在信息化社会的推动下,教育行业正经历着一场革命性的变革。大数据、云计算、人工智能等先进技术在教育场景下得到了广泛应用。从校园管理系统到在线教育平台,大量的教育数据正被生产、处理和传输,这其中不仅包括了学生的个人信息、学习轨迹,还包括了教师的教学方法、学术研究数据等多种敏感和重要的信息资源。
教育领域的数据保护具有其独特性。例如,教育数据的主体通常为未成年学生,其信息多为敏感信息,包括成绩、行为记录等;教育数据的应用场景复杂,如需用于教学改进、课程开发、科研等多种目的;教育数据保护涉及到多方利益主体,如学校、教师、学生、家长、教育技术提供商等。
针对不同的教育主体及不同的教育场景,哪些属于数据保护的范围及常见形式,现行法律对教育数据处理有何特别规定及规定了哪些法律责任,实践中学校及其他教育机构应采取哪些具体措施对教育数据进行保护等等,这些都是在确保教育创新的同时,为了保护好每一个个体的数据安全需要深入探讨的问题。
一、教育数据的常见形式及典型场景
(一)教育数据常见形式
1.未成年人信息
《个保法》第二十八条规定,不满十四周岁未成年人的个人信息均为敏感个人信息,需要适用敏感个人信息的特殊处理规则。处理信息需要具备特定目的和充分必要性、需要取得监护人同意,征求同意时应当告知处理敏感个人信息的必要性以及对个人权益的影响。
除《个保法》有上述规定外,《儿童个人信息网络保护规定》第八条也特别规定,网络运营者应当设置专门的儿童(即不满十四周岁的未成年人)个人信息保护规则和用户协议,并指定专人负责儿童个人信息保护。《信息安全技术个人信息安全规范》第5.4条规定,“收集年满14周岁未成年人的个人信息前,应征得未成年人或其监护人的明示同意;不满14周岁的,应征得其监护人的明示同意。”
2.其他常见敏感个人信息
除未成年人信息外,学校或其他教育机构在处理学生和教职工的信息时,经常会涉及到以下几类敏感个人信息:
(1)个人身份信息:身份证、军官证、护照、驾驶证、工作证、社保卡、居住证等。
(3)个人财产信息:银行账户、鉴别信息(口令)、存款信息(包括资金数量、支付收款记录等)、房产信息、信贷记录、征信信息、交易和消费记录、流水记录等,以及虚拟财产信息。
(4)个人生物识别信息:个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等。
(5)其他信息:性取向、婚史、宗教信仰、未公开的违法犯罪记录、通信记录和内容、通讯录、好友列表、群组列表、行踪轨迹、网页浏览记录、住宿信息、精准定位信息等。
3.线上教学平台数据
(1)学生和教师信息:平台上常见的个人信息包括姓名、联系方式、学历、成绩和作业提交记录等。还有一些交互性功能,如在线聊天、视频通话和屏幕共享,都可能涉及个人隐私的泄露。
(2)课程和学习资料:学生们在平台上可能会接触到付费内容、教学视频、电子书籍和测验。对于这些资料的访问和使用记录,平台都有可能进行收集和分析。
(3)行为轨迹与偏好:平台往往会追踪学生的学习行为、课程浏览历史、测试成绩和互动情况,从而分析学生的学习习惯和偏好,为他们推荐合适的内容。
(二)典型场景
1.学生个人信息保护之典型场景
(1)入学信息申报:新生入学时,学校通常需要收集学生的基本信息,如家庭住址、父母姓名、联系方式等。这些建档的信息都涉及个人隐私。
(2)学生病假管理:学生在请病假时,可能需要提供医疗证明、病情描述等,这些信息都包含学生的健康数据。如若是不满14周岁的未成年学生申请病假时,学校向学生或其监护人收集的病假单信息为敏感个人信息,需要单独取得监护人同意。
(3)课堂视频录像和在线学习:随着远程教育和在线学习的普及,视频录制和学生的在线行为数据可能被收集。
(4)门禁和监控系统:学校的安全系统可能会通过门禁卡或面部识别技术来识别学生。
(5)学生行为和纪律记录:学校可能会记录学生的行为表现,包括违纪记录、表彰记录等。
2.教职工个人信息保护的典型场景
(1)员工招聘:招聘时,学校通常会收集候选人的个人信息,如教育背景、工作经历、健康状况等。
(2)日常管理:教育机构需要在日常管理中对教职工个人信息进行规范管理,管理过程中可能涉及对教职工个人信息的分析。
(3)内部调查:企业在进行内部调查中可能涉及到收集和处理员工个人信息。
3.线上培训平台数据保护的典型场景
(1)学员注册信息收集:在学员进行在线培训注册时,通常需要提供个人信息,如姓名、联系方式、支付信息等。
(2)培训内容和学习进度跟踪:为了提供个性化的学习经验和评估学员的学习效果,培训平台可能会跟踪学员的学习内容、进度和成绩。
(3)实时互动和讨论:很多在线培训课程都包括实时视频教学和学员之间的互动讨论。
(4)学员反馈和评价:在线培训平台通常会邀请学员对课程和教员进行反馈和评价。
(5)第三方工具和插件的整合:为了提供更丰富的学习体验,一些在线培训平台可能会整合第三方的工具和插件,如测试工具、互动讨论板等。
4.国际教育数据跨境的典型场景
随着全球化的进程,国际教育交流日益增多,有越来越多的中国大陆学生选择去境外学习,这中间涉及到的教育数据跨境流动也日益增多。当境外学校招收中国大陆的学生时,通常需要收集学生的个人信息,包括但不限于姓名、出生日期、家庭地址、学习成绩等。这些数据会被保存在境外服务器中,有时也可能会被共享给其他教育机构或服务提供者。
关于境外学校在收集、分析、处理中国大陆学生的信息是否需要遵循中国大陆法律的问题,理论界观点不一。根据《个保法》第三条第二款的规定,“在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,有下列情形之一的,也适用本法:(一)以向境内自然人提供产品或者服务为目的;(二)分析、评估境内自然人的行为……”大多数观点认为,当学生在境外就学时,此时学生不属于境内自然人,因此不落入前述第三条第二款的范围,不需要遵循《个保法》规定。但是,如若学生尚未出境,学校或教育机构处理数据的行为被认定为“以向境内自然人提供教育服务为目的”,则很可能会落入上述第三条第二款第(一)项的适用范围。但如何认定“以向境内自然人提供教育服务为目的”,各地主管部门口径不一,有待进一步实践检验。
学术研究中的数据共享已成为当今学术界的主流趋势,其促进了跨学科合作、验证研究结果的可重复性以及新的研究发现。数据共享允许来自不同背景和专业的研究者共同研究,从而达到解决更为复杂的问题。当研究数据公开共享,它为外部的学者提供了检验、验证原始研究结论的机会。另外,其也避免重复收集数据,减少浪费,提高研究效率。然而,如果数据不恰当地处理,特别是涉及敏感信息,如医疗记录,可能导致隐私泄露。数据可能被第三方用于商业用途等,也会造成数据滥用的问题。
二、教育数据的特殊保护
(一)敏感个人信息的特殊处理措施
如上所述,学校和教育机构在日常运营管理中需要处理大量的教育数据,且很大部分的数据将落入敏感个人信息的范畴。针对这些敏感信息,《个保法》、《未成年人网络保护条例》规定了特殊处理措施,具体如下:
1.处理目的受到严格限制。《个保法》第二十八条规定,处理敏感个人信息需要“具有特定的目的和充分的必要性”。
2.应当取得个人的单独同意。个人信息处理者在有一批需要征求个人同意的事项时,应当把包括处理敏感个人信息在内的特殊事项逐一列出,逐项征求个人同意。为实施人力资源管理所必需而处理员工的敏感个人信息时,可以不征求员工同意,但要注意将充分的必要性作为划定处理范围首要因素。处理不满十四周岁未成年人的信息,还需征得其监护人的同意。此外,根据《未成年人网络保护条例》的规定,个人信息处理者不得“强制要求未成年人或者其监护人同意非必要的个人信息处理行为,不得因为未成年人或者其监护人不同意处理未成年人非必要个人信息或者撤回同意,拒绝未成年人使用其基本功能服务。”
3.应当履行更充分的告知义务。根据《个保法》第三十条的规定,除一般处理个人信息需要告知事项外,还需要告知处理敏感个人信息的必要性以及对个人权益可能产生的影响。
(二)线上教学平台数据的特殊处理措施
为应对数据安全问题,国家制定了针对线上教学平台的数据保护法律法规并不断加以完善。例如,《网络安全法》第四十条到第四十三条规定,网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则并明示目的、方式和范围,并经被收集者同意。网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。此外,网络运营者违规收集信息的,个人有权要求删除;收集信息有误的,个人有权要求予以更正。
综上,线上教学平台的运营者需要落实网络安全主体责任,采取有效措施,防范应对网络攻击,保障系统的平稳、安全运行,防止个人信息泄露、篡改、丢失。发生或可能发生个人信息泄露、篡改、丢失情况的,应立即采取补救措施,并履行告知义务和报告义务。教育App和后台系统应当统一落实网络安全等级保护要求;建立覆盖个人信息收集、储存、传输、使用等环节的数据保障机制,保护用户隐私。
(三)法律责任及风险
违反数据安全和个人信息保护义务可能涉及到民事责任、行政责任和刑事责任。我们将各法律法规所涉的法律责任总结如下:
《个保法》第六十六条、第六十九条[1]规定,个人信息处理者须证明自己对于个人信息权益的损害没有过错,否则应当承担包括停止侵害、排除妨碍、赔偿损失、赔礼道歉等在内的法律责任。对于违反《个保法》的行为,主管部门将责令改正,给予警告,没收违法所得;拒不改正的,对法人主体和直接责任人员处以罚款,记入信用档案,并予以公示。构成犯罪的,依法追究刑事责任。
《网络安全法》第五十九条、第六十四条[2]规定,网络运营者不履行网络安全保护义务、侵害个人信息依法得到保护的权利的,由有关主管部门责令改正,给予警告,并视情节处以没收违法所得、罚款等处罚。
三、数据保护之合规建议
(一)整体合规建议
1.全面梳理与分类管理
(2)信息分类:不同的数据应该受到不同级别的保护。例如,公开数据如学术论文可能不需要高级别的安全措施,而涉及到教职工薪资、学生家庭情况的内部数据则需要更高的保护。而对于如健康状况、性取向和宗教信仰等敏感信息,应确保遵循严格的存储和处理要求,防止其被非法获取或滥用。
(3)敏感信息的识别:敏感信息,如健康状况、性取向和宗教信仰等,需受到特别的保护。
2.告知与获得同意
(1)数据处理政策:每个机构都应制定并公开一个明确、完整的数据处理政策。这个政策应该详细说明数据如何被收集、存储、使用和共享。所有数据主体都应该有机会查看这一政策,并在其基础上做出知情同意。
(2)获取同意:除了某些特定的法律例外情况,机构在收集或处理数据前应确保已获得数据主体的明确同意。为此,机构应设立简单易懂的同意流程,确保数据主体能够明确知道其数据如何被使用,并有权随时撤回其同意。
3.安全保护措施
数据的安全是法律和伦理的要求。此外,数据泄露还可能导致重大的经济损失和声誉损害。
(1)技术措施:数据应该通过加密、去标识化和其他技术手段得到保护。加密可以确保数据在传输和存储时不被非法获取,而去标识化则可以在不损害数据用途的前提下,降低数据泄露的风险。
(2)安全培训和教育:员工是任何安全策略的关键。个人信息处理者应定期为员工提供关于数据安全的培训和教育,确保每个员工都明白其在数据处理中的角色和责任,以及如何正确、安全地处理数据。
4.数据使用与共享
(1)数据的最小化原则:机构应确保只收集和使用其真正需要的数据。这不仅有助于保护数据主体的隐私,还可以减少数据泄露的风险。
(2)数据匿名化:在可能的情况下,使用匿名化或去标识化的数据,以减少风险。
(3)数据共享原则:在数据共享时,机构应确保接收方有合适的安全措施和政策。此外,数据共享应基于明确的协议,并确保数据只用于经过同意的目的。
5.证据留痕与风险防范
(2)风险评估与管理:通过定期的风险评估,机构可以识别和解决潜在的问题。基于这些评估,机构应制定相应的风险管理策略,确保数据的持续安全。
(二)各典型场景下的具体合规建议
综合上述法律法规要求及我们的实务经验,我们总结了各类教育机构、教学平台在日常工作中可能遇到的数据安全保护典型场景,供参考:
1.学生个人信息保护
(1)入学信息申报:综合上述法律法规要求,教育机构需要明确告知学生和家长数据收集的目的、范围和使用方式。只收集真正必要的信息,并在收集前获得学生或监护人的明确同意。另外,我们也建议学校在入学时准备适用于监护人的个人信息处理告知同意函并要求未成年人监护人填写。
(3)课堂视频录像和在线学习:在线教学平台的运营方应当明确告知学生和家长在线学习平台的隐私政策,仅在必要时收集和存储数据。如若学校引入了该等在线教学平台,也应当监督在线教学平台做好数据保护工作。
(4)门禁和监控系统:教育机构应在设有门禁和监控的地方设置明显的监控提示标识,并确保收集的数据只用于维护公共安全和教学管理目的。
2.教职工个人信息保护
(1)员工招聘:招聘过程中,收集的候选人个人信息应符合正当必要原则,不得过度收集;对候选人进行背调或入职体检中收集候选人的个人信息应当取得候选人的同意;由于候选人不适用企业内部规章制度,需要依据候选人的同意来收集和处理个人信息。在招聘时,建议准备适用于候选人的个人信息处理告知同意函并要求候选人签署。
(2)日常管理:教育机构需要在日常管理中规范对教职工个人信息的管理。其一,需要通过制定劳动规章制度或签订集体合同的方式,确定实施人力资源管理所必需处理的员工个人信息的范围,并写明信息处理目的、方式等内容;员工入职时应当当面签收员工手册、规章制度等;教育机构应当不定时向员工发送电子邮件,在公司或学校网站、办公OA公示等方式保障规章制度的有效性,并留存好送达证据。
(4)数据保存:公司需要采取必要的管理和技术保护措施确保雇员个人信息安全,对于部分信息可考虑进行脱敏处理。劳动合同、工资明细在劳动关系解除后应当至少保存两年,其他数据,建议学校或其他教育机构结合“人力资源管理所必需”的范围判断是否保存;对于达到保存期限的员工个人信息及资料,学校或其他教育机构应采取匿名化或删除等处理措施。
3.线上培训平台数据保护
(1)学员注册信息收集:教育机构应当仅收集进行培训所必需的数据,并确保数据在传输和存储时得到加密保护。同时,明确告知学员数据的使用目的,避免超出此目的范围的使用。
(2)培训内容和学习进度跟踪:平台应确保数据的存储和处理遵循数据最小化原则,并对外部不可识别。在共享或公开学员的学习成果时,应先获得其明确同意。
(5)第三方工具和插件的整合:在线培训平台在整合任何第三方工具前,应对其进行严格的安全审查,并确保它们符合数据保护的标准。同时,明确告知学员这些工具的存在和作用,确保其知情同意。
4.国际教育数据跨境保护
如上所述,境外学校以向境内自然人提供教育服务为目的而在境外处理中国境内学生个人信息的行为可能会落入《个保法》第三条第二款第(一)项的适用范围。因此,境外学校需要按照《个保法》《信息安全技术个人信息安全规范》等法律法规要求收集、使用、删除、分析、储存中国境内学生信息。
[1].《个人信息保护法》第六十六条:“违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
“第六十九条:“处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。”
[2].《网络安全法》第五十九条:“网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。”
违反本法第四十四条规定,窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息,尚不构成犯罪的,由公安机关没收违法所得,并处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款。“