美国高校对个人信息保护的经验与启示
美国高校对个人信息保护的经验与启示
作者:姜晓川 杨建锋 戴雅欢
0451是哪里的区号来源:《北京教育·高教版》2020年第03期
        摘 要:大数据时代,加强对个人信息的保护已经成为摆在各国高校面前一个极具挑战的问题。事实上,美国在个人信息及隐私权保护方面积累了丰富的立法和实践经验。在分析个人信息与隐私等概念异同的基础上,依次介绍了美国联邦层面、州层面促进高校对个人信息进行保护的立法规范,并通过对典型美国高校网络隐私安全政策的文本进行分析,提出了对我国高等教育机构适时采取措施规范个人信息使用行为的几点启示。
初中数学手抄报
        关键词:个人信息;高等教育机构;隐私政策;数据安全
        大数据时代,如何加强对个人信息的保护已经成为摆在高校面前一个极具挑战的问题。由于高校个人信息的收集、存储和利用不再局限于纸质形式,数字和网络的方式已经得到了广泛的运用,这对个人信息的保护与规制提出了新的要求。考虑到美国在个人信息及隐私权保护方面丰富的立法和实践经验,本文在分析个人信息与隐私等概念异同的基础上,依次分析美国联邦层面、州层面的立法以及高校对个人信息的保护政策,以期对我国高等教育机构
提供几点有益的启示。
        高校的个人信息及其性质
        《中华人民共和国民法总则》第一百一十条规定,自然人的个人信息受法律保护。美国《隐私权法》就政府机构对个人信息的采集、使用、公开和保密问题作出了详细规定。可见,中美两国都对自然人的个人信息给予了立法保护。所不同的是,在中国的提法比较多见的是“个人信息权”,隐私权被包含在人格权中并非一项独立的民事权利;美国则从立法到司法都广泛运用“隐私权”的概念,而在大数据时代这些隐私权政策大部分内容都是在规范处理个人信息的行为。毫无疑问,高校在教学管理与科研过程中收集到的数字化个人信息,尤其是“可识别的个人身份信息”在中美两国都作为法定权利获得保护。
        高校大学生的个人信息就是一切识别大学生本人信息的总和。考虑到高校学生绝大多数已是完全民事行为能力人,他们对于个人信息的保护已经具有一定的自觉性,所以即使是在具有丰富隐私权立法经验的美国,对高等教育阶段个人信息的保护力度也远不及义务教育阶段。但是,由于包括云计算在内的各类信息技术手段在高校的日益广泛运用,加强对高校个人信息的保护已经在业界形成共识并在各州逐步推进。值得注意的是,基于美国
的联邦和州平行立法的特点,我们不仅要了解联邦层面对隐私权的保护,同时还要高度重视各州对高校个人信息的规制,它们共同指引着各高等教育机构的隐私政策的制定,进而影响高校处理个人信息的行为。
        联邦层面:为个人信息保护提供统一规范
        在美国,个人信息被认为是“隐私权”的一部分,受到联邦宪法第四修正案的保护。1967年,美国联邦最高法院在凯茨诉美国(Katz v. United States)案中适用联邦宪法第四修正案审理政府侵犯个人隐私权案件时创立了“合理的隐私期待”标准。依据该标准,判定他人是否享有隐私要分两部分:主观要件,即个人的行为是否表现出他确实享有主观的隐私期待;客观要件,即社会是否认可他的隐私期待是“合理的”。从该规则诞生至今,在美国该原则已从宪法领域扩充适用于侵权法领域,并被英国、加拿大、新西兰和欧洲人权法院所吸收、借鉴。[1]
        1974年,联邦《家庭教育权利和隐私法案》的通过,标志着美国第一次确立了对学生隐私权的专门立法保护。该法案前后经过九次修订,最近一次的修改时间是2001年。所有接受联邦资金资助的学校都受《家庭教育权利和隐私法案》的管辖,它规范了学校从学生“
沃尔顿家族教育记录”中披露可识别的“个人身份信息”的范围和界限。教育记录,是指由教育机构或院校或由该等级机构或院校代理人所保存的、载有与学生直接相关的资料的记录,包括学生成绩和纪律记录等。该法案规定,除学生本人、家长、教师以及学校行政管理者外,其他任何第三人不得获取学生的教育记录。对于获准查阅信息的人员,该法要求学校记录所有这些曾查阅学生的教育信息的人员名单以及他们查阅该资料的原因。
        之后,美国联邦1996年的《健康保险携带和问责法》规定了为了研究目的,授权机构使用和披露的受保护的“个人健康信息”所必须满足的条件;1999年,联邦致力于金融服务现代化的《格雷姆—里奇—比利雷法案》也对高等教育机构如何收集、存储和使用学生财务状况信息(如学费的支付或资助方式)做出了规定。当然,高校对学生个人信息的保密义务也存在一些例外。校方在管理各类资助项目、学术研究时,基于合法教育目的,可以使用或共享学生的个人信息。
        州层面:为个人信息提供差異化的保护路径
计算机发展
        除了联邦层面规范之外,高校隐私保护同时受到了美国各州的高度重视。在各自的管辖权范围内,各州都颁布和实施了规范学校收集、使用行为和维护安全
的政策。自2013年,美国已经有一百六十多部州法提到了学生的隐私权。而宾夕法尼亚州是率先制定《大学安全信息法》(The College and University Security Information Act)的州,为其他州和联邦政府如何制定大学安全政策和程序提供了参考思路。该法第121条规定,任何高等教育机构都有义务向申请进入校园的公民、教职员工或其他雇员、所有的学生提供一份该机构的安全程序资料、一份关于该机构遵守本法的责任说明以及一份针对权益受损时提出申诉的救济程序和对应解决申诉的校园官方的说明;若机构拥有多个校区,则该机构可向学生和就业人员分发仅仅适用于所在校园的信息或适用于该机构所有校园的信息。在该法案中,校区成员是指被录取进入学位或者非学位学习课程的人,并不包括参加非学分课程或函授课程的人。而高等教育机构则涵盖了独立的高等教育机构、社区学院、与国家有关的某个机构或国家系统的某个成员机构。
        美国各州对本地高等教育机构学生个人数据的规范体现出了各自的特。覆盖面最广的当属肯塔基州2014年通过的众议院5号法案,该法强制要求大学/学院创建并执行“(学生隐私)数据安全与泄露补救程序”;要求与高等教育机构订立合同的服务提供商必须在合同中承诺履行上述“数据安全与泄露补救程序”,以保护学生的信息、防止未经授权的数据泄露。同年,密苏里州通过的众议院1873号《保护法》规定,州教育机构在报告教
育进展时只能应用聚类性整体分析数据的方法。[2]从2015年起,路易斯安那州的高等教育机构就应当依法积极地删除受理入学申请时所收集到的各申请人个人信息。2017年,怀俄明州通过立法规定在该州高等教育机构就读的学生对自己在该学校(机构)的网络或提供的电子设备上进行的通信内容均享有隐私权和财产权[3]。
        相较于义务教育学校,美国高等教育机构目前在对学生个人信息的管理与利用方面所受到的约束和限制要小得多。截至2018年,美国一共通过了35部州对各自的私立/公立的高等教育机构如何使用学生的数据作出立法规制,当中有12部法案是以高等教育机构的数据管理和学生隐私为主要规制对象,只有4部法律明确禁止大学或学院售卖学生的信息或者要求学生提供社交账户信息。立法规制的缺位事实上豁免了高等教育机构泄露学生个人信息(包括成绩或研究记錄在内)时的民事责任。但是随着在线信息技术在高校不断广泛、深入的运用,各州加强对高等教育机构在信息方面的立法保护已然是大势所趋。
        高校层面:细化对数据个人信息的保护规定
保险代理人        根据联邦和所在各州的立法要求,美国的高等教育机构通常都会制定隐私安全政策,并在校园网站的显著位置予以公示。对于学生所享有的(包括隐私权在内的)各项权利,
学校在开学之初都会通过各种形式履行告知的义务。例如:未经高校成年学生本人的同意,学校不得向未经授权的第三方披露学生的学业成绩信息。值得注意的是,除了学业成绩这类传统的个人信息之外,各高校对于学生使用电子设备、网络时的隐私安全也都制定了详尽的政策。这些政策对于个人信息的收集、传播相关的程序都做出了规定,并在包括在内的场所进行了公示。美国俄亥俄州的代顿大学因其教育管理与政策的专业优势而声名远播。下文就以代顿大学为例,来分析该校网络隐私政策的文本内容。
        代顿大学的网络隐私政策的前言部分介绍了该政策的目的、通过和修订时间、适用范围、文本中各项人称代词的含义。该隐私政策开篇指出代顿大学致力于隐私和安全,并公开与信息收集和传播相关的所有程序;接着指出网络隐私政策在2008年获得通过,2015年修订;适用于代顿大学,以及该校面向公众的其他网址。代顿大学的网络隐私政策的正文部分分为以下八个部分:
        第一,学校对信息的收集和使用。在某些情况下,学校的网站需要收集可识别的个人身份信息。这些情况包括:登录网站,购买商品或服务,为注册、申请或有关活动提交网上表格,或与学校取得联系。当高校收集您的个人可识别身份信息时用户始终是知情的,
因为它们正是通过用户输入或提交的在线表单等用户明知的方式获得的,这些信息可能会被代顿大学用于提供信息或服务。
        第二,用户提供给代顿大学的信息。为了给用户提供更佳的服务,学校可能会利用学生在申请入学、注册课程时所提供的个人身份信息。当然,这种行为是遵循了适当的指南,并在必要的限度内对数据的提供和使用。学校可能会利用用户的可识别个人信息来提供信息、服务及营销。
        第三,并非由用户主动披露的信息。代顿大学的网站也许会在用户不经意间收集以下个人信息:IP地址,域名,校园网内访问单页的历史,登录和会话的时间,使用的网络浏览器、平台、操作系统和初次造访及离开时的网址(URL)。未经用户主动披露的这些信息一般并非个人可识别信息,但也有可能和个人身份信息结合起来使用。
        第四,信息记录程序(Cookies)。为了增进提供的信息和服务的质量,学校的很多网站都使用Cookies。当用户浏览代顿大学网站的时候,投放广告的Cookies也可能会植入用户的电脑以便学校了解用户的兴趣所在。学校的广告合作方会帮助学校根据用户的访问记录,来向用户投放其他网站的广告。
        第五,代顿大学传递给他方的信息。[4]在某些情况下,为提供信息及服务,代顿大学可能会向任何本校的部门、办事处或官员传递非个人及可识别个人身份的信息。这些信息包括但不限于:参加在线考试;注册课程;购买产品或者服务;为注册、申请或有关活动提交某些网上表格;或选举利益或偏好。
        第六,代顿大学向战略伙伴及其他人披露信息。在某些情况下,代顿大学可能会向战略合作伙伴及其他人提供非个人及可识别的身份信息以做研究、介绍及市场推广之用。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。