美国高校对个人信息保护的经验与启示
来源:用户上传
作者:姜晓川 杨建锋 戴雅欢
摘 要:大数据时代,加强对个人信息的保护已经成为摆在各国高校面前一个极具挑战的问题。事实上,美国在个人信息及隐私权保护方面积累了丰富的立法和实践经验。在分析个人信息与隐私等概念异同的基础上,依次介绍了美国联邦层面、州层面促进高校对个人信息进行保护的立法规范,并通过对典型美国高校网络隐私安全政策的文本进行分析,提出了对我国高等教育机构适时采取措施规范个人信息使用行为的几点启示。
关键词:个人信息;高等教育机构;隐私政策;数据安全
大数据时代,如何加强对个人信息的保护已经成为摆在高校面前一个极具挑战的问题。由于高校个人信息的收集、存储和利用不再局限于纸质形式,数字和网络的方式已经得到了广泛的运用,这对个人信息的保护与规制提出了新的要求。考虑到美国在个人信息及隐私权保护方面丰富的立法和实践经验,本文在分析个人信息与隐私等概念异同的基础上,依次分析美国联邦层面、州层面的立法以及高校对个人信息的保护政策,以期对我国高等教育机构提供几点有益的启示。
高校的个人信息及其性质
《中华人民共和国民法总则》第一百一十条规定,自然人的个人信息受法律保护。美国《隐私权法》就政府机构对个人信息的采集、使用、公开和保密问题作出了详细规定。可见,中美两国都对自然人的个人信息给予了立法保护。所不同的是,在中国的提法比较多见的是“个人信息权”,隐私权被包含在人格权中并非一项独立的民事权利;美国则从立法到司法都广泛运用“隐私权”的概念,而在大数据时代这些隐私权政策大部分内容都是在规范处理个人信息的行为。毫无疑问,高校在教学管理与科研过程中收集到的数字化个人信息,尤其是“可识别的个人身份信息”在中美两国都作为法定权利获得保护。
高校大学生的个人信息就是一切识别大学生本人信息的总和。考虑到高校学生绝大多数已是完全民事行为能力人,他们对于个人信息的保护已经具有一定的自觉性,所以即使是在具有丰富隐私权立法经验的美国,对高等教育阶段个人信息的保护力度也远不及义务教育阶段。但是,由于包括云计算在内的各类信息技术手段在高校的日益广泛运用,加强对高校个人信息的保护已经在业界形成共识并在各州逐步推进。值得注意的是,基于美国的联邦和州平行立法的特点,我们不仅要了解联邦层面对隐私权的保护,同时还要高度重视各州对高校个人信息的规制,它们共同指引着各高等教育机构的隐私政策的制定,进而影响高校处理个人信息的行为。
联邦层面:为个人信息保护提供统一规范
在美国,个人信息被认为是“隐私权”的一部分,受到联邦宪法第四修正案的保护。1967年,美国联邦最高法院在凯茨诉美国(Katz v. United States)案中适用联邦宪法第四修正案审理政府侵犯个人隐私权案件时创立了“合理的隐私期待”标准。依据该标准,判定他人是否享有隐私要分两部分:主观要件,即个人的行为是否表现出他确实享有主观的隐私期待;客观要件,即社会是否认可他的隐私期待是“合理的”。从该规则诞生至今,在美国该原则已从宪法领域扩充适用于侵权法领域,并被英国、加拿大、新西兰和欧洲人权法院所吸收、借鉴。[1]
1974年,联邦《家庭教育权利和隐私法案》的通过,标志着美国第一次确立了对学生隐私权的专门立法保护。该法案前后经过九次修订,最近一次的修改时间是2001年。所有接受联邦资金资助的学校都受《家庭教育权利和隐私法案》的管辖,它规范了学校从学生“教育记录”中披露可识别的“个人身份信息”的范围和界限。教育记录,是指由教育机构或院校或由该等级机构或院校代理人所保存的、载有与学生直接相关的资料的记录,包括学生成绩和纪律记录等。该法案规定,除学生本人、家长、教师以及学校行政管理者外,其他任何第三人不得获取学生的教育记录。对于获准查阅信息的人员,该法要求学校记录所有這些曾查阅学生的教育信息的人员名单以及他们查阅该资料的原因。
之后,美国联邦1996年的《健康保险携带和问责法》规定了为了研究目的,授权机构使用和披露的受保护的“个人健康信息”所必须满足的条件;1999年,联邦致力于金融服务现代化的《格雷姆—里奇—比利雷法案》也对高等教育机构如何收集、存储和使用学生财务状况信息(如学费的支付或资助方式)做出了规定。当然,高校对学生个人信息的保密义务也存在一些例外。校方在管理各类资助项目、学术研究时,基于合法教育目的,可以使用或共享学生的个人信息。
州层面:为个人信息提供差异化的保护路径
除了联邦层面规范之外,高校学生数据隐私保护同时受到了美国各州的高度重视。在各自的管辖权范围内,各州都颁布和实施了规范学校收集、使用行为和维护学生数据安全的政策。自2013年,美国已经有一百六十多部州法提到了学生的隐私权。而宾夕法尼亚州是率先制定《大学安全信息法》(The College and University Security Information Act)的州,为其他州和联邦政府如何制定大学安全政策和程序提供了参考思路。该法第121条规定,任何高等教育机构都有义务向申请进入校园的公民、教职员工或其他雇员、所有的学生提供一份该机构的安全程序资料、一份关于该机构遵守本法的责任说明以及一份针对权益受损时提出申诉的救济程序和对应解决申诉的校园官方的说明;若机构拥有多个校区,则该机构可向学生和就业人员分发仅仅适用于所在校园的信息或适用于该机构所有校园的信息。在该法案中,校区成员是指被录取进入学位或者非学位学习课程的人,并不包括参加非学分课程或函授课程的人。而高等教育机构则涵盖了独立的高等教育机构、社区学院、与国家有关的某个机构或国家系统的某个成员机构。
美国各州对本地高等教育机构学生个人数据的规范体现出了各自的特色。覆盖面最广的当属肯塔基州2014年通过的众议院5号法案,该法强制要求大学/学院创建并执行“(学生隐私)数据安全与泄露补救程序”;要求与高等教育机构订立合同的服务提供商必须在合同中承诺履行上述“数据安全与泄露补救程序”,以保护学生的信息、防止未经授权的数据泄露。同年,密苏里州通过的众议院1873号《学生数据保护法》规定,州教育机构在报告教育进展时只能应用聚类性整体分析数据的方法。[2]从2015年起,路易斯安那州的高等教育机构就应当依法积极地删除受理入学申请时所收集到的各申请人个人信息。2017年,怀俄明州通过立法规定在该州高等教育机构就读的学生对自己在该学校(机构)的网络或提供的电子设备上进行的通信内容均享有隐私权和财产权[3]。 相较于义务教育学校,美国高等教育机构目前在对学生个人信息的管理与利用方面所受到的约束和限制要小得多。截至2018年,美国一共通过了35部州对各自的私立/公立的高等教育机构如何使用学生的数据作出立法规制,当中有12部法案是以高等教育机构的数据管理和学生隐私为主要规制对象,只有4部法律明确禁止大学或学院售卖学生的信息或者要求学生提供社交账户信息。立法规制的缺位事实上豁免了高等教育机构泄露学生个人信息(包括成绩或研究记录在内)时的民事责任。但是随着在线信息技术在高校不断广泛、深入的运用,各州加强对高等教育机构在学生数据信息方面的立法保护已然是大势所趋。
高校层面:细化对数据个人信息的保护规定
根据联邦和所在各州的立法要求,美国的高等教育机构通常都会制定隐私安全政策,并在校园网站的显著位置予以公示。对于学生所享有的(包括隐私权在内的)各项权利,学校在开学之初都会通过各种形式履行告知的义务。例如:未经高校成年学生本人的同意,学校不得向未经授权的第三方披露学生的学业成绩信息。值得注意的是,除了学业成绩这类传统的个人信息之外,各高校对于学生使用电子设备、网络时的隐私安全也都制定了详尽的政策。这些政策对于个人信息的收集、传播相关的程序都做出了规定,并在包括官方网站在内的场所进行了公示。美国俄亥俄州的代顿大学因其教育管理与政策的专业优势而声名远播。下文就以代顿大学为例,来分析该校网络隐私政策的文本内容。
代顿大学的网络隐私政策的前言部分介绍了该政策的目的、通过和修订时间、适用范围、文本中各项人称代词的含义。该隐私政策开篇指出代顿大学致力于隐私和安全,并公开与信息收集和传播相关的所有程序;接着指出网络隐私政策在2008年获得通过,2015年修订;适用于代顿大学官方网站,以及该校面向公众的其他网址。代顿大学的网络隐私政策的正文部分分为以下八个部分:
第一,学校对信息的收集和使用。在某些情况下,学校的网站需要收集可识别的个人身份信息。这些情况包括:登录网站,购买商品或服务,为注册、申请或有关活动提交网上表格,或与学校取得联系。当高校收集您的个人可识别身份信息时用户始终是知情的,因为它们正是通过用户输入或提交的在线表单等用户明知的方式获得的,这些信息可能会被代顿大学用于提供信息或服务。
第二,用户提供给代顿大学的信息。为了给用户提供更佳的服务,学校可能会利用学生在申请入学、注册课程时所提供的个人身份信息。当然,这种行为是遵循了适当的指南,并在必要的限度内对数据的提供和使用。学校可能会利用用户的可识别个人信息来提供信息、服务及营销。
第三,并非由用户主动披露的信息。代顿大学的网站也许会在用户不经意间收集以下个人信息:IP地址,域名,校园网内访问单页的历史,登录和会话的时间,使用的网络浏览器、平台、操作系统和初次造访及离开时的网址(URL)。未经用户主动披露的这些信息一般并非个人可识别信息,但也有可能和个人身份信息结合起来使用。
第四,信息记录程序(Cookies)。为了增进提供的信息和服务的质量,学校的很多网站都使用Cookies。当用户浏览代顿大学网站的时候,投放广告的Cookies也可能会植入用户的电脑以便学校了解用户的兴趣所在。学校的广告合作方会帮助学校根据用户的访问记录,来向用户投放其他网站的广告。
第五,代顿大学传递给他方的信息。[4]在某些情况下,为提供信息及服务,代顿大学可能会向任何本校的部门、办事处或官员传递非个人及可识别个人身份的信息。这些信息包括但不限于:参加在线考试;注册课程;购买产品或者服务;为注册、申请或有关活动提交某些网上表格;或选举利益或偏好。
第六,代顿大学向战略伙伴及其他人披露信息。在某些情况下,代顿大学可能会向战略合作伙伴及其他人提供非个人及可识别的身份信息以做研究、介绍及市场推广之用。
第七,用戶通过代顿大学网站自行向他方披露的信息。某些代顿网站提供的功能可能使用户自己将个人身份信息传递给他人。这些功能包括但不限于:为他人发布自己的个人简介;上传作品,然后将其提供给其他人;或参与课程作业、咨询、社区建设和由他人审阅的其他活动。当您通过在线表单或类似方法输入和提交个人身份信息时,用户将始终意识到自己正在向他人传播个人身份信息。
第八,安全声明。为了防止个人身份信息的丢失、滥用、盗窃或未经授权的访问以及保护提供的所有信息和服务的整体完整性,代顿大学的网站和相关系统将保持严格的安全措施。虽然已采取适当措施保护个人身份信息,但代顿大学不能保证这些信息永远不会以与本政策不一致的方式被披露。
启示
大数据时代,防范数据泄露与滥用风险是中美高校共同面对的问题。近几十年来,美国对学生隐私权保护的立法和实践经验,可以为我国高校与时俱进地构建完善的学生个人信息保护机制提供可资借鉴的方法及路径。本文认为,美国学生隐私权的保护经验至少有以下三点值得我们借鉴:
第一,从立法的高度统一认识。美国联邦《家庭教育权和隐私权法案》作为该国首部确立学生隐私权的法律,明确了父母对其孩子的数据信息所享有的家长权,规定了学校可以未经学生及其监护人同意披露信息的某些具体特定情况;《健康保险携带和问责法》《格雷姆—里奇—比利雷法案》则分别对个人健康信息与财务信息的收集、存贮与使用作出了明确的规定。令人遗憾的是,我国对个人信息权的保护仅限于《刑法修正案(七)》中增设的侵犯公民个人信息罪和《民法总则》第111条当中的概括规定,《个人信息保护法(草案)》从2008年呈交国务院之后再无下文。在大数据背景下,通过立法提高社会对保护个人信息的权利意识,规范政府、事业单位和企业处理个人信息时的行为,对于降低高校面临的数据泄露风险、防止诉讼负累无疑具有重要的意义。
第二,逐步完善和扩大保护范围。纵观美国对学生个人信息的保护,从义务教育阶段逐步扩大到高等教育阶段;从传统的“教育记录”到“可识别的个人信息”;从单纯的学校责任到学校与合作第三方的共同责任,这一保护体系的建立并不是一蹴而就的。时至今日,美国伊利诺伊州提出的禁止向高等教育机构提供在线信息服务的供应商参与向用户提供定制广告、生成学生个人肖像、贩卖学生信息一项法案仍然未获通过。这提示我们对个人信息的保护要随着时间、民意和技术条件的成熟逐步推进。在大数据时代,网民的个人信息是众多企业和公司投放精准化广告的重要基础,立法部门加强对数据信息行为的规范必然会导致这些利益相关者的抵制和反对。但是在这种条件下,我们就更要重视对个人信息,尤其是广大学生的“可识别个人信息”的保护,不指望一步到位,但也“勿以善小而不为”。 第三,高校要制定并公布个人信息保护政策。每当笔者在美国高校的网页浏览时,都会轻易地发现这些学校所制定的个人信息/隐私政策。正如代顿大学的政策一样,它们的规范都非常细化,仅在数字信息方面就有专门的电子产品和网络的隐私政策,分别对在不同数字环境下个人信息的收集、存储和使用做出了规范。这些政策的公布可以让用户或学生清楚地知道自己的个人信息是在何种情况下被收集、传递和利用的。反观我国高校,对以学生个人信息为主的各类数据信息的管理还处于一种非常粗放的状态。在大数据背景下,国内高校对个人信息的收集、保管和利用制定保护政策不仅有利于避免高校自身面临的数据风险,对整个教育产业的发展都将具有十分重要的现实意义。
本文系国家自然科学基金青年项目“中国背景下的伦理想象研究”(项目编号:71562017)的阶段性研究成果
参考文献:
[1]杜红原.隐私权的判定—“合理隐私期待标准”的确立与适用[J].北方法学,2015,9(6):22-28.
[2] Legislative History of Major FERPA Provisions[EB/OL].(2004-02-11)[2019-05-29].https://www2.ed.gov/policy/gen/guid/fpco/ferpa/leg-history.html.
[3]王正青.大數据时代美国学生数据隐私保护立法与治理体系[J].比较教育研究,2016,38(11):31.
[4] Privacy Laws Protecting Student Data | EDUCAUSE[EB/OL].(2018-01-29)[2019-06-30].https://er.educause.edu/blogs/2018/1/privacy-laws-protecting-student-data.
[5] Privacy & Terms : University of Dayton, Ohio[EB/OL].(2015-12-17)[2019-06-30].https://udayton.edu/terms/index.php.
(作者单位:姜晓川、戴雅欢,江西师范大学政法学院;杨建锋,江西财经大学管理学院)
[责任编辑:于 洋]
转载注明来源:https://www.xzbu.com/9/view-15171270.htm
