欧美学生数据隐私保护立法与实践分析

摘要：学生数据是教育数据的重要组成部分，在支撑教育决策、改进课堂管理、推送个性化路径等方面得到了广泛应用。然而，实践中出现了很多侵害学生数据隐私的问题，造成了不良社会影响，急需政府从立法层面加强保护。在此领域，欧美发达国家已经有数十年的经验，法律和制度都较为健全。针对美国和欧盟学生数据隐私保护立法和实践情况的分析发现，欧美已经建立了相对全面的学生数据隐私保护法律体系，形成了较为完善的隐私保护框架原则，其强调行业自律、全民参与的经验值得借鉴。但是也暴露出一些问题，例如，法律仍旧滞后于实践的需要，数据所有权不明确、处理过程不规范，学生、监护人及其他相关方的数据隐私保护意识薄弱，隐私保护和开放教育数据、学习分析之间存在矛盾等。我国尚处于数据隐私保护的起步阶段，应在汲取欧美国家的经验与教训基础上，提高认识，切实增强全民的法律意识；加快立法，尽快建立完善相关法律制度；加强行业自律，规范市场行为；营造隐私保护的社会大环境，构建多方参与的治理体系。

关键词：欧美；教育数据；数据隐私；隐私保护；立法与实践

一、问题的提出

随着教育信息化特别是智慧学习环境建设工作的推进，教育数据在支撑教育决策、改进课堂管理、提供个性化学习服务等方面得到了广泛应用。然而，各种隐私信息的泄露随之而来，隐私侵权问题成为新挑战。比如，某培训机构收集了14万条学生个人信息，在未取得学生、家长同意的情况下，拨打电话推销教育培训服务（国家市场监督管理总局，2020）。又如，某大学泄露了50余名本校学生的个人信息，这些信息均被一家企业所利用，伪装成在这家企业兼职的大学生，利用大学生的身份来达成偷逃税款的目的（陈禹潜，2020）。这类事件屡见不鲜，几乎成为常态。而大多数学生仍旧是未成年人，隐私数据的泄露可能会对他们后几十年的成长、就业和生活产生重大影响。因此，对学生个人数据隐私的保护非常重要，也十分必要。当前，我国在个人信息/隐私保护方面的法律法规正在逐步完善。宪法第38条、第40条规定，“公民的人格尊严、通信自由和通信秘密受法律的保护”。2009年的《侵权责任法》第36条规定，“网络用户、网络服务提供者利用网络侵害他人民事权益的，应当承担侵权责任”。2015年颁布的刑法修正案（九）第253条、第286条规定了对向他人出售、窃取或者以其他方法非法获取公民个人信息，以及网络服务者致使用户信息泄露等行为的刑罚处置。2016年通过的《网络安全法》规定了网络上的数据收集、使用及保留的处理方式。2020年出台的《民法典》对隐私权和个人信息保护进行了明确界定。第1032条第2款规定，“隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息”。第1034条第2款和第3款规定：“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息。”“个人信息中的私密信息，同时适用隐私权保护的有关规定。”然而，我国至今尚未形成一个完整的数据隐私保护体系，许多条文规定的内容过于抽象，难以有效执行，且存在重复、交叉，形成了多头执法和多头管理的局面（张彤，2020）。专门法《个人信息保护法》虽然已经公布草案，并提请13届全国人大常委会第22次会议审议，但还未正式颁布。如何协调个人信息保护与促进信息自由流动的关系、保护个人信息和维护公共利益的冲突等法理障碍尚未解决（毛牧然，2020）。从全球范围来看，欧美发达国家在该领域已经有数十年的经验，法律和制度较为健全。美国将个人信息保护纳入隐私权的涵射范围内，其基本立场是反对滥用。从个人权益保护的角度，自然人有权选择披露的信息都在隐私保护范围之内（汤敏，2018）。欧盟明确界定了私密信息标准，原则上禁止对个人私密信息的收集和处理。种族、宗教信仰、犯罪记录、政治观点等均属于禁止收集的私密数据（张新宝，2019）。和欧美相比，我国对隐私权的保护才刚刚起步，保护范围有限，相关政策法律的制定远落后于实践。与此密切相关的学生数据隐私保护，更是从立法到实践都不完善。在此背景下，本研究旨在调查国外学生数据隐私保护立法和实践现状，梳理欧美学生数据隐私保护的法律法规及其适用范围、立法产生的影响、实践中的原则和方法，以及其治理体系的建构过程等，为推进我国的学生数据隐私保护工作提供参考。具体研究问题如下：（1）欧美国家学生数据隐私研究现状；（2）欧美国家学生数据隐私保护的立法和实践经验与教训；（3）对我国相关工作的启示。研究主要从文献和案例两个方面进行：文献研究以WebofScience核心集SSCI数据库为文献来源，以“Student”“Data”“Privacy”为关键词组合检索，获得相关度较高的外文文献30篇作为样本，总结国外学生数据隐私保护研究及实践现状；案例分析则基于立法模式的差异，分别选取美国和欧盟的代表性案例，介绍各国在保护学生数据隐私方面的成熟经验，讨论其中存在的问题。为了方便讨论，本文使用国际通行的术语“数据隐私”作为核心概念，对“信息”和“数据”不作刻意区分，私密信息约等同于私密数据；当自然人为学生时，即为本研究的对象“学生数据隐私”。

二、美国的立法和实践

1.联邦和州层面的立法情况。美国的政治和法律结构较为特殊，在联邦和州两级均有涉及隐私的法律和法规颁布。整个体系比较完善，但又庞杂和交叠。早在1974年，联邦政府就颁布了《隐私法案》（PrivacyAct），保护个人信息不受侵犯。在教育领域，为了适应社会快速发展和技术不断更新的需要，联邦政府又颁布了《家庭教育权利和隐私权法》（FamilyEducationalRightsandPrivacyAct，FERPA），并于2008年和2011年两次修订。该法案赋予家长诸多权利，如，在学生数据的收集和使用中，家长有权审核、修改、删除数据等；学校学生个人信息需得到家长同意；使用方仅可将学生数据用于授权用途（U.S.DepartmentofEducation，2011）。该法案通过家长的介入保护了学生数据隐私，减少了信息泄露和滥用。另一个联邦机构——联邦贸易委员会（FederalTradeCommission，FTC）颁布了《儿童互联网保护法》（Children’sInternetProtectAct，CIPA）和《儿童在线隐私权保护法》（Children’sOnlinePri-vacyProtectionAct，COPPA），以保护儿童在互联网上的个人信息安全，减少网上不良内容对儿童的影响。这两项法案规定了儿童数据的收集范围、收集方式和家长的监管权利，对教育机构和儿童主题的商业网站提出了硬性要求。进入大数据时代后，2015年FTC又颁布了《学生数字隐私和家长权利法》（StudentDigitalPrivacyandParentsRightsAct，SDPPRA），规定了第三方供应商应当遵守的数据保护标准，而且要求在收集和使用（未满18岁或未进入大学的）学生数据前必须获得家长（学生）同意，并禁止利用学生数据从事任何广告或商业活动。美国各州也颁布了州内的学生数据隐私保护法案，如密苏里州的1873号法案（HCSHB1873）、弗吉尼亚州的2350号法案（HouseBill2350）等。加利福尼亚州在2014年通过《加州电子通信隐私法》（CaliforniaElectronicCommunicationsPrivacyAct，CECPA），明确禁止科技公司收集学生信息用于广告和宣传（唐亮，2016），同年，又颁布《学生在线个人信息保护法》（StudentOnlinePersonalInformationProtectionAct，SOPIPA），将学生在社交媒体、互联网站点、在线服务、移动软件上生成的内容列为数据隐私，要求在线服务运营商在一定时限内删除未成年人在网页上的信息（王正青，2016）。从2013年到2019年，美国共有45个州颁布了128部与学生数据隐私相关的法律（DQC，2019），此领域的立法工作趋于完备。2.隐私保护的基本原则。1973年，美国联邦政府健康、教育和社会福利部（DepartmentofHealth,Education,andWel-fare，HEW）首次提出了《公平信息实践》（FairInformationPractices，FIPs）。在此基础上，美国逐渐形成了个人信息保护的五大基本原则：（1）公开性原则，即个人信息处理机构应公开关于个人信息处理的一切政策、流程和处理实践；（2）限制性原则，即个人信息在最少必须原则下收集和处理，信息的收集和使用范围、保存期限和销毁应受到限制；（3）数据质量原则，即机构对个人信息应当准确、完整和适时更新；（4）责任与安全原则，作为数据控制者的机构必须承担个人信息保护的主要责任，要将个人信息保护内化于其业务流程和技术设计中；（5）个人信息权利保护原则，充分保障信息主体的知情权、查询权、异议与纠错权、可转移权等。1997年，联邦政府在《全球电子商务政策框架》中提出了个人隐私保护的原则：告知和许可，即数据采集者应当告知消费者他们在收集什么信息，以及他们如何使用这些数据；数据采集者应向消费者提供限制使用和再利用个人信息的有效手段。美国的数据保护制度立足于保障数据自由市场，经过多年发展，形成了多方平衡的数据保护准则。美国教育界在学生数据隐私保护方面基本取得了共识。除了关注学生隐私数据的保护，还强调数据利用的价值和数据开放的意义，提倡在合理合法的前提下，尽可能发挥数据本身的价值。卓越教育基金会（FoundationforExcellenceinEdu-cation，ExcelinEd）是美国的一个专注提高教育机会、教育创新和教育质量的非营利组织。该组织建议应从数据价值、数据开放、有限存储和使用、准确性和可访问、安全性以及问责制等方面入手推进学生数据隐私保护（ExcelinEd，2017）。致力于推进教育数据应用的民间组织“数据质量运动”（Da-taQualityCampaign，DQC）和“学校网络联盟”（ConsortiumforSchoolNetworking，CoSN）合作，共同了“使用和保护学生个人信息的10项基本原则”（DQC&CoSN，2015），从透明度、治理和数据保护程序等方面对收集和使用学生数据的过程进行了规范。3.行业协会积极参与。除了法律保障，行业自律是学生数据隐私保护的另一种重要方式。一些行业协会自愿加入保护学生数据隐私的活动中。比如美国软件和信息业协会（Software&InformationIndustryAssociation,SIIA）联合“未来隐私论坛”（FutureofPrivacyForum,FPF）发出了《学生隐私倡议书》，详细解释了有关收集和处理学生数据的现行法律和法规，呼吁会员（服务供应商）签署倡议书，遵守“在教育机构、教师或父母/学生授权下，收集、使用、共享和保留学生的个人信息，支持学生/父母访问和更正学生的个人身份信息”等相关规定。截至2020年6月，以谷歌、Coursera等为代表，共有426家美国企业和机构在此倡议书上签名。4.构建多方共治的体系。美国数据隐私方面治理体系最鲜明的特点就是由联邦、州、行业协会及民间组织共同参与。在行政组织架构方面，联邦教育部设立了首席隐私保护官，成立了“隐私保护技术中心”（PrivacyTech-nicalAssistanceCenter，PTAC）等专业机构，向学区学生在线隐私保护指南，为州和地方提供隐私保护咨询和技术支持。大多数州也成立了具有数据隐私治理职能的机构，监督和管理学生数据，如华盛顿州“教育研究和数据中心”（EducationRe-searchandDataCenter，ERDC）、肯塔基州教育和劳动力统计中心（KentuckyCenterforEducationandWorkforceStatistics，KCEWS）、马里兰州纵向数据系统中心（MarylandLongitudinalDataSystemCenter，MLDSC）等，成为美国教育大数据战略的重要组成部分（DQC，2015）。政府以外的协会和民间团体在学生数据隐私保护方面也非常活跃。全美州教育委员会协会（NationalAssociationofStateBoardsofEducation，NASBE）提供服务，帮助各州的教育委员会成员了解数据隐私法规和教育数据的潜在价值，支持教育创新和发展（Gradyetal.，2014）。“未来隐私论坛”（FPF）了《家长保护学生数据隐私手册》，美国软件和信息业协会（SIIA）编制了《学校服务供应商保护学生信息隐私和安全的实践案例》，均依据学生数据隐私保护的法律条款，向家长、学生、服务供应商等相关人员，阐释每个角色应该承担的责任和应有的权利。数据质量运动（DQC）和全国家长教师协会（NationalParentTeacherAssociation，NPTA）合作编制了《家长教育数据指南》，向父母、教育者、决策者解释学校收集教育数据的类型及收集数据的目的。

三、欧盟的立法和实践

1.法律与政策的制定。欧盟是一个包含27个欧洲国家的国际组织，其成员国遵守共同制定的统一法律。在数据隐私保护方面，欧洲一直将隐私视为一项基本人权（Weippletal.，2005）。欧盟《基本权利宪章》的第8条规定：“每个人都有权保护自己的个人数据，”“在相关人许可或法律规定的前提下，为了特定目的对个人数据进行处理，任何人都有权查阅自己的个人数据，并有权要求改正”。《里斯本条约》也明确提出了保护个人数据的权利。1995年欧盟颁布的《数据保护指令》（Directive95/46/EC）规范了个人数据的收集和使用，为欧洲国家立法保护个人数据设立了最低标准。各成员国均根据该指令颁布了各自的个人信息保护法，例如，英国（当时仍为欧盟成员）的《数据保护法》（DataProtectionAct，DPA）、德国的《联邦数据保护法》（FederalDataProtectionAct，FDPA）（刘云，2017）。2016年，欧盟通过了《数据保护通用条例》（GeneralDataProtectionRegulation，GDPR），取代《数据保护指令》。该条例于2018年5月生效，加强了对个人数据的隐私保护，在全球范围内产生了巨大的影响。欧盟在学生数据隐私保护方面尚未专门制定法律和政策，但是GDPR也适用于处理学生数据的机构以及第三方服务商，为其数据业务提供了明确的规范。例如，根据GDPR第8条规定，即便数据主体已经同意，当儿童不满16周岁时，还须获得监护人的同意或授权。同时，GDPR为各国进一步就学生数据隐私保护立法提供了法律依据。2.隐私保护的原则框架。欧盟国家一直以来不断细化和增补数据处理原则，以加强对个人数据的保护力度。GDPR的第5条规定了个人数据的7条处理原则：（1）合法、公正和透明，即个人数据应当以合法、公正、透明的方式处理；（2）限制目的，即收集的数据只能用于限定的目的；（3）数据最小化，即仅收集必要的数据；（4）准确，即个人数据应当准确；（5）留存期限限制，即达成数据处理目的后，在留存期到期后及时清理；（6）完整性和保密性，即采取适当的技术或组织措施，阻止未授权的访问，防止数据被破坏或丢失；（7）问责制，即数据控制者有责任且能够证明自身合规，在必要时提供给监管机构。第26条还规定了“数据保护设计”，即数据控制者应当采取合适的技术（如匿名化）与组织措施，以保障在默认情况下，只有某个特定目的所必要的个人数据被处理。GDPR规定的以上原则也适用于教育领域内的隐私保护。在学生数据隐私保护上，欧盟针对学习分析等具体教育场景，进行了深入的探讨和实践。2014年，欧盟学习分析社区（FP7项目）和SURF基金会联合组织了“学习分析中的伦理与隐私”（Ethics&PrivacyinLearningAnalytics（#EP4LA））研讨会，探讨学习分析中存在的伦理和隐私问题，提出了平衡学习分析与学生数据隐私的相关建议。欧洲委员会资助的学习分析项目LEA’sBOX，提出数据隐私保护必须符合所在国家的法规和欧盟的《数据保护指令》，合法地收集和使用个人数据，并提供适当的隐私保护（Steineretal.，2015）。英国联合信息系统委员会（JointInformationSystemsCommittee，JISC）一直致力于为教育机构提供数字解决方案。该机构邀请教育技术专家和利益相关方编制了《学习分析实践守则》，以支持英国教育机构合法地使用学习分析技术，妥善处理学生数据隐私问题（Sclater，2016）。此外，SURF基金会针对学生数据隐私保护也了一份指导文件，帮助研究者和服务提供商合法处理教育数据（Engelfrietetal.，2015）。3.多国参与的治理体系欧盟的治理体系由欧盟成员国共同参与构建。在组织架构方面，1995年颁布的《数据保护指令》提出，设置“数据保护工作组”（TheArticle29DataProtectionWorkingParty，A29DPWP）作为研究机构，设置欧洲信息保护监督局（EuropeanDa-taProtectionSupervisor，EDPS）作为行政机构，并在欧盟各机构中设立信息保护官（DataProtectionOfficer，DPO）。DPO负责监督机构内部的个人数据处理流程，与EDPS合作，共同推进欧盟机构的数据保护工作。2016年，欧盟又在GDPR第68条规定，设立欧洲数据保护委员会（EuropeanDataProtectionBoard，EDPB）取代之前的“数据保护工作组”。各成员国先后建立了部级数据保护机构。英国设立了信息专员办公室（InformationCommissioner’sOffice，ICO），负责监管数据、编制数据管理规范，以及数据隐私保护的宣传教育。荷兰数据保护局（DutchDataProtectionAuthority，DDPA）、西班牙数据保护局（AgenciaEspañoladeProteccióndeDatos，AEPD）等也相继成立，营造出较为安全的数据环境，促进了数据持有者与使用者之间的交流，有助于解决隐私保护的实际问题。在实施层面，GDPR要求各企业/机构设立数据保护人员，进行文档化管理，明确了数据泄露报告的义务，加强了问责机制；通过扩展“标准合同条款”、明确“有约束力的公司规则”等举措，规范数据的跨境流动。在教育方面，欧盟资助的学习分析社群（LACE）负责推进相关研究和实践。从2014年起，LACE组织了多个关于学习分析道德和隐私（#EP4LA）的工作坊，以提高研究人员对数据道德和隐私问题的认识，在教育活动中合法合理地使用数据。

四、欧美学生数据隐私保护经验及不足

1.可资借鉴的经验。欧美国家在隐私保护领域积累了半个世纪的经验。其在学生数据隐私保护方面，无论是在法律体系，还是在业务实践，均走在世界前列，能够为我国提供可资借鉴的成功经验。（1）构建了相对全面的学生数据隐私保护法律体系美国在联邦和州两个层面都颁布了相关法律，强化企业对学生数据隐私保护的关注度和责任。联邦层面的FERPA和COPPA，针对不同年龄段的学生群体，严格规范了教育机构、网站和应用软件等在线服务商在处理学生数据时的具体行为，赋予学生和家长更多控制个人数据的权利。各州也制定了适应本地的法规和政策。有学者称之为“美国模式”，特点是采取分散立法和行业自律相结合的模式，保护学生数据隐私（魏玉东，2018）。GDPR作为一项对欧盟各国均具有约束力的法规，对同意数据处理、访问个人数据、移植和删除个人数据等进行了详细规范，强调最小程度地使用数据以及具体使用的限制，能够较好地约束教育机构涉及学生数据的活动。同时，在数据处理者（学习分析机构）和数据主体（学生）之间建立了对话机制，降低了数据用于非授权商业目的的风险；并且取得了家长和学生的信任，有利于数据应用生态的建立。这种采取统一立法模式保护学生数据隐私的做法可称为“欧盟模式”。（2）隐私保护框架原则趋于完善1980年，经济合作与发展组织（TheOrganisa-tionforEconomicCo-operationandDevelopment，OECD）了《关于保护隐私和个人数据国际流通的指南》，包含收集限制、目的规范、使用限制等8项隐私保护原则。2005年，亚太经济合作组织（Asia-PacificEconomicCooperation，APEC）了“隐私框架”，提出了各国应遵循的数据隐私保护原则，降低企业应对隐私和个人数据保护的风险。这两者加上GDPR，均对机构收集和使用数据、个人提供和参与数据，以及运行过程的安全性三个方面进行了规范（Hoeletal.，2017），具体见表1。这三个文件或法案的时间前后间隔十多年，相关实践产生了较大变化，后者在前者基础上进行了修正、扩充和完善。三者在“目的规范”等原则上基本一致，但在“收集限制”“个人参与”等原则上具有不同的解释（Hoeletal.，2017）。例如，OECD的“收集限制”原则在GDPR中被细化成“数据最小化”，OECD的“个人参与”原则在APEC文件中修订成“访问和更正”原则等，GDPR还额外提出了“数据保护设计”和“默认”原则。各种原则的逐步细化，意味着数据隐私保护逐渐实现了制度化和系统化，GDPR在应对大数据挑战方面做了更全面的准备，赋予个人更多的自我保护权力。（3）充分强调行业自律最近几年，美国出现了一些涉嫌侵犯学生数据隐私的典型事件，造成了较大的负面影响。如，InBloom教育科技公司被曝光采集和向第三方分享学生个人隐私；课堂学生行为跟踪软件ClassDojo过度采集学生信息，扫描学生电子邮件。在各界的推动下，美国教育信息化产业提高了对学生数据隐私保护的关注度。企业和教育机构开始反思运营中存在的数据隐私泄露问题，加强学生数据保护。通过行业自律保护学生数据隐私（通过制定企业的行为准则，约定民间认证制度等方式），有助于避免对数据流动的过度干预，达成经济利益和安全利益的双赢（王瑞，2018）。（4）构建全民参与的生态美国的学生数据隐私保护治理体系，是由联邦、州、行业协会，以及民间组织共同参与，形成了全民参与、多方合作的局面。“卓越教育基金会”（ExcelinEd）、“数据质量运动”（DQC）和“学校网络联盟”（CoSN）提供了原则框架，还有全国家长教师协会（NPTA）等越来越多的组织加入进来，构建全民参与的生态。欧盟的数据隐私治理体系除了自上而下的模式，也有诸多来自不同欧盟成员国的研究者的参与。为了解决数据利用和数据隐私之间的矛盾，欧盟资助了各种社群，开展了多个工作坊，共同探讨如何在道德和法律下合理使用学生数据，提高教学质量，体现数据价值。2.存在的问题。欧美国家现行的法律法规及全社会参与的治理体系在一定程度上保护了学生数据隐私，但数据隐私风险仍然存在。关于学生数据的隐私保护，欧美国家还普遍存在以下突出问题。（1）法律仍旧滞后于实践的需要美国早在1974年就颁布了FERPA，欧盟也相继推出了Directive95/46/EC和GDPR。但是，对FERPA的批判表明，在学习分析和教育数据挖掘的背景下，如何定义教育记录以及这些记录包含哪些数据等却越来越困难（Polonetskyetal.，2014；Rubeletal.，2016）。FERPA是制定数据隐私政策的“底线”，而不是管理和保护学生数据的“上限”（FamilyPolicyComplianceOffice，2011；Rubeletal.，2016）。现行法律体系还存在漏洞，例如，学校领导可以代表学生许可对其数据的使用，使得学生个人数据可以不受限制地收集（Pascalev，2017）。此外，法律“执行难”的问题也普遍存在，第三方对学生数据权利的侵害行为难以界定和惩处。在欧洲，GDPR约束了欧盟教育行业的数据保护实践，但对以数据分析为核心的企业发展带来了一定的限制。短期内，相关企业合规成本将显著上升，这给中小企业发展造成障碍；类似的长臂管辖原则或将冲击现有商业模式，全球商业科技发展或受影响（王瑞，2018）。（2）数据所有权不明确、处理过程不规范数字世界中的数据所有权难以辨别，尤其是在去除个人身份属性的数据交易中，数据所有权到底属于产生数据的个人还是记录数据的企业，法律层面也没有明确规定（Pardoetal.，2014）。而且，对个人数据所有者的界定存在国家差异：在美国，收集获得的数据属于收集者；在欧洲，个人数据属于个人（Weippletal.，2005）。数据的许可和控制机制不健全是隐私保护中的另一个难点。学生在与学习管理系统或其他教育应用程序交互时，会在系统日志中留下“数字痕迹”。很多情况下，此类数据多不经过学生同意被使用，其传播也不受学生控制。尽管教师应对学生数据保密，但是数据进入教育管理系统后，可能会被纳入数据仓库进行分析，并向机构内外的参与者披露（Young，2018）。第三方使用教育数据在很大程度上属于灰色地带，处于合法和非法边缘。互联网上存在着大量的非授权收集、使用和买卖学生数据的现象，甚至成为个别企业的主要利润来源。数据泄漏所带来的影响是难以估量的，个人在同意他人使用数据时无法预估自身数据的价值；一旦数据进入处理环节，用户很难叫停和退出。Prinsloo和Slade（2015）研究了三个主流慕课平台的数据隐私政策，发现尽管供应商依法明确告知用户收集了哪些数据，仍旧未提供“退出”选项。SDPPRA禁止利用学生数据从事广告或商业活动，这就和一部分企业的利益冲突，导致某些大企业花费数百万美元游说立法机构，试图阻止、弱化学生数据隐私保护立法（Strauss，2015）。（3）学生、监护人以及其他相关方的数据隐私保护意识薄弱大部分人在接受服务时并不会认真阅读、甄别涉及自身权利和义务的服务条款。由于缺乏专业知识，普通大众也难以辨明这些条款的真正含义，无法做出明智的选择（Prinslooetal.，2015）。学生群体也很少关注自己数据隐私泄露的情况，不知道哪些涉及自身的数据被收集，更不知道数据在何处被使用，常常在阅读“打钩并签字”的隐私政策后，习惯性地同意、放弃自己的权利。教师、信息技术人员、管理层以及家长对学生数据隐私和安全同样认识不足，或是缺少专门培训。相关人员选择和使用教育软件时，很少有意识地将数据隐私和安全作为考虑因素。调查显示，美国教职员工的数据安全意识有限，没有完全满足联邦的隐私培训要求（Hipskyetal.，2015）。有学者建议教师在在线课程中明确学生数据隐私保护条款，同时链接现有的法律政策或其他数据隐私保护规定（Waterhouseetal.，2004；Diaz，2010）。但调查显示，仅有2%的在线课程包含了隐私条款，且主要基于政府、机构现成的通用数据隐私保护规定（Jonesetal.，2019）。（4）隐私保护和开放教育数据、学习分析之间存在矛盾近几年，开放数据运动在全球兴起，世界各国都在加快公共数据的开放进程。加大教育数据的开放力度，将数据共享给需要的人，才能更有效地挖掘教育数据的价值，实现教育共享与公平。但是，保护学生隐私和开放数据之间存在矛盾。比如，学生一方面期望通过对数据的分析，获得全方位且精准的服务，另一方面又会担心隐私数据泄露（Ifenthaleretal.，2016）。跨机构共享数据或向社会公开数据时，隐私侵权的风险更大。而且，共享数据未必是数据产生者的本意，因此应注意数据的授权使用范围是否有限制，是否许可共享给第三方。

五、启示和建议

我国尚处于数据隐私保护的起步阶段，应当汲取欧美国家的经验与教训，逐步完善相关法律法规，健全学生数据隐私保护机制，建设多方参与的保护体系。1.提高认识，切实增强全民数据隐私保护的法律意识。随着技术的发展，人们对隐私的认识也在不断深化（Smithetal.，2011）：信息技术发展的初期，人们对政府和商业机构高度信任，对信息（数据）收集行为持宽容态度；进入互联网时代以后，隐私保护成为社会、政治和法律问题，人们寻求制定公平的信息实践准则；大数据和物联网技术的普及以后，个人信息被大量搜集和挖掘，隐私侵权问题成为公害。当今社会，越来越强调个人的主体地位，更加注重隐私保护，人们希望自主决定个人数据是否开放给他人乃至公众。因此，从立法者角度来看，应加大对学生群体的关注，广泛听取公众的诉求和意见，真正意识到学生数据隐私泄露的严重性，以及立法的重要性和紧迫性。从执法者角度，应能够深刻理解立法的目的和法律规定，提升数据隐私保护的法律意识，强化数据隐私保护法律法规的执法力度。从教育信息化从业人员的角度，应当强化其隐私保护意识，有计划地培训各类涉及学生数据的技术人员，提升其保护能力。从公众角度，应通过宣传和教育，使权利人了解数据隐私保护的知识，关注数据隐私暴露的危害，行使数据隐私的隐瞒权、支配权、利用权和维护权，实现数据隐私的自我保护。2.加快立法，尽快建立完善相关法律制度。2020年5月，我国首部《民法典》对个人信息、隐私等内涵，以及隐私保护范围等内容作了规定，为学生数据隐私保护的立法提供了法律依据。目前，需要加快立法，通过制定相关单行法及行政法规、部门规章、地方性法规等，尽快健全完善学生数据隐私保护的法律体系。（1）加快《个人信息保护法》的立法进程，推进学生数据隐私保护早在十多年前，人们就开始关注并研究隐私权及个人信息保护中的突出问题，着手开展《个人信息保护法》的研究、论证及起草工作，期待对隐私权和个人信息保护提供专门的法律保障。然而，令人遗憾的是，2020年10月公布的《个人信息保护法》草案未专门规定未成年人信息的保护，也未涉及到隐私权。为此，建议草案增加相关内容，加快立法进程，尽快通过并实施，以期从国家层面推动学生数据隐私保护工作。（2）建议制定专门的《学生数据隐私保护法》在法律的制定上，应该从国情出发，借鉴欧美国家的经验，加紧制定诸如《学生数据隐私保护法》等具有针对性、可操作性、更加细化的法律法规，逐步形成可以在教育行业具体实施的法律框架。欧盟的GDPR对各种机构和组织处理数据进行了统一的规范，具有较好的约束性和强制性；美国的FERPA、COPPA等对教育机构、运营服务商等教育利益相关方就数据处理进行规范，保护学生群体的利益不受侵犯。以上均可以为我们提供立法的具体思路。（3）出台专门的行政法规或者部门规章教育部近三年来了多个涉及教育数据管理的文件，如《教育部机关及直属事业单位教育数据管理办法》明确了教育数据各环节的管理程序，保王明雯,李青,王海兰欧美学生数据隐私保护立法与实践现代远程教育研究,2021,33(2)学术时空护个人隐私，保障教育数据资源安全；《教育部政务服务事项目录》要求各教育机构建立健全保密审查制度，加大对涉及国家秘密、商业秘密、个人隐私等重要数据的保护力度。但是，现有管理制度尚未细化到学生数据保护的具体问题，缺乏针对性和实操性，也未形成完整的体系。为了推进相关法律的落实，补充法律不能或来不及覆盖的领域，加强对学校、市场的监管，教育部门应尽快聚焦保护学生数据安全和数据隐私，引导专业机构制定较为详细的数据隐私保护方案和行动指南，降低因使用范围、使用目的不明确所带来的数据风险。（4）在北上广等教育信息技术发达的地区可率先制定地方性法规，为其他地区提供借鉴我国的教育信息化发展不均衡，北上广等教育信息化发展较快的地区，技术基础更为完善，公众的权利保护意识更强。可以尝试在这些地区开展关于学生数据隐私保护的地方性法规制定工作，基于“试点先行，以点带面，逐步推广”的原则，自下而上带动更多地区参与到数据隐私保护活动中，探索数据隐私保护的新模式。（5）修改完善相关法律规定，增加涉及学生数据隐私保护的内容对现行的《儿童个人信息网络保护规定》等已经涉及到数据隐私保护、个人信息保护的法律法规及部门规章，可适时修改和完善，增加关于学生数据隐私保护的条款，形成一个有利于学生数据保护的法律体系，真正做到有法可依。3.加强行业自律，规范市场行为。（1）鼓励企业、机构实施行业自律政府部门应鼓励和帮助相关企业、机构根据自身特点，规范其处理学生数据的业务流程，开展数据隐私保护工作。行业组织也应积极组织会员单位协商制定行业公约，规范各企业在学生数据收集、使用方面的活动，编制数据隐私保护协议，推进公约的执行和相互监督。（2）加强基础设施建设，运用先进技术提高保障能力在开展学生数据隐私保护工作时，还应关注基础设施的建设，为数据处理提供安全的技术环境。区域教育数据中心、使用数据的教育机构，以及互联网教育服务商应保障数据的安全和可控，在数据流动的源头做好隐私保护工作，既要采用技术手段保证内部数据安全，还要注意防范外部侵害活动。数据管理者应监管从采集到应用的各个流程和整体运行机制，一旦出现问题，马上修复。（3）推进标准化、规范化工作数据安全离不开标准。数据平台可使用P3P、EPAL等国际通用数据保护标准，针对不同类型的隐私建立不同的保护策略，采用匿名、加密、数据干扰等一系列保护技术（唐亮，2016）。国家层面，应统一编制学生数据标准和隐私保护要求，可参照美国国家教育统计中心（NationalCenterforEducationStatistics，NCES）的《通用教育数据标准》（CommonEducationDataStandards，CEDS），规范数据来源、数据质量、数据格式等。各机构和教育信息化企业在数据收集、使用、修改、删除等过程中，也应基于标准实施，降低数据泄漏风险。4.营造隐私保护的社会大环境，构建多方参与的治理体系。学生数据隐私保护需要充分动员，以“政府主导、共同参与”的形式展开，构建全社会参与的治理体系，营造安全可靠的良好氛围。在欧美，非官方组织在学生数据隐私保护实践中最为活跃，承担了很多行政手段难以落地的工作，我们应当加以借鉴。国家在立法、制定政策，以及采取保护措施时，也应该倾听来自不同利益相关方的声音，在符合法律和道德的前提下，以促进教育健康发展和人才培养为目的，做到数据顺畅流通，发挥学生数据最大效益。

作者:王明雯 李青 王海兰 单位:西昌学院