学校对学生个人信息保护的不足与完善
来源:用户上传
作者:郑朋树
摘要:我国法律中专门保护学生个人信息的条款不多,这是导致学生个人信息泄露事件多发的一个原因。学校在保护学生个人信息方面也存在不足,主要有:对学生个人信息保护意识不到位、缺少相应的保护机制、网络系统安全技术水平低、对学生教育不够。学校应学习我国台湾地区创立的用来保护学生个人信息的制度,同时要主观上认识到保护学生个人信息的重要性,并目进一步提高网络安全技术水平和加强对学生保护个人信息的教育。
关键词:学生个人信息保护 不足 完善
近年来,学生信息泄露事件多发,学生信息安全面临越来越严峻的挑战。2016年8月山东临沂准大学生徐玉玉个人信息泄露遭遇电信诈骗,因悲伤过度而离世。2017年11月,安徽省近7万条学生信息被泄露。2018年9月,常州大学怀德学院有超过2600名学生的个人信息遭到泄露。这些事件引发了公众对学生信息保护问题的关注。学生信息泄露后,轻则会收到一些培训机构的短信或是骚扰电话,重则会引发诈骗案件带来更为严重的后果。
一、学生个人信息法律保护的现状
我国法律对个人信息的保护经历了保护隐私权、人格权等间接保护变为现在的直接保护的过程。在我国,对个人信息进行了概念界定的法律、法规、司法解释主要有:《网络安全法》《电信与互联网用户个人信息保护规定》、最高法和最高检联合颁布的《关于依法惩处侵犯公民个人信息罪活动的通知》。此外,行业规范性文件和指导文件也对个人信息进行了界定,如中国工业和信息化部颁布的《信息安全技术公共及商用服务信息系统个人信息保护指南》和全国信息安全标准化技术委员会颁布的《信息安全技术个人信息安全规范》。
学生个人信息是指可以用来识别某个学生的信息,包括“隐私、活动、空间”三种形态。隐私是指学生不愿公之于众的信息,活动是指学生参与的一些行为,空间是指学生享有的仅及于自身的领地。具体来说,学生基本情况信息包括姓名、性别、年级、电话号码、电子邮箱、家庭成员姓名等;学生的健康信息包括血型、就诊记录、患病信息等;学生的学业信息包括成绩情况、奖惩情况等;学生的生活消费信息包括学生的消费、购物、上网习惯等。学生的个人信息具有资源属性和财产属性。
保护学生个人信息的法律分为两类。一类是保护我国公民个人信息的法律,同样适用于学生个人信息的保护。还有一类是专门保护学生个人信息的法律。
1.保护个人信息的通用法律
《网络安全法》是传统领域之“特别法”,也是网络领域之“基本法”。该法规定了网络运营者收集、使用个人信息要遵守合法、正当、必要、明示原则,禁止对收集到的个人信息进行毁损、泄露、篡改,将窃取或者以其他非法方式获取个人信息的行为认定为违法行为。我国民法、刑法、行政法都有保护公民个人信息的相关规定。《刑法修正案九》新设侵犯公民个人信息罪,对向他人出售或者非法提供公民个人信息的行为进行打击。《民法总则》明确规定法律要保护自然人的个人信息。行政法对个人信息的保护呈现出片面和分散状态,可将其归纳为“总体规范性文件+分行业法规、规章”的模式。《护照法》《统计法》《旅游法》《消费者权益法》《社会保险法》《身份证法》均规定:对有关单位和个人因履职收集到的公民个人信息负有保密的义务。此外,行业规范性文件和指导文件也对个人信息保护有所规定。
2.保护学生个人信息的单独法律
教育部2014年11月发布的《中等职业学历教育学生学籍电子注册办法(试行)》规定:各级教育行政部门和学校建立安全组织机构不得以任何形式公开展示、发布或分发学生个人信息,不得用于营利性活动。教育部办公厅在2017年11月下发了《关于全面清理和规范学生资助公示信息的紧急通知》,规定公示受资助学生的信息时,只能公示学生的姓名、学校、院系等基本信息,不得将学生的电话、身份证号码、出生年月、家庭地址等敏感信息公示。《教育部办公厅关于2017-2020年开展示范性虚拟仿真实验教学项目建设的通知》规定:仿真实验教学项目平台的建设过程中,要注重对学生个人信息的保护。《人力资源和社会保障部办公厅、教育部办公厅关于做好未就业普通高校毕业生信息衔接工作的通知》规定:人力资源社会保障部门及其所属公共就业人才服务机构不得泄露学生个人信息。此外,一些地方性规章也有保护学生个人信息的相应规定,如《成都市教育系统网络与信息安全管理办法》第三条就是保护学生个人信息的规定。
二、学校在学生个人信息保护工作中存在的不足
1.学校对保护学生个人信息不够重视
我国的《教育法》《义务教育法》《职业教育法》《高等教育法》等教育法律中没有专门保护学生个人信息的条款,因此长期以来学校工作人员对个人信息缺乏保护意识。学校在平时教学管理过程中侵犯学生个人信息的事件时有发生,学生个人信息保护问题并没有引起学校足够的重视。有些学校在对获得奖学金或是助学金的学生进行公示时,没有对学生的身份证号等信息进行处理,直接造成了学生个人信息的泄露。除了大学,一些中小学在管理及公示学生信息时也会犯一些习惯性的错误。有些学校还存在漠视或故意侵害学生个人信息的现象。
2.学校缺少学生个人信息保护机制
学校在收集和使用学生信息时,应征得学生的同意。学生有权决定是否提供信息以及提供哪些信息,事实上,学校在收集和使用学生个人信息时并没有征求学生的意见。学生对学校收集的个人信息有要求修改、补充、删除的权利,但事实上,一旦信息被学校收集后,信息的使用就不受学生个人控制,有的学校会不正确使用学生个人信息。在信息化时代,记载学生个人信息的档案由纸质升级为电子。电子档案的扩散性更强,如果泄露,对学生的影响也会更大。很多学校的电子档案管理制度缺少学生个人信息使用范圍、留存期限、调取权限的规定。档案保管人员存在对利用者不核实身份、允许利用者进入档案室、允许利用者整页复印学生名册等问题。学校有义务采取措施来保障学生个人信息安全。目前,很多学校缺乏严格、规范的学生信息安全保密制度。 3.学校网络系统安全技术水平低
随着网络的普及,很多学校都建立了校园网络。网络有利于师生获取信息,但网络安全问题也给学校带来了困扰。学校网络硬件设备如果缺少日常维护,再加上环境的影响,很容易受到损坏。一些软件在设计过程中没有考虑到加密和访问权限等问题,很多学校缺少对学生个人信息进行保护的安全防护措施,使得网络上的一些学生个人信息容易被非法使用者访问。
学生的个人信息存储在服务器上,如果服务器防护措施缺失,被黑客或其他违法者侵入,势必会造成大量学生信息泄露。苏州某大学把学生的姓名、银行卡卡号及密码放在同一个文档之中,被犯罪分子通过网络窃取,并转走了银行卡中的20多万元奖学金闭。
4.学校对学生个人信息保护教育不够
在中小学,迫于升学压力和教学计划所限,很少有学校专门开设信息保护的课程。虽然大部分高校开设有个人信息保护的课程,但从教学内容、教学方法、教学效果来看,远没有达到预期效果。学校个人信息保护的课程大多为通识课,学校和老师都不是很重视,教学方法以理论讲授为主,缺少防范信息泄露技能的训练,很难提高学生个人信息自我防范意识和能力。另外,很多学校还存在压缩这门课的教学时间的现象。
三、完善学生个人信息保护工作的策略
1.加强学校工作人员学生个人信息保护意识
学校要定期组织对能接触到学生个人信息的人员学习我国保护公民个人信息的法律、法规。学校工作人员向他人出售或者非法提供学生个人信息,构成侵犯公民个人信息罪,如果这些学生信息是学校工作人员在履行职责或者提供服务过程中获得的,要比照侵犯公民个人信息罪从重处罚。如果学校工作人员出售或非法提供学生的健康生理信息达到“500条”以上或违法所得5000元以上属于侵犯公民个人信息罪中的“情节严重”,如果是其它学生信息“5000”条以上是“情节严重”,要被法院判处三年以下有期徒刑或者拘役。
法律的惩处是借用外力来促使学校工作人员加强保护学生个人信息,学校工作人员更应从内心来认识到保护学生个人信息的意义,从主观上提高保护学生个人信息的意识。
2.完善学校学生个人信息保护机制
我国台湾地区保护学生个人信息的法律比较完备,主要有:《个人资料保护法》《个人资料保护法施行细则》《私立高级中等以下学校及幼儿园个人资料档案安全维护实施办法》《私立专科以上学校及私立学术研究机构个人资料档案安全维护实施办法》。其中对学校提出的要求主要有:第一,总体要求。学校必须制订学生个人信息保护的规章制度,以防止学生个人信息被窃取、窜改、毁损、灭失、泄露。学校应以必要为限,确定收集、处理及利用学生个人信息的类别和范围。学校应对学生个人信息定期清理,如发现期限已满而无保留必要的信息应予删除或销毁。第二,学生个人信息管理人。由校长或由校长指定专人担任学生信息管理人。信息管理人的主要工作是制订和执行学生个人信息维护制度,定期向校长提出学生个人信息维护情况书面报告。第三,应变机制。学校应制订应变机制,以应对侵害学生信息事故。应变机制包括:采取适当措施,控制事故对当事人造成的损害;查明事故发生原因及损害状况,并以适当方式通知当事人;研究改进措施,避免事故再度发生。第四,信息管理机制。给所属人员设定不同的权限,以控管其接触学生个人信息的范围和类别,并定期确认权限内容之适当性及必要性;检视各相关业务的性质,规范个人资料收集、处理及利用等流程的负责人员;要求所属人员妥善保管学生个人信息的储存媒介物,并约定保管及保密义务;所属人员离职时取消其识别码,并应要求将执行业务所持有的学生个人信息(包括纸本及储存媒介物)办理交接,不得携离使用,并应签订保密书。此外,这些法律中还创设了学校业务终止后学生个人信息处理制度、学生个人信息安全稽核机制等。
收集学生个人信息,学校应遵守合理范围原则和告知原则,收集信息时必须告知学生收集信息的目的和使用范围,必须建立学生个人信息保护机制。在我国还没制定《个人信息保护法》的前提下,可以学习我国台湾地区的经验,单独制定学生个人信息保护的法律体系,以保护学生个人信息的安全,有效维护学生合法权益。首先,要明确学生个人信息保护的标准和基本原则,主要原则有:学生利益最大化原则、使用限制原则、参与原则;其次,要明确学校在学生信息保护方面的权利和义务;再次,学校应建立专门的学生信息管理机制,制订学生信息安全保密制度和网上管理制度,严防“入侵者”非法获取学生个人信息。
3.提高学校网络系统安全技术水平
网络安全技术对于保护学生个人信息发挥着重要作用,是学生个人信息的网上屏障。学校应加大对网络安全技术的投入,引进高素质的网络技术人才,进一步提高学校网络的安全性。学校要对校园网络系统进行安全配置,设置专人来维护和完善网络系统。学校还应通过加强应用系统授权管理和加强运营商网络管理来强化网络技术安全防范。
4.增强对学生个人信息保护意识教育
网络时代,个人信息很容易被滥用。学生信息安全意识淡薄,经常在不经意间把个人信息泄露出去。贪图一些小礼品,在街上行走时学生会填写不明来历人员递过来的调查表,填上个人详细信息,造成个人信息的泄露。学生在网上学习、娱乐、购物过程中,网站会要求他们提供一些个人信息,学生天真单纯、涉世未深,自我保护意识不强,大多会将个人乃至家人的信息填写上去。这些信息一旦脱离了信息主体的控制,就会被信息控制者随意地利用、传播,从而影响学生的正常生活。
学校要经常教育学生注重个人信息的保护。学校是培育现代公民的地方,更是训练公民维权意识的地方。在學校使用学生个人信息的同时,更要运用多种方式强化学生保护自身信息的能力和意识。学校要开设学生个人信息安全教育的课程,并纳入到正常的教学计划中。要系统地向学生讲授如何保护个人信息,建立学生个人信息安全教育的长效机制。
转载注明来源:https://www.xzbu.com/9/view-15065848.htm