導(dǎo)語(yǔ)：歐美學(xué)生數(shù)據(jù)隱私保護(hù)立法與實(shí)踐分析一文來(lái)源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要：學(xué)生數(shù)據(jù)是教育數(shù)據(jù)的重要組成部分，在支撐教育決策、改進(jìn)課堂管理、推送個(gè)性化路徑等方面得到了廣泛應(yīng)用。然而，實(shí)踐中出現(xiàn)了很多侵害學(xué)生數(shù)據(jù)隱私的問(wèn)題，造成了不良社會(huì)影響，急需政府從立法層面加強(qiáng)保護(hù)。在此領(lǐng)域，歐美發(fā)達(dá)國(guó)家已經(jīng)有數(shù)十年的經(jīng)驗(yàn)，法律和制度都較為健全。針對(duì)美國(guó)和歐盟學(xué)生數(shù)據(jù)隱私保護(hù)立法和實(shí)踐情況的分析發(fā)現(xiàn)，歐美已經(jīng)建立了相對(duì)全面的學(xué)生數(shù)據(jù)隱私保護(hù)法律體系，形成了較為完善的隱私保護(hù)框架原則，其強(qiáng)調(diào)行業(yè)自律、全民參與的經(jīng)驗(yàn)值得借鑒。但是也暴露出一些問(wèn)題，例如，法律仍舊滯后于實(shí)踐的需要，數(shù)據(jù)所有權(quán)不明確、處理過(guò)程不規(guī)范，學(xué)生、監(jiān)護(hù)人及其他相關(guān)方的數(shù)據(jù)隱私保護(hù)意識(shí)薄弱，隱私保護(hù)和開(kāi)放教育數(shù)據(jù)、學(xué)習(xí)分析之間存在矛盾等。我國(guó)尚處于數(shù)據(jù)隱私保護(hù)的起步階段，應(yīng)在汲取歐美國(guó)家的經(jīng)驗(yàn)與教訓(xùn)基礎(chǔ)上，提高認(rèn)識(shí)，切實(shí)增強(qiáng)全民的法律意識(shí)；加快立法，盡快建立完善相關(guān)法律制度；加強(qiáng)行業(yè)自律，規(guī)范市場(chǎng)行為；營(yíng)造隱私保護(hù)的社會(huì)大環(huán)境，構(gòu)建多方參與的治理體系。

關(guān)鍵詞：歐美；教育數(shù)據(jù)；數(shù)據(jù)隱私；隱私保護(hù)；立法與實(shí)踐

一、問(wèn)題的提出

隨著教育信息化特別是智慧學(xué)習(xí)環(huán)境建設(shè)工作的推進(jìn)，教育數(shù)據(jù)在支撐教育決策、改進(jìn)課堂管理、提供個(gè)性化學(xué)習(xí)服務(wù)等方面得到了廣泛應(yīng)用。然而，各種隱私信息的泄露隨之而來(lái)，隱私侵權(quán)問(wèn)題成為新挑戰(zhàn)。比如，某培訓(xùn)機(jī)構(gòu)收集了14萬(wàn)條學(xué)生個(gè)人信息，在未取得學(xué)生、家長(zhǎng)同意的情況下，撥打電話推銷教育培訓(xùn)服務(wù)（國(guó)家市場(chǎng)監(jiān)督管理總局，2020）。又如，某大學(xué)泄露了50余名本校學(xué)生的個(gè)人信息，這些信息均被一家企業(yè)所利用，偽裝成在這家企業(yè)兼職的大學(xué)生，利用大學(xué)生的身份來(lái)達(dá)成偷逃稅款的目的（陳禹潛，2020）。這類事件屢見(jiàn)不鮮，幾乎成為常態(tài)。而大多數(shù)學(xué)生仍舊是未成年人，隱私數(shù)據(jù)的泄露可能會(huì)對(duì)他們后幾十年的成長(zhǎng)、就業(yè)和生活產(chǎn)生重大影響。因此，對(duì)學(xué)生個(gè)人數(shù)據(jù)隱私的保護(hù)非常重要，也十分必要。當(dāng)前，我國(guó)在個(gè)人信息/隱私保護(hù)方面的法律法規(guī)正在逐步完善。憲法第38條、第40條規(guī)定，“公民的人格尊嚴(yán)、通信自由和通信秘密受法律的保護(hù)”。2009年的《侵權(quán)責(zé)任法》第36條規(guī)定，“網(wǎng)絡(luò)用戶、網(wǎng)絡(luò)服務(wù)提供者利用網(wǎng)絡(luò)侵害他人民事權(quán)益的，應(yīng)當(dāng)承擔(dān)侵權(quán)責(zé)任”。2015年頒布的刑法修正案（九）第253條、第286條規(guī)定了對(duì)向他人出售、竊取或者以其他方法非法獲取公民個(gè)人信息，以及網(wǎng)絡(luò)服務(wù)者致使用戶信息泄露等行為的刑罰處置。2016年通過(guò)的《網(wǎng)絡(luò)安全法》規(guī)定了網(wǎng)絡(luò)上的數(shù)據(jù)收集、使用及保留的處理方式。2020年出臺(tái)的《民法典》對(duì)隱私權(quán)和個(gè)人信息保護(hù)進(jìn)行了明確界定。第1032條第2款規(guī)定，“隱私是自然人的私人生活安寧和不愿為他人知曉的私密空間、私密活動(dòng)、私密信息”。第1034條第2款和第3款規(guī)定：“個(gè)人信息是以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人的各種信息。”“個(gè)人信息中的私密信息，同時(shí)適用隱私權(quán)保護(hù)的有關(guān)規(guī)定?！比欢?，我國(guó)至今尚未形成一個(gè)完整的數(shù)據(jù)隱私保護(hù)體系，許多條文規(guī)定的內(nèi)容過(guò)于抽象，難以有效執(zhí)行，且存在重復(fù)、交叉，形成了多頭執(zhí)法和多頭管理的局面（張彤，2020）。專門(mén)法《個(gè)人信息保護(hù)法》雖然已經(jīng)公布草案，并提請(qǐng)13屆全國(guó)人大常委會(huì)第22次會(huì)議審議，但還未正式頒布。如何協(xié)調(diào)個(gè)人信息保護(hù)與促進(jìn)信息自由流動(dòng)的關(guān)系、保護(hù)個(gè)人信息和維護(hù)公共利益的沖突等法理障礙尚未解決（毛牧然，2020）。從全球范圍來(lái)看，歐美發(fā)達(dá)國(guó)家在該領(lǐng)域已經(jīng)有數(shù)十年的經(jīng)驗(yàn)，法律和制度較為健全。美國(guó)將個(gè)人信息保護(hù)納入隱私權(quán)的涵射范圍內(nèi)，其基本立場(chǎng)是反對(duì)濫用。從個(gè)人權(quán)益保護(hù)的角度，自然人有權(quán)選擇披露的信息都在隱私保護(hù)范圍之內(nèi)（湯敏，2018）。歐盟明確界定了私密信息標(biāo)準(zhǔn)，原則上禁止對(duì)個(gè)人私密信息的收集和處理。種族、宗教信仰、犯罪記錄、政治觀點(diǎn)等均屬于禁止收集的私密數(shù)據(jù)（張新寶，2019）。和歐美相比，我國(guó)對(duì)隱私權(quán)的保護(hù)才剛剛起步，保護(hù)范圍有限，相關(guān)政策法律的制定遠(yuǎn)落后于實(shí)踐。與此密切相關(guān)的學(xué)生數(shù)據(jù)隱私保護(hù)，更是從立法到實(shí)踐都不完善。在此背景下，本研究旨在調(diào)查國(guó)外學(xué)生數(shù)據(jù)隱私保護(hù)立法和實(shí)踐現(xiàn)狀，梳理歐美學(xué)生數(shù)據(jù)隱私保護(hù)的法律法規(guī)及其適用范圍、立法產(chǎn)生的影響、實(shí)踐中的原則和方法，以及其治理體系的建構(gòu)過(guò)程等，為推進(jìn)我國(guó)的學(xué)生數(shù)據(jù)隱私保護(hù)工作提供參考。具體研究問(wèn)題如下：（1）歐美國(guó)家學(xué)生數(shù)據(jù)隱私研究現(xiàn)狀；（2）歐美國(guó)家學(xué)生數(shù)據(jù)隱私保護(hù)的立法和實(shí)踐經(jīng)驗(yàn)與教訓(xùn)；（3）對(duì)我國(guó)相關(guān)工作的啟示。研究主要從文獻(xiàn)和案例兩個(gè)方面進(jìn)行：文獻(xiàn)研究以WebofScience核心集SSCI數(shù)據(jù)庫(kù)為文獻(xiàn)來(lái)源，以“Student”“Data”“Privacy”為關(guān)鍵詞組合檢索，獲得相關(guān)度較高的外文文獻(xiàn)30篇作為樣本，總結(jié)國(guó)外學(xué)生數(shù)據(jù)隱私保護(hù)研究及實(shí)踐現(xiàn)狀；案例分析則基于立法模式的差異，分別選取美國(guó)和歐盟的代表性案例，介紹各國(guó)在保護(hù)學(xué)生數(shù)據(jù)隱私方面的成熟經(jīng)驗(yàn)，討論其中存在的問(wèn)題。為了方便討論，本文使用國(guó)際通行的術(shù)語(yǔ)“數(shù)據(jù)隱私”作為核心概念，對(duì)“信息”和“數(shù)據(jù)”不作刻意區(qū)分，私密信息約等同于私密數(shù)據(jù)；當(dāng)自然人為學(xué)生時(shí)，即為本研究的對(duì)象“學(xué)生數(shù)據(jù)隱私”。

二、美國(guó)的立法和實(shí)踐

1.聯(lián)邦和州層面的立法情況。美國(guó)的政治和法律結(jié)構(gòu)較為特殊，在聯(lián)邦和州兩級(jí)均有涉及隱私的法律和法規(guī)頒布。整個(gè)體系比較完善，但又龐雜和交疊。早在1974年，聯(lián)邦政府就頒布了《隱私法案》（PrivacyAct），保護(hù)個(gè)人信息不受侵犯。在教育領(lǐng)域，為了適應(yīng)社會(huì)快速發(fā)展和技術(shù)不斷更新的需要，聯(lián)邦政府又頒布了《家庭教育權(quán)利和隱私權(quán)法》（FamilyEducationalRightsandPrivacyAct，F(xiàn)ERPA），并于2008年和2011年兩次修訂。該法案賦予家長(zhǎng)諸多權(quán)利，如，在學(xué)生數(shù)據(jù)的收集和使用中，家長(zhǎng)有權(quán)審核、修改、刪除數(shù)據(jù)等；學(xué)校學(xué)生個(gè)人信息需得到家長(zhǎng)同意；使用方僅可將學(xué)生數(shù)據(jù)用于授權(quán)用途（U.S.DepartmentofEducation，2011）。該法案通過(guò)家長(zhǎng)的介入保護(hù)了學(xué)生數(shù)據(jù)隱私，減少了信息泄露和濫用。另一個(gè)聯(lián)邦機(jī)構(gòu)——聯(lián)邦貿(mào)易委員會(huì)（FederalTradeCommission，F(xiàn)TC）頒布了《兒童互聯(lián)網(wǎng)保護(hù)法》（Children’sInternetProtectAct，CIPA）和《兒童在線隱私權(quán)保護(hù)法》（Children’sOnlinePri-vacyProtectionAct，COPPA），以保護(hù)兒童在互聯(lián)網(wǎng)上的個(gè)人信息安全，減少網(wǎng)上不良內(nèi)容對(duì)兒童的影響。這兩項(xiàng)法案規(guī)定了兒童數(shù)據(jù)的收集范圍、收集方式和家長(zhǎng)的監(jiān)管權(quán)利，對(duì)教育機(jī)構(gòu)和兒童主題的商業(yè)網(wǎng)站提出了硬性要求。進(jìn)入大數(shù)據(jù)時(shí)代后，2015年FTC又頒布了《學(xué)生數(shù)字隱私和家長(zhǎng)權(quán)利法》（StudentDigitalPrivacyandParentsRightsAct，SDPPRA），規(guī)定了第三方供應(yīng)商應(yīng)當(dāng)遵守的數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)，而且要求在收集和使用（未滿18歲或未進(jìn)入大學(xué)的）學(xué)生數(shù)據(jù)前必須獲得家長(zhǎng)（學(xué)生）同意，并禁止利用學(xué)生數(shù)據(jù)從事任何廣告或商業(yè)活動(dòng)。美國(guó)各州也頒布了州內(nèi)的學(xué)生數(shù)據(jù)隱私保護(hù)法案，如密蘇里州的1873號(hào)法案（HCSHB1873）、弗吉尼亞州的2350號(hào)法案（HouseBill2350）等。加利福尼亞州在2014年通過(guò)《加州電子通信隱私法》（CaliforniaElectronicCommunicationsPrivacyAct，CECPA），明確禁止科技公司收集學(xué)生信息用于廣告和宣傳（唐亮，2016），同年，又頒布《學(xué)生在線個(gè)人信息保護(hù)法》（StudentOnlinePersonalInformationProtectionAct，SOPIPA），將學(xué)生在社交媒體、互聯(lián)網(wǎng)站點(diǎn)、在線服務(wù)、移動(dòng)軟件上生成的內(nèi)容列為數(shù)據(jù)隱私，要求在線服務(wù)運(yùn)營(yíng)商在一定時(shí)限內(nèi)刪除未成年人在網(wǎng)頁(yè)上的信息（王正青，2016）。從2013年到2019年，美國(guó)共有45個(gè)州頒布了128部與學(xué)生數(shù)據(jù)隱私相關(guān)的法律（DQC，2019），此領(lǐng)域的立法工作趨于完備。2.隱私保護(hù)的基本原則。1973年，美國(guó)聯(lián)邦政府健康、教育和社會(huì)福利部（DepartmentofHealth,Education,andWel-fare，HEW）首次提出了《公平信息實(shí)踐》（FairInformationPractices，F(xiàn)IPs）。在此基礎(chǔ)上，美國(guó)逐漸形成了個(gè)人信息保護(hù)的五大基本原則：（1）公開(kāi)性原則，即個(gè)人信息處理機(jī)構(gòu)應(yīng)公開(kāi)關(guān)于個(gè)人信息處理的一切政策、流程和處理實(shí)踐；（2）限制性原則，即個(gè)人信息在最少必須原則下收集和處理，信息的收集和使用范圍、保存期限和銷毀應(yīng)受到限制；（3）數(shù)據(jù)質(zhì)量原則，即機(jī)構(gòu)對(duì)個(gè)人信息應(yīng)當(dāng)準(zhǔn)確、完整和適時(shí)更新；（4）責(zé)任與安全原則，作為數(shù)據(jù)控制者的機(jī)構(gòu)必須承擔(dān)個(gè)人信息保護(hù)的主要責(zé)任，要將個(gè)人信息保護(hù)內(nèi)化于其業(yè)務(wù)流程和技術(shù)設(shè)計(jì)中；（5）個(gè)人信息權(quán)利保護(hù)原則，充分保障信息主體的知情權(quán)、查詢權(quán)、異議與糾錯(cuò)權(quán)、可轉(zhuǎn)移權(quán)等。1997年，聯(lián)邦政府在《全球電子商務(wù)政策框架》中提出了個(gè)人隱私保護(hù)的原則：告知和許可，即數(shù)據(jù)采集者應(yīng)當(dāng)告知消費(fèi)者他們?cè)谑占裁葱畔?，以及他們?nèi)绾问褂眠@些數(shù)據(jù)；數(shù)據(jù)采集者應(yīng)向消費(fèi)者提供限制使用和再利用個(gè)人信息的有效手段。美國(guó)的數(shù)據(jù)保護(hù)制度立足于保障數(shù)據(jù)自由市場(chǎng)，經(jīng)過(guò)多年發(fā)展，形成了多方平衡的數(shù)據(jù)保護(hù)準(zhǔn)則。美國(guó)教育界在學(xué)生數(shù)據(jù)隱私保護(hù)方面基本取得了共識(shí)。除了關(guān)注學(xué)生隱私數(shù)據(jù)的保護(hù)，還強(qiáng)調(diào)數(shù)據(jù)利用的價(jià)值和數(shù)據(jù)開(kāi)放的意義，提倡在合理合法的前提下，盡可能發(fā)揮數(shù)據(jù)本身的價(jià)值。卓越教育基金會(huì)（FoundationforExcellenceinEdu-cation，ExcelinEd）是美國(guó)的一個(gè)專注提高教育機(jī)會(huì)、教育創(chuàng)新和教育質(zhì)量的非營(yíng)利組織。該組織建議應(yīng)從數(shù)據(jù)價(jià)值、數(shù)據(jù)開(kāi)放、有限存儲(chǔ)和使用、準(zhǔn)確性和可訪問(wèn)、安全性以及問(wèn)責(zé)制等方面入手推進(jìn)學(xué)生數(shù)據(jù)隱私保護(hù)（ExcelinEd，2017）。致力于推進(jìn)教育數(shù)據(jù)應(yīng)用的民間組織“數(shù)據(jù)質(zhì)量運(yùn)動(dòng)”（Da-taQualityCampaign，DQC）和“學(xué)校網(wǎng)絡(luò)聯(lián)盟”（ConsortiumforSchoolNetworking，CoSN）合作，共同了“使用和保護(hù)學(xué)生個(gè)人信息的10項(xiàng)基本原則”（DQC&CoSN，2015），從透明度、治理和數(shù)據(jù)保護(hù)程序等方面對(duì)收集和使用學(xué)生數(shù)據(jù)的過(guò)程進(jìn)行了規(guī)范。3.行業(yè)協(xié)會(huì)積極參與。除了法律保障，行業(yè)自律是學(xué)生數(shù)據(jù)隱私保護(hù)的另一種重要方式。一些行業(yè)協(xié)會(huì)自愿加入保護(hù)學(xué)生數(shù)據(jù)隱私的活動(dòng)中。比如美國(guó)軟件和信息業(yè)協(xié)會(huì)（Software&InformationIndustryAssociation,SIIA）聯(lián)合“未來(lái)隱私論壇”（FutureofPrivacyForum,FPF）發(fā)出了《學(xué)生隱私倡議書(shū)》，詳細(xì)解釋了有關(guān)收集和處理學(xué)生數(shù)據(jù)的現(xiàn)行法律和法規(guī)，呼吁會(huì)員（服務(wù)供應(yīng)商）簽署倡議書(shū)，遵守“在教育機(jī)構(gòu)、教師或父母/學(xué)生授權(quán)下，收集、使用、共享和保留學(xué)生的個(gè)人信息，支持學(xué)生/父母訪問(wèn)和更正學(xué)生的個(gè)人身份信息”等相關(guān)規(guī)定。截至2020年6月，以谷歌、Coursera等為代表，共有426家美國(guó)企業(yè)和機(jī)構(gòu)在此倡議書(shū)上簽名。4.構(gòu)建多方共治的體系。美國(guó)數(shù)據(jù)隱私方面治理體系最鮮明的特點(diǎn)就是由聯(lián)邦、州、行業(yè)協(xié)會(huì)及民間組織共同參與。在行政組織架構(gòu)方面，聯(lián)邦教育部設(shè)立了首席隱私保護(hù)官，成立了“隱私保護(hù)技術(shù)中心”（PrivacyTech-nicalAssistanceCenter，PTAC）等專業(yè)機(jī)構(gòu)，向?qū)W區(qū)學(xué)生在線隱私保護(hù)指南，為州和地方提供隱私保護(hù)咨詢和技術(shù)支持。大多數(shù)州也成立了具有數(shù)據(jù)隱私治理職能的機(jī)構(gòu)，監(jiān)督和管理學(xué)生數(shù)據(jù)，如華盛頓州“教育研究和數(shù)據(jù)中心”（EducationRe-searchandDataCenter，ERDC）、肯塔基州教育和勞動(dòng)力統(tǒng)計(jì)中心（KentuckyCenterforEducationandWorkforceStatistics，KCEWS）、馬里蘭州縱向數(shù)據(jù)系統(tǒng)中心（MarylandLongitudinalDataSystemCenter，MLDSC）等，成為美國(guó)教育大數(shù)據(jù)戰(zhàn)略的重要組成部分（DQC，2015）。政府以外的協(xié)會(huì)和民間團(tuán)體在學(xué)生數(shù)據(jù)隱私保護(hù)方面也非常活躍。全美州教育委員會(huì)協(xié)會(huì)（NationalAssociationofStateBoardsofEducation，NASBE）提供服務(wù)，幫助各州的教育委員會(huì)成員了解數(shù)據(jù)隱私法規(guī)和教育數(shù)據(jù)的潛在價(jià)值，支持教育創(chuàng)新和發(fā)展（Gradyetal.，2014）?！拔磥?lái)隱私論壇”（FPF）了《家長(zhǎng)保護(hù)學(xué)生數(shù)據(jù)隱私手冊(cè)》，美國(guó)軟件和信息業(yè)協(xié)會(huì)（SIIA）編制了《學(xué)校服務(wù)供應(yīng)商保護(hù)學(xué)生信息隱私和安全的實(shí)踐案例》，均依據(jù)學(xué)生數(shù)據(jù)隱私保護(hù)的法律條款，向家長(zhǎng)、學(xué)生、服務(wù)供應(yīng)商等相關(guān)人員，闡釋每個(gè)角色應(yīng)該承擔(dān)的責(zé)任和應(yīng)有的權(quán)利。數(shù)據(jù)質(zhì)量運(yùn)動(dòng)（DQC）和全國(guó)家長(zhǎng)教師協(xié)會(huì)（NationalParentTeacherAssociation，NPTA）合作編制了《家長(zhǎng)教育數(shù)據(jù)指南》，向父母、教育者、決策者解釋學(xué)校收集教育數(shù)據(jù)的類型及收集數(shù)據(jù)的目的。

三、歐盟的立法和實(shí)踐

1.法律與政策的制定。歐盟是一個(gè)包含27個(gè)歐洲國(guó)家的國(guó)際組織，其成員國(guó)遵守共同制定的統(tǒng)一法律。在數(shù)據(jù)隱私保護(hù)方面，歐洲一直將隱私視為一項(xiàng)基本人權(quán)（Weippletal.，2005）。歐盟《基本權(quán)利憲章》的第8條規(guī)定：“每個(gè)人都有權(quán)保護(hù)自己的個(gè)人數(shù)據(jù)，”“在相關(guān)人許可或法律規(guī)定的前提下，為了特定目的對(duì)個(gè)人數(shù)據(jù)進(jìn)行處理，任何人都有權(quán)查閱自己的個(gè)人數(shù)據(jù)，并有權(quán)要求改正”。《里斯本條約》也明確提出了保護(hù)個(gè)人數(shù)據(jù)的權(quán)利。1995年歐盟頒布的《數(shù)據(jù)保護(hù)指令》（Directive95/46/EC）規(guī)范了個(gè)人數(shù)據(jù)的收集和使用，為歐洲國(guó)家立法保護(hù)個(gè)人數(shù)據(jù)設(shè)立了最低標(biāo)準(zhǔn)。各成員國(guó)均根據(jù)該指令頒布了各自的個(gè)人信息保護(hù)法，例如，英國(guó)（當(dāng)時(shí)仍為歐盟成員）的《數(shù)據(jù)保護(hù)法》（DataProtectionAct，DPA）、德國(guó)的《聯(lián)邦數(shù)據(jù)保護(hù)法》（FederalDataProtectionAct，F(xiàn)DPA）（劉云，2017）。2016年，歐盟通過(guò)了《數(shù)據(jù)保護(hù)通用條例》（GeneralDataProtectionRegulation，GDPR），取代《數(shù)據(jù)保護(hù)指令》。該條例于2018年5月生效，加強(qiáng)了對(duì)個(gè)人數(shù)據(jù)的隱私保護(hù)，在全球范圍內(nèi)產(chǎn)生了巨大的影響。歐盟在學(xué)生數(shù)據(jù)隱私保護(hù)方面尚未專門(mén)制定法律和政策，但是GDPR也適用于處理學(xué)生數(shù)據(jù)的機(jī)構(gòu)以及第三方服務(wù)商，為其數(shù)據(jù)業(yè)務(wù)提供了明確的規(guī)范。例如，根據(jù)GDPR第8條規(guī)定，即便數(shù)據(jù)主體已經(jīng)同意，當(dāng)兒童不滿16周歲時(shí)，還須獲得監(jiān)護(hù)人的同意或授權(quán)。同時(shí)，GDPR為各國(guó)進(jìn)一步就學(xué)生數(shù)據(jù)隱私保護(hù)立法提供了法律依據(jù)。2.隱私保護(hù)的原則框架。歐盟國(guó)家一直以來(lái)不斷細(xì)化和增補(bǔ)數(shù)據(jù)處理原則，以加強(qiáng)對(duì)個(gè)人數(shù)據(jù)的保護(hù)力度。GDPR的第5條規(guī)定了個(gè)人數(shù)據(jù)的7條處理原則：（1）合法、公正和透明，即個(gè)人數(shù)據(jù)應(yīng)當(dāng)以合法、公正、透明的方式處理；（2）限制目的，即收集的數(shù)據(jù)只能用于限定的目的；（3）數(shù)據(jù)最小化，即僅收集必要的數(shù)據(jù)；（4）準(zhǔn)確，即個(gè)人數(shù)據(jù)應(yīng)當(dāng)準(zhǔn)確；（5）留存期限限制，即達(dá)成數(shù)據(jù)處理目的后，在留存期到期后及時(shí)清理；（6）完整性和保密性，即采取適當(dāng)?shù)募夹g(shù)或組織措施，阻止未授權(quán)的訪問(wèn)，防止數(shù)據(jù)被破壞或丟失；（7）問(wèn)責(zé)制，即數(shù)據(jù)控制者有責(zé)任且能夠證明自身合規(guī)，在必要時(shí)提供給監(jiān)管機(jī)構(gòu)。第26條還規(guī)定了“數(shù)據(jù)保護(hù)設(shè)計(jì)”，即數(shù)據(jù)控制者應(yīng)當(dāng)采取合適的技術(shù)（如匿名化）與組織措施，以保障在默認(rèn)情況下，只有某個(gè)特定目的所必要的個(gè)人數(shù)據(jù)被處理。GDPR規(guī)定的以上原則也適用于教育領(lǐng)域內(nèi)的隱私保護(hù)。在學(xué)生數(shù)據(jù)隱私保護(hù)上，歐盟針對(duì)學(xué)習(xí)分析等具體教育場(chǎng)景，進(jìn)行了深入的探討和實(shí)踐。2014年，歐盟學(xué)習(xí)分析社區(qū)（FP7項(xiàng)目）和SURF基金會(huì)聯(lián)合組織了“學(xué)習(xí)分析中的倫理與隱私”（Ethics&PrivacyinLearningAnalytics（#EP4LA））研討會(huì)，探討學(xué)習(xí)分析中存在的倫理和隱私問(wèn)題，提出了平衡學(xué)習(xí)分析與學(xué)生數(shù)據(jù)隱私的相關(guān)建議。歐洲委員會(huì)資助的學(xué)習(xí)分析項(xiàng)目LEA’sBOX，提出數(shù)據(jù)隱私保護(hù)必須符合所在國(guó)家的法規(guī)和歐盟的《數(shù)據(jù)保護(hù)指令》，合法地收集和使用個(gè)人數(shù)據(jù)，并提供適當(dāng)?shù)碾[私保護(hù)（Steineretal.，2015）。英國(guó)聯(lián)合信息系統(tǒng)委員會(huì)（JointInformationSystemsCommittee，JISC）一直致力于為教育機(jī)構(gòu)提供數(shù)字解決方案。該機(jī)構(gòu)邀請(qǐng)教育技術(shù)專家和利益相關(guān)方編制了《學(xué)習(xí)分析實(shí)踐守則》，以支持英國(guó)教育機(jī)構(gòu)合法地使用學(xué)習(xí)分析技術(shù)，妥善處理學(xué)生數(shù)據(jù)隱私問(wèn)題（Sclater，2016）。此外，SURF基金會(huì)針對(duì)學(xué)生數(shù)據(jù)隱私保護(hù)也了一份指導(dǎo)文件，幫助研究者和服務(wù)提供商合法處理教育數(shù)據(jù)（Engelfrietetal.，2015）。3.多國(guó)參與的治理體系歐盟的治理體系由歐盟成員國(guó)共同參與構(gòu)建。在組織架構(gòu)方面，1995年頒布的《數(shù)據(jù)保護(hù)指令》提出，設(shè)置“數(shù)據(jù)保護(hù)工作組”（TheArticle29DataProtectionWorkingParty，A29DPWP）作為研究機(jī)構(gòu)，設(shè)置歐洲信息保護(hù)監(jiān)督局（EuropeanDa-taProtectionSupervisor，EDPS）作為行政機(jī)構(gòu)，并在歐盟各機(jī)構(gòu)中設(shè)立信息保護(hù)官（DataProtectionOfficer，DPO）。DPO負(fù)責(zé)監(jiān)督機(jī)構(gòu)內(nèi)部的個(gè)人數(shù)據(jù)處理流程，與EDPS合作，共同推進(jìn)歐盟機(jī)構(gòu)的數(shù)據(jù)保護(hù)工作。2016年，歐盟又在GDPR第68條規(guī)定，設(shè)立歐洲數(shù)據(jù)保護(hù)委員會(huì)（EuropeanDataProtectionBoard，EDPB）取代之前的“數(shù)據(jù)保護(hù)工作組”。各成員國(guó)先后建立了國(guó)家級(jí)數(shù)據(jù)保護(hù)機(jī)構(gòu)。英國(guó)設(shè)立了信息專員辦公室（InformationCommissioner’sOffice，ICO），負(fù)責(zé)監(jiān)管數(shù)據(jù)、編制數(shù)據(jù)管理規(guī)范，以及數(shù)據(jù)隱私保護(hù)的宣傳教育。荷蘭數(shù)據(jù)保護(hù)局（DutchDataProtectionAuthority，DDPA）、西班牙數(shù)據(jù)保護(hù)局（AgenciaEspañoladeProteccióndeDatos，AEPD）等也相繼成立，營(yíng)造出較為安全的數(shù)據(jù)環(huán)境，促進(jìn)了數(shù)據(jù)持有者與使用者之間的交流，有助于解決隱私保護(hù)的實(shí)際問(wèn)題。在實(shí)施層面，GDPR要求各企業(yè)/機(jī)構(gòu)設(shè)立數(shù)據(jù)保護(hù)人員，進(jìn)行文檔化管理，明確了數(shù)據(jù)泄露報(bào)告的義務(wù)，加強(qiáng)了問(wèn)責(zé)機(jī)制；通過(guò)擴(kuò)展“標(biāo)準(zhǔn)合同條款”、明確“有約束力的公司規(guī)則”等舉措，規(guī)范數(shù)據(jù)的跨境流動(dòng)。在教育方面，歐盟資助的學(xué)習(xí)分析社群（LACE）負(fù)責(zé)推進(jìn)相關(guān)研究和實(shí)踐。從2014年起，LACE組織了多個(gè)關(guān)于學(xué)習(xí)分析道德和隱私（#EP4LA）的工作坊，以提高研究人員對(duì)數(shù)據(jù)道德和隱私問(wèn)題的認(rèn)識(shí)，在教育活動(dòng)中合法合理地使用數(shù)據(jù)。

四、歐美學(xué)生數(shù)據(jù)隱私保護(hù)經(jīng)驗(yàn)及不足

1.可資借鑒的經(jīng)驗(yàn)。歐美國(guó)家在隱私保護(hù)領(lǐng)域積累了半個(gè)世紀(jì)的經(jīng)驗(yàn)。其在學(xué)生數(shù)據(jù)隱私保護(hù)方面，無(wú)論是在法律體系，還是在業(yè)務(wù)實(shí)踐，均走在世界前列，能夠?yàn)槲覈?guó)提供可資借鑒的成功經(jīng)驗(yàn)。（1）構(gòu)建了相對(duì)全面的學(xué)生數(shù)據(jù)隱私保護(hù)法律體系美國(guó)在聯(lián)邦和州兩個(gè)層面都頒布了相關(guān)法律，強(qiáng)化企業(yè)對(duì)學(xué)生數(shù)據(jù)隱私保護(hù)的關(guān)注度和責(zé)任。聯(lián)邦層面的FERPA和COPPA，針對(duì)不同年齡段的學(xué)生群體，嚴(yán)格規(guī)范了教育機(jī)構(gòu)、網(wǎng)站和應(yīng)用軟件等在線服務(wù)商在處理學(xué)生數(shù)據(jù)時(shí)的具體行為，賦予學(xué)生和家長(zhǎng)更多控制個(gè)人數(shù)據(jù)的權(quán)利。各州也制定了適應(yīng)本地的法規(guī)和政策。有學(xué)者稱之為“美國(guó)模式”，特點(diǎn)是采取分散立法和行業(yè)自律相結(jié)合的模式，保護(hù)學(xué)生數(shù)據(jù)隱私（魏玉東，2018）。GDPR作為一項(xiàng)對(duì)歐盟各國(guó)均具有約束力的法規(guī)，對(duì)同意數(shù)據(jù)處理、訪問(wèn)個(gè)人數(shù)據(jù)、移植和刪除個(gè)人數(shù)據(jù)等進(jìn)行了詳細(xì)規(guī)范，強(qiáng)調(diào)最小程度地使用數(shù)據(jù)以及具體使用的限制，能夠較好地約束教育機(jī)構(gòu)涉及學(xué)生數(shù)據(jù)的活動(dòng)。同時(shí)，在數(shù)據(jù)處理者（學(xué)習(xí)分析機(jī)構(gòu)）和數(shù)據(jù)主體（學(xué)生）之間建立了對(duì)話機(jī)制，降低了數(shù)據(jù)用于非授權(quán)商業(yè)目的的風(fēng)險(xiǎn)；并且取得了家長(zhǎng)和學(xué)生的信任，有利于數(shù)據(jù)應(yīng)用生態(tài)的建立。這種采取統(tǒng)一立法模式保護(hù)學(xué)生數(shù)據(jù)隱私的做法可稱為“歐盟模式”。（2）隱私保護(hù)框架原則趨于完善1980年，經(jīng)濟(jì)合作與發(fā)展組織（TheOrganisa-tionforEconomicCo-operationandDevelopment，OECD）了《關(guān)于保護(hù)隱私和個(gè)人數(shù)據(jù)國(guó)際流通的指南》，包含收集限制、目的規(guī)范、使用限制等8項(xiàng)隱私保護(hù)原則。2005年，亞太經(jīng)濟(jì)合作組織（Asia-PacificEconomicCooperation，APEC）了“隱私框架”，提出了各國(guó)應(yīng)遵循的數(shù)據(jù)隱私保護(hù)原則，降低企業(yè)應(yīng)對(duì)隱私和個(gè)人數(shù)據(jù)保護(hù)的風(fēng)險(xiǎn)。這兩者加上GDPR，均對(duì)機(jī)構(gòu)收集和使用數(shù)據(jù)、個(gè)人提供和參與數(shù)據(jù)，以及運(yùn)行過(guò)程的安全性三個(gè)方面進(jìn)行了規(guī)范（Hoeletal.，2017），具體見(jiàn)表1。這三個(gè)文件或法案的時(shí)間前后間隔十多年，相關(guān)實(shí)踐產(chǎn)生了較大變化，后者在前者基礎(chǔ)上進(jìn)行了修正、擴(kuò)充和完善。三者在“目的規(guī)范”等原則上基本一致，但在“收集限制”“個(gè)人參與”等原則上具有不同的解釋（Hoeletal.，2017）。例如，OECD的“收集限制”原則在GDPR中被細(xì)化成“數(shù)據(jù)最小化”，OECD的“個(gè)人參與”原則在APEC文件中修訂成“訪問(wèn)和更正”原則等，GDPR還額外提出了“數(shù)據(jù)保護(hù)設(shè)計(jì)”和“默認(rèn)”原則。各種原則的逐步細(xì)化，意味著數(shù)據(jù)隱私保護(hù)逐漸實(shí)現(xiàn)了制度化和系統(tǒng)化，GDPR在應(yīng)對(duì)大數(shù)據(jù)挑戰(zhàn)方面做了更全面的準(zhǔn)備，賦予個(gè)人更多的自我保護(hù)權(quán)力。（3）充分強(qiáng)調(diào)行業(yè)自律最近幾年，美國(guó)出現(xiàn)了一些涉嫌侵犯學(xué)生數(shù)據(jù)隱私的典型事件，造成了較大的負(fù)面影響。如，InBloom教育科技公司被曝光采集和向第三方分享學(xué)生個(gè)人隱私；課堂學(xué)生行為跟蹤軟件ClassDojo過(guò)度采集學(xué)生信息，掃描學(xué)生電子郵件。在各界的推動(dòng)下，美國(guó)教育信息化產(chǎn)業(yè)提高了對(duì)學(xué)生數(shù)據(jù)隱私保護(hù)的關(guān)注度。企業(yè)和教育機(jī)構(gòu)開(kāi)始反思運(yùn)營(yíng)中存在的數(shù)據(jù)隱私泄露問(wèn)題，加強(qiáng)學(xué)生數(shù)據(jù)保護(hù)。通過(guò)行業(yè)自律保護(hù)學(xué)生數(shù)據(jù)隱私（通過(guò)制定企業(yè)的行為準(zhǔn)則，約定民間認(rèn)證制度等方式），有助于避免對(duì)數(shù)據(jù)流動(dòng)的過(guò)度干預(yù)，達(dá)成經(jīng)濟(jì)利益和安全利益的雙贏（王瑞，2018）。（4）構(gòu)建全民參與的生態(tài)美國(guó)的學(xué)生數(shù)據(jù)隱私保護(hù)治理體系，是由聯(lián)邦、州、行業(yè)協(xié)會(huì)，以及民間組織共同參與，形成了全民參與、多方合作的局面?！白吭浇逃饡?huì)”（ExcelinEd）、“數(shù)據(jù)質(zhì)量運(yùn)動(dòng)”（DQC）和“學(xué)校網(wǎng)絡(luò)聯(lián)盟”（CoSN）提供了原則框架，還有全國(guó)家長(zhǎng)教師協(xié)會(huì)（NPTA）等越來(lái)越多的組織加入進(jìn)來(lái)，構(gòu)建全民參與的生態(tài)。歐盟的數(shù)據(jù)隱私治理體系除了自上而下的模式，也有諸多來(lái)自不同歐盟成員國(guó)的研究者的參與。為了解決數(shù)據(jù)利用和數(shù)據(jù)隱私之間的矛盾，歐盟資助了各種社群，開(kāi)展了多個(gè)工作坊，共同探討如何在道德和法律下合理使用學(xué)生數(shù)據(jù)，提高教學(xué)質(zhì)量，體現(xiàn)數(shù)據(jù)價(jià)值。2.存在的問(wèn)題。歐美國(guó)家現(xiàn)行的法律法規(guī)及全社會(huì)參與的治理體系在一定程度上保護(hù)了學(xué)生數(shù)據(jù)隱私，但數(shù)據(jù)隱私風(fēng)險(xiǎn)仍然存在。關(guān)于學(xué)生數(shù)據(jù)的隱私保護(hù)，歐美國(guó)家還普遍存在以下突出問(wèn)題。（1）法律仍舊滯后于實(shí)踐的需要美國(guó)早在1974年就頒布了FERPA，歐盟也相繼推出了Directive95/46/EC和GDPR。但是，對(duì)FERPA的批判表明，在學(xué)習(xí)分析和教育數(shù)據(jù)挖掘的背景下，如何定義教育記錄以及這些記錄包含哪些數(shù)據(jù)等卻越來(lái)越困難（Polonetskyetal.，2014；Rubeletal.，2016）。FERPA是制定數(shù)據(jù)隱私政策的“底線”，而不是管理和保護(hù)學(xué)生數(shù)據(jù)的“上限”（FamilyPolicyComplianceOffice，2011；Rubeletal.，2016）?，F(xiàn)行法律體系還存在漏洞，例如，學(xué)校領(lǐng)導(dǎo)可以代表學(xué)生許可對(duì)其數(shù)據(jù)的使用，使得學(xué)生個(gè)人數(shù)據(jù)可以不受限制地收集（Pascalev，2017）。此外，法律“執(zhí)行難”的問(wèn)題也普遍存在，第三方對(duì)學(xué)生數(shù)據(jù)權(quán)利的侵害行為難以界定和懲處。在歐洲，GDPR約束了歐盟教育行業(yè)的數(shù)據(jù)保護(hù)實(shí)踐，但對(duì)以數(shù)據(jù)分析為核心的企業(yè)發(fā)展帶來(lái)了一定的限制。短期內(nèi)，相關(guān)企業(yè)合規(guī)成本將顯著上升，這給中小企業(yè)發(fā)展造成障礙；類似的長(zhǎng)臂管轄原則或?qū)_擊現(xiàn)有商業(yè)模式，全球商業(yè)科技發(fā)展或受影響（王瑞，2018）。（2）數(shù)據(jù)所有權(quán)不明確、處理過(guò)程不規(guī)范數(shù)字世界中的數(shù)據(jù)所有權(quán)難以辨別，尤其是在去除個(gè)人身份屬性的數(shù)據(jù)交易中，數(shù)據(jù)所有權(quán)到底屬于產(chǎn)生數(shù)據(jù)的個(gè)人還是記錄數(shù)據(jù)的企業(yè)，法律層面也沒(méi)有明確規(guī)定（Pardoetal.，2014）。而且，對(duì)個(gè)人數(shù)據(jù)所有者的界定存在國(guó)家差異：在美國(guó)，收集獲得的數(shù)據(jù)屬于收集者；在歐洲，個(gè)人數(shù)據(jù)屬于個(gè)人（Weippletal.，2005）。數(shù)據(jù)的許可和控制機(jī)制不健全是隱私保護(hù)中的另一個(gè)難點(diǎn)。學(xué)生在與學(xué)習(xí)管理系統(tǒng)或其他教育應(yīng)用程序交互時(shí)，會(huì)在系統(tǒng)日志中留下“數(shù)字痕跡”。很多情況下，此類數(shù)據(jù)多不經(jīng)過(guò)學(xué)生同意被使用，其傳播也不受學(xué)生控制。盡管教師應(yīng)對(duì)學(xué)生數(shù)據(jù)保密，但是數(shù)據(jù)進(jìn)入教育管理系統(tǒng)后，可能會(huì)被納入數(shù)據(jù)倉(cāng)庫(kù)進(jìn)行分析，并向機(jī)構(gòu)內(nèi)外的參與者披露（Young，2018）。第三方使用教育數(shù)據(jù)在很大程度上屬于灰色地帶，處于合法和非法邊緣?；ヂ?lián)網(wǎng)上存在著大量的非授權(quán)收集、使用和買(mǎi)賣(mài)學(xué)生數(shù)據(jù)的現(xiàn)象，甚至成為個(gè)別企業(yè)的主要利潤(rùn)來(lái)源。數(shù)據(jù)泄漏所帶來(lái)的影響是難以估量的，個(gè)人在同意他人使用數(shù)據(jù)時(shí)無(wú)法預(yù)估自身數(shù)據(jù)的價(jià)值；一旦數(shù)據(jù)進(jìn)入處理環(huán)節(jié)，用戶很難叫停和退出。Prinsloo和Slade（2015）研究了三個(gè)主流慕課平臺(tái)的數(shù)據(jù)隱私政策，發(fā)現(xiàn)盡管供應(yīng)商依法明確告知用戶收集了哪些數(shù)據(jù)，仍舊未提供“退出”選項(xiàng)。SDPPRA禁止利用學(xué)生數(shù)據(jù)從事廣告或商業(yè)活動(dòng)，這就和一部分企業(yè)的利益沖突，導(dǎo)致某些大企業(yè)花費(fèi)數(shù)百萬(wàn)美元游說(shuō)立法機(jī)構(gòu)，試圖阻止、弱化學(xué)生數(shù)據(jù)隱私保護(hù)立法（Strauss，2015）。（3）學(xué)生、監(jiān)護(hù)人以及其他相關(guān)方的數(shù)據(jù)隱私保護(hù)意識(shí)薄弱大部分人在接受服務(wù)時(shí)并不會(huì)認(rèn)真閱讀、甄別涉及自身權(quán)利和義務(wù)的服務(wù)條款。由于缺乏專業(yè)知識(shí)，普通大眾也難以辨明這些條款的真正含義，無(wú)法做出明智的選擇（Prinslooetal.，2015）。學(xué)生群體也很少關(guān)注自己數(shù)據(jù)隱私泄露的情況，不知道哪些涉及自身的數(shù)據(jù)被收集，更不知道數(shù)據(jù)在何處被使用，常常在閱讀“打鉤并簽字”的隱私政策后，習(xí)慣性地同意、放棄自己的權(quán)利。教師、信息技術(shù)人員、管理層以及家長(zhǎng)對(duì)學(xué)生數(shù)據(jù)隱私和安全同樣認(rèn)識(shí)不足，或是缺少專門(mén)培訓(xùn)。相關(guān)人員選擇和使用教育軟件時(shí)，很少有意識(shí)地將數(shù)據(jù)隱私和安全作為考慮因素。調(diào)查顯示，美國(guó)教職員工的數(shù)據(jù)安全意識(shí)有限，沒(méi)有完全滿足聯(lián)邦的隱私培訓(xùn)要求（Hipskyetal.，2015）。有學(xué)者建議教師在在線課程中明確學(xué)生數(shù)據(jù)隱私保護(hù)條款，同時(shí)鏈接現(xiàn)有的法律政策或其他數(shù)據(jù)隱私保護(hù)規(guī)定（Waterhouseetal.，2004；Diaz，2010）。但調(diào)查顯示，僅有2%的在線課程包含了隱私條款，且主要基于政府、機(jī)構(gòu)現(xiàn)成的通用數(shù)據(jù)隱私保護(hù)規(guī)定（Jonesetal.，2019）。（4）隱私保護(hù)和開(kāi)放教育數(shù)據(jù)、學(xué)習(xí)分析之間存在矛盾近幾年，開(kāi)放數(shù)據(jù)運(yùn)動(dòng)在全球興起，世界各國(guó)都在加快公共數(shù)據(jù)的開(kāi)放進(jìn)程。加大教育數(shù)據(jù)的開(kāi)放力度，將數(shù)據(jù)共享給需要的人，才能更有效地挖掘教育數(shù)據(jù)的價(jià)值，實(shí)現(xiàn)教育共享與公平。但是，保護(hù)學(xué)生隱私和開(kāi)放數(shù)據(jù)之間存在矛盾。比如，學(xué)生一方面期望通過(guò)對(duì)數(shù)據(jù)的分析，獲得全方位且精準(zhǔn)的服務(wù)，另一方面又會(huì)擔(dān)心隱私數(shù)據(jù)泄露（Ifenthaleretal.，2016）?？鐧C(jī)構(gòu)共享數(shù)據(jù)或向社會(huì)公開(kāi)數(shù)據(jù)時(shí)，隱私侵權(quán)的風(fēng)險(xiǎn)更大。而且，共享數(shù)據(jù)未必是數(shù)據(jù)產(chǎn)生者的本意，因此應(yīng)注意數(shù)據(jù)的授權(quán)使用范圍是否有限制，是否許可共享給第三方。

五、啟示和建議

我國(guó)尚處于數(shù)據(jù)隱私保護(hù)的起步階段，應(yīng)當(dāng)汲取歐美國(guó)家的經(jīng)驗(yàn)與教訓(xùn)，逐步完善相關(guān)法律法規(guī)，健全學(xué)生數(shù)據(jù)隱私保護(hù)機(jī)制，建設(shè)多方參與的保護(hù)體系。1.提高認(rèn)識(shí)，切實(shí)增強(qiáng)全民數(shù)據(jù)隱私保護(hù)的法律意識(shí)。隨著技術(shù)的發(fā)展，人們對(duì)隱私的認(rèn)識(shí)也在不斷深化（Smithetal.，2011）：信息技術(shù)發(fā)展的初期，人們對(duì)政府和商業(yè)機(jī)構(gòu)高度信任，對(duì)信息（數(shù)據(jù)）收集行為持寬容態(tài)度；進(jìn)入互聯(lián)網(wǎng)時(shí)代以后，隱私保護(hù)成為社會(huì)、政治和法律問(wèn)題，人們尋求制定公平的信息實(shí)踐準(zhǔn)則；大數(shù)據(jù)和物聯(lián)網(wǎng)技術(shù)的普及以后，個(gè)人信息被大量搜集和挖掘，隱私侵權(quán)問(wèn)題成為公害。當(dāng)今社會(huì)，越來(lái)越強(qiáng)調(diào)個(gè)人的主體地位，更加注重隱私保護(hù)，人們希望自主決定個(gè)人數(shù)據(jù)是否開(kāi)放給他人乃至公眾。因此，從立法者角度來(lái)看，應(yīng)加大對(duì)學(xué)生群體的關(guān)注，廣泛聽(tīng)取公眾的訴求和意見(jiàn)，真正意識(shí)到學(xué)生數(shù)據(jù)隱私泄露的嚴(yán)重性，以及立法的重要性和緊迫性。從執(zhí)法者角度，應(yīng)能夠深刻理解立法的目的和法律規(guī)定，提升數(shù)據(jù)隱私保護(hù)的法律意識(shí)，強(qiáng)化數(shù)據(jù)隱私保護(hù)法律法規(guī)的執(zhí)法力度。從教育信息化從業(yè)人員的角度，應(yīng)當(dāng)強(qiáng)化其隱私保護(hù)意識(shí)，有計(jì)劃地培訓(xùn)各類涉及學(xué)生數(shù)據(jù)的技術(shù)人員，提升其保護(hù)能力。從公眾角度，應(yīng)通過(guò)宣傳和教育，使權(quán)利人了解數(shù)據(jù)隱私保護(hù)的知識(shí)，關(guān)注數(shù)據(jù)隱私暴露的危害，行使數(shù)據(jù)隱私的隱瞞權(quán)、支配權(quán)、利用權(quán)和維護(hù)權(quán)，實(shí)現(xiàn)數(shù)據(jù)隱私的自我保護(hù)。2.加快立法，盡快建立完善相關(guān)法律制度。2020年5月，我國(guó)首部《民法典》對(duì)個(gè)人信息、隱私等內(nèi)涵，以及隱私保護(hù)范圍等內(nèi)容作了規(guī)定，為學(xué)生數(shù)據(jù)隱私保護(hù)的立法提供了法律依據(jù)。目前，需要加快立法，通過(guò)制定相關(guān)單行法及行政法規(guī)、部門(mén)規(guī)章、地方性法規(guī)等，盡快健全完善學(xué)生數(shù)據(jù)隱私保護(hù)的法律體系。（1）加快《個(gè)人信息保護(hù)法》的立法進(jìn)程，推進(jìn)學(xué)生數(shù)據(jù)隱私保護(hù)早在十多年前，人們就開(kāi)始關(guān)注并研究隱私權(quán)及個(gè)人信息保護(hù)中的突出問(wèn)題，著手開(kāi)展《個(gè)人信息保護(hù)法》的研究、論證及起草工作，期待對(duì)隱私權(quán)和個(gè)人信息保護(hù)提供專門(mén)的法律保障。然而，令人遺憾的是，2020年10月公布的《個(gè)人信息保護(hù)法》草案未專門(mén)規(guī)定未成年人信息的保護(hù)，也未涉及到隱私權(quán)。為此，建議草案增加相關(guān)內(nèi)容，加快立法進(jìn)程，盡快通過(guò)并實(shí)施，以期從國(guó)家層面推動(dòng)學(xué)生數(shù)據(jù)隱私保護(hù)工作。（2）建議制定專門(mén)的《學(xué)生數(shù)據(jù)隱私保護(hù)法》在法律的制定上，應(yīng)該從國(guó)情出發(fā)，借鑒歐美國(guó)家的經(jīng)驗(yàn)，加緊制定諸如《學(xué)生數(shù)據(jù)隱私保護(hù)法》等具有針對(duì)性、可操作性、更加細(xì)化的法律法規(guī)，逐步形成可以在教育行業(yè)具體實(shí)施的法律框架。歐盟的GDPR對(duì)各種機(jī)構(gòu)和組織處理數(shù)據(jù)進(jìn)行了統(tǒng)一的規(guī)范，具有較好的約束性和強(qiáng)制性；美國(guó)的FERPA、COPPA等對(duì)教育機(jī)構(gòu)、運(yùn)營(yíng)服務(wù)商等教育利益相關(guān)方就數(shù)據(jù)處理進(jìn)行規(guī)范，保護(hù)學(xué)生群體的利益不受侵犯。以上均可以為我們提供立法的具體思路。（3）出臺(tái)專門(mén)的行政法規(guī)或者部門(mén)規(guī)章教育部近三年來(lái)了多個(gè)涉及教育數(shù)據(jù)管理的文件，如《教育部機(jī)關(guān)及直屬事業(yè)單位教育數(shù)據(jù)管理辦法》明確了教育數(shù)據(jù)各環(huán)節(jié)的管理程序，保王明雯,李青,王海蘭歐美學(xué)生數(shù)據(jù)隱私保護(hù)立法與實(shí)踐現(xiàn)代遠(yuǎn)程教育研究,2021,33(2)學(xué)術(shù)時(shí)空護(hù)個(gè)人隱私，保障教育數(shù)據(jù)資源安全；《教育部政務(wù)服務(wù)事項(xiàng)目錄》要求各教育機(jī)構(gòu)建立健全保密審查制度，加大對(duì)涉及國(guó)家秘密、商業(yè)秘密、個(gè)人隱私等重要數(shù)據(jù)的保護(hù)力度。但是，現(xiàn)有管理制度尚未細(xì)化到學(xué)生數(shù)據(jù)保護(hù)的具體問(wèn)題，缺乏針對(duì)性和實(shí)操性，也未形成完整的體系。為了推進(jìn)相關(guān)法律的落實(shí)，補(bǔ)充法律不能或來(lái)不及覆蓋的領(lǐng)域，加強(qiáng)對(duì)學(xué)校、市場(chǎng)的監(jiān)管，教育部門(mén)應(yīng)盡快聚焦保護(hù)學(xué)生數(shù)據(jù)安全和數(shù)據(jù)隱私，引導(dǎo)專業(yè)機(jī)構(gòu)制定較為詳細(xì)的數(shù)據(jù)隱私保護(hù)方案和行動(dòng)指南，降低因使用范圍、使用目的不明確所帶來(lái)的數(shù)據(jù)風(fēng)險(xiǎn)。（4）在北上廣等教育信息技術(shù)發(fā)達(dá)的地區(qū)可率先制定地方性法規(guī)，為其他地區(qū)提供借鑒我國(guó)的教育信息化發(fā)展不均衡，北上廣等教育信息化發(fā)展較快的地區(qū)，技術(shù)基礎(chǔ)更為完善，公眾的權(quán)利保護(hù)意識(shí)更強(qiáng)?？梢試L試在這些地區(qū)開(kāi)展關(guān)于學(xué)生數(shù)據(jù)隱私保護(hù)的地方性法規(guī)制定工作，基于“試點(diǎn)先行，以點(diǎn)帶面，逐步推廣”的原則，自下而上帶動(dòng)更多地區(qū)參與到數(shù)據(jù)隱私保護(hù)活動(dòng)中，探索數(shù)據(jù)隱私保護(hù)的新模式。（5）修改完善相關(guān)法律規(guī)定，增加涉及學(xué)生數(shù)據(jù)隱私保護(hù)的內(nèi)容對(duì)現(xiàn)行的《兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定》等已經(jīng)涉及到數(shù)據(jù)隱私保護(hù)、個(gè)人信息保護(hù)的法律法規(guī)及部門(mén)規(guī)章，可適時(shí)修改和完善，增加關(guān)于學(xué)生數(shù)據(jù)隱私保護(hù)的條款，形成一個(gè)有利于學(xué)生數(shù)據(jù)保護(hù)的法律體系，真正做到有法可依。3.加強(qiáng)行業(yè)自律，規(guī)范市場(chǎng)行為。（1）鼓勵(lì)企業(yè)、機(jī)構(gòu)實(shí)施行業(yè)自律政府部門(mén)應(yīng)鼓勵(lì)和幫助相關(guān)企業(yè)、機(jī)構(gòu)根據(jù)自身特點(diǎn)，規(guī)范其處理學(xué)生數(shù)據(jù)的業(yè)務(wù)流程，開(kāi)展數(shù)據(jù)隱私保護(hù)工作。行業(yè)組織也應(yīng)積極組織會(huì)員單位協(xié)商制定行業(yè)公約，規(guī)范各企業(yè)在學(xué)生數(shù)據(jù)收集、使用方面的活動(dòng)，編制數(shù)據(jù)隱私保護(hù)協(xié)議，推進(jìn)公約的執(zhí)行和相互監(jiān)督。（2）加強(qiáng)基礎(chǔ)設(shè)施建設(shè)，運(yùn)用先進(jìn)技術(shù)提高保障能力在開(kāi)展學(xué)生數(shù)據(jù)隱私保護(hù)工作時(shí)，還應(yīng)關(guān)注基礎(chǔ)設(shè)施的建設(shè)，為數(shù)據(jù)處理提供安全的技術(shù)環(huán)境。區(qū)域教育數(shù)據(jù)中心、使用數(shù)據(jù)的教育機(jī)構(gòu)，以及互聯(lián)網(wǎng)教育服務(wù)商應(yīng)保障數(shù)據(jù)的安全和可控，在數(shù)據(jù)流動(dòng)的源頭做好隱私保護(hù)工作，既要采用技術(shù)手段保證內(nèi)部數(shù)據(jù)安全，還要注意防范外部侵害活動(dòng)。數(shù)據(jù)管理者應(yīng)監(jiān)管從采集到應(yīng)用的各個(gè)流程和整體運(yùn)行機(jī)制，一旦出現(xiàn)問(wèn)題，馬上修復(fù)。（3）推進(jìn)標(biāo)準(zhǔn)化、規(guī)范化工作數(shù)據(jù)安全離不開(kāi)標(biāo)準(zhǔn)。數(shù)據(jù)平臺(tái)可使用P3P、EPAL等國(guó)際通用數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)，針對(duì)不同類型的隱私建立不同的保護(hù)策略，采用匿名、加密、數(shù)據(jù)干擾等一系列保護(hù)技術(shù)（唐亮，2016）。國(guó)家層面，應(yīng)統(tǒng)一編制學(xué)生數(shù)據(jù)標(biāo)準(zhǔn)和隱私保護(hù)要求，可參照美國(guó)國(guó)家教育統(tǒng)計(jì)中心（NationalCenterforEducationStatistics，NCES）的《通用教育數(shù)據(jù)標(biāo)準(zhǔn)》（CommonEducationDataStandards，CEDS），規(guī)范數(shù)據(jù)來(lái)源、數(shù)據(jù)質(zhì)量、數(shù)據(jù)格式等。各機(jī)構(gòu)和教育信息化企業(yè)在數(shù)據(jù)收集、使用、修改、刪除等過(guò)程中，也應(yīng)基于標(biāo)準(zhǔn)實(shí)施，降低數(shù)據(jù)泄漏風(fēng)險(xiǎn)。4.營(yíng)造隱私保護(hù)的社會(huì)大環(huán)境，構(gòu)建多方參與的治理體系。學(xué)生數(shù)據(jù)隱私保護(hù)需要充分動(dòng)員，以“政府主導(dǎo)、共同參與”的形式展開(kāi)，構(gòu)建全社會(huì)參與的治理體系，營(yíng)造安全可靠的良好氛圍。在歐美，非官方組織在學(xué)生數(shù)據(jù)隱私保護(hù)實(shí)踐中最為活躍，承擔(dān)了很多行政手段難以落地的工作，我們應(yīng)當(dāng)加以借鑒。國(guó)家在立法、制定政策，以及采取保護(hù)措施時(shí)，也應(yīng)該傾聽(tīng)來(lái)自不同利益相關(guān)方的聲音，在符合法律和道德的前提下，以促進(jìn)教育健康發(fā)展和人才培養(yǎng)為目的，做到數(shù)據(jù)順暢流通，發(fā)揮學(xué)生數(shù)據(jù)最大效益。

作者:王明雯 李青 王海蘭 單位:西昌學(xué)院