人信息時(shí)還應(yīng)遵守禁止二次交易原則，但由于銀行并非直接面向信息主體收集信息，故禁止二次交易應(yīng)在信息收集方與信息受讓方的合同中體現(xiàn)。但涉及校園個(gè)人信息活動(dòng)還應(yīng)滿足知情同意原則，那知情同意原則在三方關(guān)系中又該如何體現(xiàn)。知情原則有信息主體對(duì)信息被收集的知情與對(duì)信息使用情況的知情兩個(gè)子內(nèi)容。學(xué)生信息是由學(xué)校收集，但卻由第三方使用，那對(duì)信息主體的告知義務(wù)該由哪方負(fù)擔(dān)呢？筆者認(rèn)為信息收集方應(yīng)負(fù)此義務(wù)，因?yàn)槭占脚c信息主體直接接觸，由收集方告知較為便利，且知情同意原則下使用情況的告知是以信息被收集的告知為基礎(chǔ)的，故由收集方一并告知更為合理。同時(shí)，收集與使用的分離還將引申出收集使用的一致性原則，即收集方不得利用信息主體與信息受讓方間的信息屏障而超使用范圍地收集校園個(gè)人信息。但目前機(jī)制、法律還未能對(duì)此進(jìn)行有效的監(jiān)管。且總體上我國(guó)當(dāng)下的法律大多只涉及信息主體與信息收集者間的利益平衡，而缺乏規(guī)定去界定涉及個(gè)人信息的三方關(guān)系中如何達(dá)到利益平衡。

（二）校園個(gè)人信息保護(hù)中的權(quán)責(zé)劃分。校園個(gè)人信息涉及信息主體、學(xué)校及商業(yè)機(jī)構(gòu)三大主體。先看信息主體的權(quán)利。提供個(gè)人信息的主體有所有權(quán)、知情權(quán)、決定權(quán)、處分權(quán)。校園個(gè)人信息顧名思義是個(gè)人的信息，即信息所有權(quán)在個(gè)人。雖然信息主體有時(shí)會(huì)將個(gè)人信息告知第三人，但這不是所有權(quán)的轉(zhuǎn)移，也非信息使用權(quán)的授予。第三人享有他人的個(gè)人信息使用權(quán)需個(gè)人信息所有者與信息使用者間締結(jié)使用合同。該合同的訂立則涉及信息主體的知情權(quán)。若信息主體對(duì)合同中使用者使用信息的方法等不明，可要求使用者做說(shuō)明，直至清楚。若使用者超過(guò)雙方所約定的使用范圍使用個(gè)人信息，則構(gòu)成侵權(quán)。再者，知情不等于同意，除非信息主體有明確意思表示，即行使決定權(quán)來(lái)確認(rèn)使用者可使用自己的個(gè)人信息、使用的種類及場(chǎng)合等事項(xiàng)。再看學(xué)校。學(xué)校對(duì)校園師生的個(gè)人信息有管理權(quán)、監(jiān)督權(quán)。學(xué)校應(yīng)完善管理部門主體來(lái)統(tǒng)管校園個(gè)人信息。同時(shí)，要監(jiān)督相關(guān)部門保護(hù)校園個(gè)人信息，通過(guò)權(quán)利制衡，保障學(xué)校所管理的信息不被非法泄露。不僅要對(duì)收集存儲(chǔ)于校內(nèi)的個(gè)人信息進(jìn)行把控，也需對(duì)外來(lái)的需要收集師生個(gè)人信息的商戶企業(yè)進(jìn)行監(jiān)督。最后是商業(yè)機(jī)構(gòu)。商業(yè)機(jī)構(gòu)與其他主體不同，它對(duì)校園個(gè)人信息的權(quán)利是基于合同約定，不贅述。

二、建議

（一）信息主體。信息主體的個(gè)人信息保護(hù)意識(shí)亟待提升，應(yīng)了解主動(dòng)信息侵權(quán)后的維權(quán)方式，還應(yīng)主動(dòng)獲取個(gè)人信息的相關(guān)知識(shí)和反詐騙知識(shí)，確立起高度的防范意識(shí)。

（二）學(xué)校。學(xué)?？蓮闹贫?、技術(shù)及意識(shí)引導(dǎo)幾方面加強(qiáng)對(duì)校園個(gè)人信息的保護(hù)。學(xué)?？梢栽O(shè)立核心責(zé)任部門制度，將業(yè)務(wù)上涉校園個(gè)人信息的諸多部門中最關(guān)鍵的一個(gè)部門如信息管理中心確立為核心責(zé)任部門，由該部門來(lái)統(tǒng)一收集、存儲(chǔ)及管理校園個(gè)人信息并設(shè)立應(yīng)急預(yù)案。校內(nèi)其他部門對(duì)相關(guān)信息的使用需向核心責(zé)任部門報(bào)批，由核心責(zé)任部門按需調(diào)出信息供其使用。同時(shí)，核心責(zé)任制度的設(shè)立也有利于達(dá)到知情同意原則及透明度原則對(duì)涉校園個(gè)人信息活動(dòng)的要求。由專門部門負(fù)責(zé)收集校園個(gè)人信息能緩解信息主體對(duì)信息安全性的顧慮，利于信息主體在知情后同意信息被收集?？偠灾诵呢?zé)任部門制度通過(guò)統(tǒng)一權(quán)責(zé)，既能有效避免校園個(gè)人信息的重復(fù)收集，規(guī)范化信息的使用，降低信息泄露的風(fēng)險(xiǎn)；又能在信息泄露事件發(fā)生后，讓信息的流轉(zhuǎn)更有跡可循，利于危害的控制與事后責(zé)任的追究。而在數(shù)字化信息化校園的趨勢(shì)下，學(xué)校與外部信息公司合作前，應(yīng)由核心責(zé)任部門對(duì)有關(guān)公司的資質(zhì)進(jìn)行嚴(yán)格考察。此外，學(xué)校要加強(qiáng)對(duì)相關(guān)人員保護(hù)校園個(gè)人信息意識(shí)的引導(dǎo)。一方面是要加強(qiáng)涉校園個(gè)人信息業(yè)務(wù)人員的意識(shí)；另一方面則是要加強(qiáng)信息主體的保護(hù)意識(shí)。

（三）第三方機(jī)構(gòu)。為保護(hù)校園個(gè)人信息安全，需對(duì)第三方機(jī)構(gòu)的權(quán)利進(jìn)行限制。目前，其對(duì)于個(gè)人信息的采集，大部分還是采取人工的方式，工作人員很容易在一線采集信息的過(guò)程中接觸到個(gè)人信息，故第三方機(jī)構(gòu)可采機(jī)器采集方式收集，減少泄露。對(duì)不再使用的信息做刪檔處理，以防校園個(gè)人信息的二次交易。而且目前我國(guó)的人臉識(shí)別等技術(shù)已經(jīng)比較發(fā)達(dá)，若可通過(guò)人臉識(shí)別全網(wǎng)信息連鎖，由政府采集個(gè)人信息并授權(quán)，第三方通過(guò)政府授權(quán)收到更為明確分類和精確的信息，以此來(lái)開展業(yè)務(wù)，既減少信息收集，也利于信息泄露時(shí)究責(zé)。

（四）社會(huì)國(guó)家。社會(huì)國(guó)家也能夠助力校園個(gè)人信息的保護(hù)。如，成立專門的信息交易中心來(lái)開展并規(guī)范個(gè)人信息的交易，及時(shí)制止涉校園個(gè)人信息的不正當(dāng)交易行為。而信息交易中心應(yīng)由有關(guān)行政部門，如互聯(lián)網(wǎng)信息化辦公室主持設(shè)立。因?yàn)橹行氖聞?wù)的實(shí)施需要強(qiáng)制力與公信力，而由政府設(shè)立中心的原因不僅在于個(gè)人信息的保護(hù)具有社會(huì)公益性，還在于社會(huì)未來(lái)的發(fā)展越來(lái)越需要信息資源，信息數(shù)據(jù)已經(jīng)成為一項(xiàng)重要的生產(chǎn)要素，故政府需要加強(qiáng)對(duì)信息交易的規(guī)范化引導(dǎo)，以保證社會(huì)的平穩(wěn)發(fā)展。當(dāng)然，校園個(gè)人信息的社會(huì)性保護(hù)離不開社會(huì)保護(hù)意識(shí)的提升，故需媒體曝光惡性校園個(gè)人信息泄露事件，定期推送你我都可做的校園個(gè)人信息保護(hù)方法，向公眾介紹《個(gè)人信息保護(hù)法》等法律。國(guó)家層面則需完善個(gè)人信息保護(hù)的法律體系，保持對(duì)侵害校園個(gè)人信息行為的嚴(yán)厲打擊。校園個(gè)人信息的種類隨著時(shí)代的發(fā)展將愈發(fā)繁多，故國(guó)家的有關(guān)立法需與時(shí)俱進(jìn)地補(bǔ)正，同時(shí)侵害校園個(gè)人信息的行為也將愈發(fā)多樣，故國(guó)家可逐漸針對(duì)不同領(lǐng)域、不同形式的侵害行為針對(duì)性地出臺(tái)治理政策，及時(shí)填補(bǔ)校園個(gè)人信息保護(hù)的漏洞。司法方面，國(guó)家可制定針對(duì)侵害校園個(gè)人信息的民事賠償及量刑指導(dǎo)意見(jiàn)，對(duì)該行為施以重于侵害普通個(gè)人信息的懲罰。

（五）拓展應(yīng)用。上述建議還適用于社會(huì)個(gè)人信息的保護(hù)。如，核心責(zé)任部門制度的理念便可應(yīng)用于社會(huì)個(gè)人信息保護(hù)。對(duì)涉?zhèn)€人信息業(yè)務(wù)的公司，設(shè)置獨(dú)立的核心部門管理全部個(gè)人信息，既能加強(qiáng)社會(huì)個(gè)人信息保護(hù)，也有利于樹立良好的企業(yè)形象，規(guī)避信息泄露的風(fēng)險(xiǎn)。

校園個(gè)人信息是社會(huì)個(gè)人信息的一部分，而校園個(gè)人信息保護(hù)也離不開社會(huì)整體對(duì)個(gè)人信息的保護(hù)。例如，政府設(shè)立信息交易中心，加強(qiáng)對(duì)信息交易的規(guī)范化引導(dǎo)，不僅適用于校園個(gè)人信息，也廣泛地適用于其他社會(huì)個(gè)人信息。有關(guān)部門、各類媒體應(yīng)當(dāng)積極宣傳引導(dǎo)，促進(jìn)信息主體提高個(gè)人信息保護(hù)意識(shí)，加強(qiáng)對(duì)處理個(gè)人信息企業(yè)的監(jiān)督，對(duì)侵害公民個(gè)人信息權(quán)利的行為予以嚴(yán)懲。

三、結(jié)語(yǔ)

本研究在分析校園個(gè)人信息保護(hù)中的法律關(guān)系、權(quán)責(zé)劃分的基礎(chǔ)上針對(duì)性地提出建議。未來(lái)社會(huì)的信息化程度進(jìn)一步提高，信息的透明化與個(gè)人權(quán)利的平衡問(wèn)題仍值得學(xué)者探究。