在线教育领域的常见个⼈信息保护问题
举国抗击新冠肺炎疫情的⼤背景下,“停课不停学“⼤⼤推进了在线教育的发展。疫情期间,好未来(学⽽思)、⽹易有道、作业帮、猿辅导等在线教育公司争相推出免费直播课,阿⾥钉钉、腾讯课堂、ClassIn、Zoom等在线教育平台和技术服务商帮助学校开设线上课程,快⼿、抖⾳、bilibili、虎⽛直播等⽹络平台也纷纷着⼒打造教育板块。数以亿计传统学校场景中的教师和学⽣得以深度体验线上教学。虽然突如其来的需求让不少公司应接不暇,⽤户体验也往往难称圆满,但我国的在线教育⽆疑迎来了跃迁性发展的宝贵机遇。
另⼀⽅⾯,教育的线上化涉及多⽅⾯的法律问题。在数据合规⽅⾯,许多教育科技公司在帮助学校推进线上化的同时,需要收集学⽣的个⼈信息和学习⾏为数据,继⽽通过⼤数据分析改进产品,⽽学校则对让第三⽅接触学⽣个⼈信息和学校的教育内容资源有很⼤的顾虑。本⽂简要分析教育线上化常见的⼏种业务模式,梳理所涉及的有关个⼈信息保护的法律问题,并提出⼀些初步建议。
教育线上化、智能化的⼀个常见产品是智能批改系统,它利⽤⼈⼯智能和知识图谱技术,根据学⽣的答题情况判断其对知识点的掌握程度,并给出相应的教学建议。这⽅⾯的⼀种业务模式是向学校提供该等产品。
业务模式⼀(智能批改系统)
教育科技公司为学校提供学⽣作业和随堂考试答卷的智能批改、智能阅卷系统。在使⽤中,通常由班⼲部协助⽼师把学⽣作业或答卷扫描上线,系统能快速给出答案和分数,并为学⽣提供“错题本”的功能(即指出该学⽣的薄弱知识点,以便做有针对性地练习),为⽼师提供“学情分析”的功能(即显⽰全班、全年级的知识点掌握情况,以便相应调整教学安排)。该类产品⼀般仅限于收集学⽣的答题信息。 [1]
这种业务模式的⼀个关键点是学校需向教育科技公司提供学⽣的答题信息。我国法律对于个⼈信息的收集、使⽤、存储和向他⼈提供有着⼀系列的规定。《民法总则》规定,任何组织和个⼈需要获取他⼈个⼈信息的,应当依法取得并确保信息安全,不得⾮法收集、使⽤、加⼯、传输他⼈个⼈信息,不得⾮法买卖、提供或者公开他⼈个⼈信息。 [2]
《信息安全技术个⼈信息安全规范》(“ 《个⼈信息安全规范》”)对个⼈信息的转让进⼀步设置了⼀系列要求,包括事先开展信息安全影响评估、向个⼈信息主体告知信息转让的⽬的及数据接收⽅的类型并征得其同意,等等。 [5]
⽽且,绝⼤部分中⼩学⽣是未成年⼈,许多还是低于14岁的⼉童。根据《个⼈信息安全规范》第5.5(c)条,收集年满14周岁的未成年⼈的个⼈信息前,应征得未成年⼈或其监护⼈的明⽰同意;不满14周岁的,应征得其监护⼈的明⽰同意。对于涉及⽹络和⽹络服务提供以及14岁以下⼉童的情形,《⼉童个⼈信息⽹络保护规定》也有类似的要求。
那么,如果难以获得学⽣及家长的同意,这类业务模式是不是就不合法了呢?也不⼀定。我们理解,实践中这类业务往往采⽤云服务的⽅式,学⽣答卷在扫描后直接上传到教育科技公司的服务器。开展这类业务的教育科技公司也许可以从以下两⽅⾯着⼿,规避法律风险:
⼀、个⼈信息的匿名化处理
⼆、在物理或逻辑上增加部署⼀层由学校掌控的服务器
如果采⽤这种办法,学⽣答卷在扫描后将⾸先被传输到学校掌控的服务器,在学校服务器上实现产品的部分功能(如批改、错题本),学⽣答题信息在匿名化处理后再提供给教育科技公司。
教育线上化不仅涉及教学活动本⾝(如作业批改),还涉及学校的其他相关或辅助活动(如教学管理、考勤统计等等)。许多教育科技公司为学校提供这⽅⾯的服务。
业务模式⼆(校园信息化系统)
教育科技公司为学校建设并维护信息化系统,其中包括云平台、管理系统软件、远程教学⼯具等部分。系统会收集学⽣的个⼈数据,包括学籍、住址、联系⽅式、同学录、选课、考试成绩、出勤、作业和测验内容等等。在为学校运营和维护该等系统时,教育科技公司经常有机会接触到系统所收集的数据。
校园信息化系统收集的上述学⽣个⼈数据很可能构成个⼈信息。学校在为校园信息化系统选择服务商时,需要履⾏审慎
校园信息化系统收集的上述学⽣个⼈数据很可能构成个⼈信息。学校在为校园信息化系统选择服务商时,需要履⾏审慎义务,进⾏安全影响评估,确保服务商具备相应的数据安全能⼒。学校应在与服务商的合同中,清晰界定系统上各类信息(既包括上述学⽣个⼈数据,也包括系统上的其他信息,如学校教务管理和⽼师的教研内容)的权属,明确规定服务商除了为了运营和维护系统的需要⽆权使⽤系统上的学⽣个⼈数据和其他属于学校的信息。在系统运营中,学校也应对服务商进⾏监督。
⽬前校园信息化系统⼤都采⽤“整体解决⽅案”,由多个服务商共同提供成套系统服务,有些应⽤模块还可能进⼀步分包给其他供应商。所以,学校在与服务商的合同中还可以考虑对服务商分包设定⼀些条件和限制,包括学校对分包的知情权和话语权,分包商应有的技术能⼒和产品及服务质量,以及服务商对分包商的产品或⼯程质量或违法违约⾏为应承担的责任。
教育科技公司商业模式的⼀个重要⽅⾯是通过对其收集的信息进⾏⼤数据分析,获取商业或市场情报,以指导其商业决策或提供给第三⽅(如教辅材料、校车等相关⾏业)。如在讨论业务模式⼀时提及,学⽣个⼈信息在匿名化处理后不再是个⼈信息。学校与教育科技公司可以就后者是否有权使⽤校园信息化系统上经匿名化处理的学⽣个⼈信息以及数据处理成果的权属⾃主达成商业约定。在此约定的前提下,
教育科技公司可以采⽤“联邦学习”(Federated Learning)等技术,在保护数据隐私的同时对不同来源的信息进⾏综合数据分析。
校园信息化系统所收集的学⽣个⼈数据中,往往会包括⼀类在法律上需要特别关注的信息,即“个⼈敏感信息”。举例如下:
业务模式三(智慧校园⼀卡通)
教育科技公司为学校建设和运营智慧校园⼀卡通系统,通过基于CPU卡、⾦融IC卡等载体的智能学⽣证提供门禁、考勤、校内⾏迹跟踪等功能,学⽣还能通过该系统在校内刷卡消费。学校会为每个学⽣单独设⽴账户记录其个⼈数据,学⽣还可以充值消费。 [7]
《个⼈信息安全规范》要求,个⼈信息控制者在共享、转让个⼈敏感信息前,除了适⽤于所有个⼈信息的告知义务之外,还应向个⼈信息主体告知涉及的个⼈敏感信息的类型、数据接收⽅的⾝份和数据安全能⼒,并事先征得个⼈信息主体的明⽰同意。 [9]其中“明⽰同意”是指通过书⾯声明或主动勾选、点击“同意”等⾏为,对其个⼈信息进⾏特定处理做出明确授权。 [10]学校和教育科技公司在处理个⼈敏感信息时,需特别关注相关要求。
以上三种业务模式都是教育科技公司与学校合作,帮助推进在校教育活动的线上化,涉及学⽣、学校和
教育科技公司三⽅主体。另⼀⽅⾯,我国的校外教育培训领域在过去⼏年也得到了迅速发展,其中⼀种典型的业务模式如下:
业务模式四(作业批改App)
教育科技公司向学⽣和家长提供作业智能批改App,使⽤中由⽤户将作业扫描上传,App提供作业批改、答疑、拍照搜题、个性化习题推送等功能。公司还可能把统计过的答题信息出售给教辅商,⽤于开发作业教辅产品。 [11]
与前⽂所述的三类业务模式不同,业务模式四是直接的To C模式,仅涉及教育科技公司与学⽣两⽅。就个⼈信息保护⽽⾔,采⽤业务模式四的教育科技公司应关注以下两⽅⾯的法律问题。
⼀、过度收集⽤户信息
《⽹络安全法》规定,⽹络运营者收集、使⽤个⼈信息,应当遵循合法、正当、必要的原则,不得收集与其提供的服务⽆关的个⼈信息。 [12]
⼀段时期以来,我国的移动应⽤App普遍存在过度收集⽤户个⼈信息的现象,对此监管部门采取了⼀系列整治措施。2019年11⽉,国家互联⽹信息办公室、⼯业和信息化部、公安部、国家市场监督管理总局发布了《App违法违规收集使⽤个⼈信息⾏为认定⽅法》,规定以下⾏为可被认定为“违反必要原则,收
集与其提供的服务⽆关的个⼈信息”:
1.收集的个⼈信息类型或打开的可收集个⼈信息权限与现有业务功能⽆关;
2.因⽤户不同意收集⾮必要个⼈信息或打开⾮必要权限,拒绝提供业务功能;
3.App新增业务功能申请收集的个⼈信息超出⽤户原有同意范围,若⽤户不同意,则拒绝提供原有业务功能,新增业务
功能取代原有业务功能的除外;
4.收集个⼈信息的频度等超出业务功能实际需要;
5.仅以改善服务质量、提升⽤户体验、定向推送信息、研发新产品等为由,强制要求⽤户同意收集个⼈信息;
6.要求⽤户⼀次性同意打开多个可收集个⼈信息的权限,⽤户不同意则⽆法使⽤。
6.要求⽤户⼀次性同意打开多个可收集个⼈信息的权限,⽤户不同意则⽆法使⽤。
教育科技公司应在其App产品中避免上述情况。据我们观察,在监管部门多次整治措施的推动下,教育
类App过度收集⽤户信息的情况有了明显的改善。
⼆、个性化推送
在业务模式四中,教育科技公司往往会对⽤户的答题信息进⾏数据分析,指出其薄弱的知识点,并推送有针对性的习题。2019年10⽉公布的《信息安全技术个⼈信息安全规范(征求意见稿)》(“ 《个⼈信息安全规范(征求意见稿)》”)把这类⾏为称为“个性化展⽰”,并提出如下相关要求:
•显著区分个性化展⽰的内容和⾮个性化展⽰的内容(如标明“定推”,或通过不同的栏⽬、版块、页⾯分别展⽰等);•在向⽤户提供个性化展⽰时,同时提供不针对其个⼈特征的选项;
•建⽴⽤户对个性化展⽰所依赖的个⼈信息(如标签、画像维度等)的⾃主控制机制,保障⽤户调控个性化展⽰程度的能⼒。 [13]个人敏感信息
虽然《个⼈信息安全规范(征求意见稿)》尚未⽣效,但仍可供教育科技公司在设计产品时借鉴和参考。
教育线上化可以让有限的优质教育资源为更多的学⽣服务,是⼤势所趋。本⽂从个⼈信息保护的⾓度简要分析了教育线上化所涉及的常见法律问题。除此之外,教育科技公司当然还应关注证照、备案、运营合规等⽅⾯的相关监管要求。教育线上化也还会涉及其他领域(如知识产权)的法律问题,我们会在后
续⽂章⾥加以探讨。
[2]《民法总则》第111条。
[3]《⽹络安全法》第41、42条。
[4]《民法典》(草案)第1035、1038条。虽然《民法典》(草案)仅为草案,尚未被⽴法机关通过,但其在⼀定程度上反映了我国的⽴法趋势,在监管和司法实践中有⼀定的借鉴和参考意义。
[5]《个⼈信息安全规范》第8.2条。《个⼈信息安全规范》系推荐性国家标准,并⽆强制性法律效⼒。但是,由于《民法总则》、《⽹络⽹安法》等现⾏法律法规的规定较为原则性,监管部门在实践中有可能会参照《个⼈信息安全规范》进⾏诠释。
[6]《⽹络安全法》第76条之五。《民法典》(草案)也有类似的定义(第1034条)。
[8]《个⼈信息安全规范》第3.2条。
[9]《个⼈信息安全规范》第8.2条。
[10] 《个⼈信息安全规范》第3.6条。
[12]《⽹络安全法》第41条。
[13]《个⼈信息安全规范(征求意见稿)》第7.5条。
The End
作者简介
李俊杰律师
业务领域:资本市场/证券, 私募股权与投资基⾦, ⼀带⼀路与海外投资
特别声明:
如需转载或引⽤该等⽂章的任何内容,请私信沟通授权事宜,并于转载时在⽂章开头处注明来源于“中伦视界”及作者姓名。未经本所书⾯授权,不得转载或使⽤该等⽂章中的任何内容,含图⽚、影像等视听资料。如您有意就相关议题进⼀步交流或探讨,欢迎与本所联系。