论高校对学生个人信息的权责范畴

　摘要

在信息技术发展与《个人信息保护法》出台的背景下，高校数据化建设任务和对学生个人信息的保护的重要性逐渐显现，而二者由于技术限制、制度设置不完善等问题，存在许多矛盾，在实践过程中，高校在对学生个人信息进行数据收集时常常权力越界，导致学生个人信息受到侵害，如何界定高校对学生个人信息的权力边界，怎样才能为学生个人信息提供合法、有效的保障，是目前《个人信息保护法》出台后的一个主要问题。

本文基于《个人信息保护法》出台和疫情防控结束后的时代背景，对个人信息的相关理论以及高校管理的相关制度进行了广泛的搜索和整理，在此基础上运用了概念界定法与法条分析法，对高校在学生个人信息管理过程中的权责范围展开了研究，尝试将高校对学生个人信息权力的边界清晰化，从而更好地保护学生个人信息权益。

经过对高校档案管理中主体资格问题、权力边界问题、立法不足的等问题的研究，得出以下结果：首先，对于高校应严格审查其主体资格与权力界限。其次，当《个人信息保护法》落实到具体领域后，概念性的、原则性的规制难以落到实处，还需具体问题具体分析，将《个人信息保护法》更详细的规制落实。最后，配套监管体系和制度建设也应随之进行。

本文的主要通过对高校档案管理制度和《个人信息保护法》进行分析，发现了《个人信息保护法》在具体领域的实践还存在界限模糊的问题，学生应加强自身相关维权致使建设，积极维护自身权益，高校应当遵守法律法规的规定，积极解决相关个人信息管理制度上的缺陷，积极保护学生个人信息权益；国家也应继续完善相关法律法规建设，将原则性、抽象的规制细化，争取做到有法可依。

　关键词：个人信息保护法;高校档案管理制度;高校学生;个人信息

　一、研究背景

　　（一）现实背景

随着信息技术的不断发展和《个人信息保护法》的颁布，高校在数字化制度建设和学生个人信息保护方面的重要性逐渐凸显。然而，由于技术限制和制度设置不完善等问题，这两者之间存在着许多矛盾。在实践中，高校常常越界权力，导致学生个人信息受到侵害。因此，如何明确高校在对学生个人信息收集、管理和利用过程中的权力边界，怎样才能为学生个人信息提供合法、有效的保障，是目前《个人信息保护法》出台后的一个主要问题。

　（二）法律背景

2014年，中国最高人民法院发布了《最高人民法院关于审理信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定（修订）》，其中第十二条指出，人民法院应当支持侵犯隐私权和其他个人信息权的请求。虽然法律条文中对个人信息和隐私的保护是平等的，但是司法实践常常将个人信息的保护置于隐私权保护之下。在罗某诉某保险公司案（侵犯隐私权纠纷）中，被告某保险公司未经罗先生同意，获取、使用了原告罗先生的姓名、电话号码、车辆保险信息等个人信息。罗先生起诉保险公司非法收集、使用其个人信息。法官认为侵犯隐私权的行为是有罪的，隐私权被认为是公民在其私人生活和个人信息方面享有的人格权利。未经当事人许可，收集、使用、提供个人信息，如姓名、住址、身份证号码、电话号码，构成对隐私权的侵犯。类似的判决书中也可以看到上海市浦东新区法院（2009）浦民初字第9737号，被告某网络科技公司未经客户同意，向保险公司提供客户信息。法院支持原告侵犯隐私权的诉讼，认为信息隐私在隐私权中占有重要地位，未经许可而泄露他人信息属于侵犯自己隐私权。法院在上述司法实践中均一致认为个人信息对隐私具有重要意义。个人信息都不存在单独保护，而是纳入隐私保护范围。

而2017年《民法总则》颁布后，法院案例中，“侵犯个人信息纠纷”等与个人信息侵权有关的字眼频繁出现，成为新型的纠纷。法院对个人信息保护的模式也开始发生改变，不再是采用隐私保护的方式保护个人信息，而是独立的判断个人信息保护的内容。虽然法院开始将个人信息保护和隐私保护区分开来，但判决中仍然存在歧义，主要存在于三个方面：第一个方面是部分法院认为个人信息属于隐私的范畴。其次，一些法院在判决中将个人信息和隐私混为一谈，不将二者区分开。第三方面则是有些信息在某些特定情况下属于隐私的范畴，但在其他情况下属于个人信息，法院将其分情况定义。

2020年《民法典》出台，正式将个人信息放在了人格权编，采用“概括＋列举”的方式对个人信息进行定义。既确定了个人信息在人格权保护中的地位，又有一定的开放性，为未来的个人信息保护预留了空间。2020年，我国新修订了《中华人民共和国档案法》对数据时代档案管理方面的个人信息安全问题进行了规定。2021年，《中华人民共和国个人信息保护法》出台，与个人信息保护有关的规制更详细、体制更完善、下置的权利体系得到优化。

　（三）主要问题

在现阶段的实践过程中，高校对学生个人信息的管理主要遇到了以下几个方面的问题。首先，高校对于学生个人信息的收集范围不合理，存在过度收集的现象。其次，疫情期间处于疫情防控需要，高校与多方外部机构合作，通过第三方机构更高效地收集、管理学生个人信息，然而实际上许多第三方机构本身不具备相应资质且其自身系统安全性不足，大量学生个人信息被泄露。目前对于个人信息的立法重点在于规制私领域的个人信息获取和使用问题，但高校对学生个人信息管理属于公权力的范围，对公权力仅采用抽象性的概念性的规制，不明确的权利范围导致高校权力常“越界”，侵犯了学生个人权益。法律法规出台而监管措施的不足则导致了法律法规难以落实到位，许多制度要求形同虚设。最后，人脸识别技术、生物信息技术等信息技术的发展以及高校电子化管理的需要推动了信息技术深入高校管理工作中，但在信息时代的背景下，相关信息极易被信息技术挖掘、联系，从而导致严重的人身财产损失，信息技术的使用与权衡问题也值得我们去重视。

二、高校对学生个人信息权责的法律依据

　　（一）高校学生个人信息的基本概念

随着信息技术的发展，个人数据的数字化处理已经成为一种普遍现象，数字信息提高了经济和社会发展的效率，成为当今人们生活中不可或缺的一部分。因此，对个人数据的法律保护也逐渐从传统的严格的隐私保护发展到更加平衡的保护。尽管个人信息的定义似乎很简单，但最近技术的快速发展使得描述其范围变得令人惊讶地困难。随着网络技术的普及，定位、照片等不同类型的个人信息已经出现，并大量存储在网络上。所有技术变革都挑战了我们对个人数据的看法，并对网络安全领域如何保护这些信息产生了影响。由于技术发展，个人信息的性质不断变化，不仅代表着于正在处理的信息量的增加，对个人信息保护的难度也相应提高了，在这个过程中，对于个人信息的定义，即确定需要保护的数据范围，也出现了不同的意见。

目前，在国家或国际层面上对个人信息的定义还没有达成共识，主要有三种立场－－关联说、隐私说和识别说。[1]关联说即相关性理论，以信息本身与信息主体的关联性为标准，强调与信息主体的关联性，凡是有关联的均认定为个人信息。这一理论把有关人的全部信息，例如身份信息，身体特征等有关个人所有事务的事实，判断评价，都普遍纳入个人信息中，涉及到个人人格或者私生活。该学说认为，个人信息属于个人隐私的一部分，而个人信息是隐私权的下位概念。X教授Parent认为“个人信息系指社会中多数所不愿向外透漏者（除了对朋友、家人等之外）；或是个人极敏感而不愿他人知道者（如多数人不在意他人知道自己的身高，但有人则对其身高极为敏感，不欲外人知道）。”识别说理论，即以信息是否具有识别性、是否能确定信息主体为标准界定个人信息。目前识别是学术界的主导立场，我国也采用识别说的方法对个人信息进行定义。

我国现有法律中有多部法律法规对个人信息的概念进行了界定，如《网络安全法》第76条、《中华人民共和国民法典》第103条以及《个人信息保护法》第4条。目前，我国立法对个人数据的定义明确为：除了经过匿名处理的、难以识别到具体个人的信息之外，所有以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息。

从上述定义来看，我国法律中的个人数据有几个特点：第一，个人数据的主体仅限于自然人；第二，信息必须被记录；第三，信息必须能够被识别，即该信息单独或在信息必须能够识别特定的自然人，无论是单独还是与其他信息结合。[2]另一种意见则认为，如已知特定自然人，自然人在活动中所生成的资料（例如，个人位置数据，个人通话记录等）亦为个人信息。[3]如果在匿名化之后，该信息不能被识别为特定的自然人，根据上述定义，它不构成该法意义上的个人信息。[4]

本文中学生个人信息与一般个人信息的概念并不完全相同，学生是相较于高校而言的相对概念，本文探讨的学生个人信息也是在基于校管理背景下的个人信息，主要包含学生的姓名、出生日期、身份证件号码、住址、电话号码、电子邮箱、健康信息、行踪信息等。

我国《个人信息保护法》根据敏感性的不同，将个人信息分为敏感信息与一般信息。前者是指一旦泄露、非法获取或者不正当使用会危及人身财产安全的信息。《个人信息保护法》中对敏感个人信息单独设立了更为严格的保护规则，如对生物识别、行踪轨迹等敏感个人信息要求取得个人单独同意才能进行处理；对于十四周岁以下未成年人的敏感个人信息要求取得其父母或其他监护人同意才能进行处理。[5]在高校对学生个人信息的管理中，对于敏感个人信息的保护要格外的重视且严格规制。

根据数据处理必要性的不同，可以将个人信息分为必要个人信息和非必要个人信息。必要个人信息是指如果该信息缺乏则无法进行有效服务的个人信息。对于学生的非必要个人信息，高校不得利用其在管理过程中的优势地位强制要求其提供非必要信息。如在疫情期间，学生在回家和返校时常常被要求提供行踪信息，但在疫情结束后，相关行踪信息在学校管理过程中已经不再具有必要性，学校不得强制要求学生提供相关信息。

（二）高校收集学生个人信息的法律依据

《个人信息保护法》对个人信息收集的法定要件，打破了传统，构建了多元合法性基础。在原有一些部门法如《消费者权益保护法》《网络安全法》中的与个人信息有关的法条，都将“知情同意”作为个人信息收集、使用的必要条件。据此，高校作为个人信息的使用方必须获得学生的同意方可获取、处理个人信息。这样的立法逻辑近乎使得“同意”是个人信息处理的必要条件。这一规则一般化了，其法律效果就是，个人信息的使用由个人决定，个人信息成为了一个法律意义上的客观个体，受到信息主体的支配，也就是常说的对于个人信息所谓的“支配权”。但此种规制过分扩大了个人利益保护的客体范围，不利于高校的有效管理。高校作为公共管理的主体，是公共利益的代表之一，其收集、管理学生档案是为了给学生提供更好的学习环境和完善的制度体系。公共利益与个人利益并不是完全对立的，公共利益一定程度上是服务于个人利益的，也就是二者是即对立又统一的关系，当高校的公共利益与学生个人利益发生冲突时，为了实现公共利益，在满足比例原则、利益补偿原则及正当程序原则的基础上，对个学生人权利进行一定的限制具有正当性。在个人信息保护领域，当基于公共利益目的进行的个人信息处理与信息主体的人格尊严或自由发生冲突时，也需要对个人的权利和自由做出一定的限制。[6]因此，知情同意原则不适用于基于公共利益的高校档案管理工作，高校收集学生个人档案信息的原因是公共利益的需要，该公共利益服务于学生个人利益，高校的行为自然是具备合法性的，不需要再征求学生同意。但是公共利益的内涵和外延具有很强的不确定性，高校档案管理实践中往往存在公共利益边界不明确、高校权利越界的问题。因此必须严格控制公共利益的边界，否则高校在档案管理中作为较强势的一方，对学生个人权益的侵蚀存在极大的危险性。法律实证主义者凯尔森认为，只有将国家目的予以法制化，才能完成承认其为公益的过程，才有公益的价值。在我国的法治体系中，公共利益主体需严格遵守法无授权不可为的要求。而高校对学生个人档案信息进行收集处理的相关法律规定，则应该将高校的权利边界具体化，让“法无授权不可为”得到落实。

除了日常的信息处理外，高校对学生个人信息的获取、管理主要都体现在高校档案管理制度中，对学生个人信息的保护首先要从档案制度出发。良好的档案管理工作需要规范健全的制度，建立健全档案管理制度是提升档案管理工作的有力保障。

目前我国针对高校学生档案管理的相关法律法规主要有《中华人民共和国档案法》《高等学校档案管理办法》《个人信息保护法》等，这些政策法规成为高校学生党员档案工作的法律依据。[7]2020年6月20日，第十三届全国人大常委会第十九次会议审议通过了最新修订的《中国人民共和国档案法》，根据《高等学校档案管理办法》的规定，高校档案是指高等学校从事招生、教学、科研、管理等活动直接形成的对学生、学校和社会有保存价值的各种文字、图表、声像等不同形式、载体的历史记录。[8]不仅如此，《中华人民共和国档案法》新增了第五章“档案信息化建设”的内容，为高校档案管理信息化发展提供了制度支持。

根据我国《个人信息保护法》的规定，高校作为公权力主体与私权利主体时，对个人信息的法定收集条件和收集范围都有所不同。

当高校作为私权利主体对个人信息进行收集、使用时，首先应符合资格要件。高校作为私权利主体时，其资格要件是必须为合格的个人信息处理者。存在准则主义和许可主义两种不同的规定。准则主义，是指非公务机关作为信息处理者处理信息主体的个人信息时，应当向个人信息保护主管机关申请，由该机关通过形式审查而予以登记并颁发个人信息处理资格证书的个人信息处理形式。[9]许可主义，则是指非公务机关作为信息处理者处理信息主体的个人信息时，应当向个人信息保护主管机关申请，由该机关进行实质审查方予以登记并颁发个人信息处理资格证书的个人信息处理形式。二者均认为信息处理者处理信息主体的个人信息时应当履行相应的程序，并由此具有相应的资格。[10]由于许可主义审查标准较为严格，强调国家干预，却容易导致信息传播不自由，不利于信息社会发展，因此准则主义较为适当，但某些特定个人信息的处理如个人信用信息，由于其与财产权益相关性较强，相较于其他个人信息其不当获取、传播后造成侵害的可能性更大，则需采取更为严格的许可主义。

其次，高校应符合特定目标要件。所谓个人信息处理的特定目的要件，是指信息处理者处理个人信息应当符合特定之目的，是实现该特定目的所必要的，一般不得超出该目的，且应当与该特定目的具有关联性。[11]

然后，高校的行为应该符合不侵权要件。信息处理者对信息主体个人信息的处理应当尊重其合法权益，不得侵害其合法权益。对信息主体而言，个人信息处理不同于其他信息之处理，这主要是因为个人信息关乎其人格利益和财产利益。因此，信息处理者对之进行的处理必然会对信息主体的相关合法权益产生影响。故而，信息处理者的个人信息处理行为不得侵害信息主体的合法权益。

高校作为公权力主体处理对个人信息进行收集、使用时，应严格遵守法无授权不可为的最基本要件。并且也因符合目的要件、资格要件、特定目的要件、不侵权要件。而正如上述分析，当高校基于公权力，处于公共利益的目的处理个人信息时，公共利益可以独立作为个人信息处理的合法性基础之一。基于公共利益所进行的个人信息收集、使用具有当然的合法性，无须再征得信息主体的同意。

（三）高校对学生个人信息权责的内容

目前高校对学生个人信息的权责主要体现在对学生个人信息的保护中，因此本文主要通过高校对学生个人信息的流程进行分析来确定高校的权责内容，高校对学生个人信息的保护主要表现为对学生个人信息收集，保管，公布利用三个环节。

第一，高校对学生个人信息的保护体现在对学生个人信息收集过程的保护。

首先，高校在对学生个人信息收集过程应该遵循依法收集原则。但是在实践中往往存在收集过于频繁——同样的个人信息收集多次、收集方法不科学——在公共群用共享文件公开收集、收集人员随意——委托学生进行信息收集等问题，给学生个人信息的泄露埋下巨大隐患。应该严格遵守法律规定，不能过度收集学生个人信息，不属于高校应当收集的学生个人信息，高校不得强制收集，否则会侵犯学生的个人隐私权。[12]例如，结合《档案法》中的具体规定，可发现新修订的《档案法》与时俱进，在档案收集主体与职责，档案收集对象与范围，档案征集内容与途径，档案移交时限与要求以及档案接收流程等方面都有新的扩展和优化。[13]第一，新修订《档案法》关于档案收集的内容有所细化。其一，要求机关、团体、企业事业单位和其他组织建立档案工作责任制，加强档案收集工作；[14]其二，从“反映机关、团体组织沿革和主要职能活动的”和“反映历史上各时期国家治理活动、经济科技发展、社会历史面貌、文化习俗、生态环境”等五个方面进一步明确了对国家和社会具有保存价值的档案材料的归档范围；其三，将电子档案纳入档案收集范围。

二是高校对学生个人信息应收集齐全。在档案收集领域，部分高校档案管理人员对于学生个人档案并没有给予足够的重视，档案收集工作开展时，要根据高校档案材料收集需求将学生原始档案进行归档分类处理，避免资料缺失，保证其档案完整性，以防真实性不足和不利于学生个人信息保护等问题。

最后，在实际的个人信息收集工作中，学生个人信息收集工作的主体和个人信息管理的主体并不是一个主体。这需要专门负责学生个人信息采集工作的个人信息管理部门，教学和招生单位采集到相关学生信息之后，要及时与管理部门做好全面移交工作，如果移交工作流程过于冗长，很难确保学生个人信息安全。

第二，高校对学生个人信息的保护体现在对学生个人信息管理过程的保护。

对于学生个人信息的管理，高校个人信息管理的相关机构应当优化管理保护技术，维护高校学生原始的个人信息，防止高校学生个人信息的的散失，保持完整原始的学生个人信息内容，使学生个人合法的权益得到保护。

而对于信息化的学生个人档案信息，高校应该完善相关的网络安全措施。网络技术的发展对于高校学生档案管理工作是一把双刃剑，一方面，它为高校个人信息管理工作提供了先进的工具，大大提高了高校个人信息管理工作的效率，另一方面，由于互联网的开放性，高校的电子化的系统及其容易受到攻击，学生个人信息的安全性难以得到保障。

第三，高校对学生个人信息的保护体现在对学生个人信息公开和利用过程的保护。

对于学生个人信息的公开问题该如何保护，应该区分公开信息是个人隐私还是个人信息，个人隐私强调私密性，个人信息注重身份的识别，二者是种属关系，后者的外延大于前者，个人敏感信息概念是联通二者的桥梁。在面对学生个人信息公开问题时，高校首先应该考虑需要公开的相关信息是否属于“个人隐私”。

学生档案中，学生个人信息的种类繁多，若对每一项个人信息进行单独立法保护，需要花费巨大的人力物力且收效甚微。因此，对种类繁多的个人信息进行有效的保护，则需要对个人信息进行合理的分类。我国张新宝教授对个人信息的分类保护问题提出了“两头强化、三方平衡”的理论。[15]在该理论中，“两头强化”是指：一方面强化对个人敏感信息的保护，划分严格禁止侵犯的个人信息区域，此类信息往往与个人人格权益、财产权益息息相关，一旦泄露会对信息主体造成巨大打击。另一方面，出于互联网经济、社会发展对于信息获取和流通的需要，加强对个人一般个人信息的利用，防止在保护个人权益的过程中对公共利益的妨碍。“三方平衡”则是关于个人信息提供方、通过个人信息的经营活动获取经济利益的信息业者和公共利益之间的平衡。[16]

学生个人信息公开问题中的利益双方则是个人信息的提供者（学生）与公共利益的代表方（高校）。在处理学生个人信息的过程中，各方主体都应该遵守法律法规的规定，首先要取得高等院校的授权，其次，涉及学生个人隐私、容易对学生利益造成危险的个人信息不得对外公布。

　三、高校对学生个人信息权责的法律风险

　　（一）学生个人信息收集边界不明确

高校应该依法收集个人信息，严格遵守法定收集的界限。然而我国无论是《民法典》、《个人信息保护法》还是《高等学校档案管理办法》，其中都未对高校能够收集的学生个人信息范围进行详细、明确的界定，原则性、概念性的界定较多，权利边界不明确。

实践中，高校往往过度征集学生个人信息，对于具有识别性的学生个人信息的收集不加限制。例如，为了加强对高校的管理，2014年起，高校便开始引入人脸识别技术，截止至2021年7月28日，在137所“双一流”建设高校中，有135所高校均在不同程度上引入了人脸识别。而人脸识别技术在高校内部应用范围及其广泛，校园门禁、远程考试、报道迎新等方面都用到了人脸识别技术。在这众多的人脸识别场景中，多数高校采取的是强制使用人脸识别，即学生必须给学校提供自己的人脸识别信息，否则无法进行正常的学习生活。日常生活中，人脸识别信息常用于电子支付、私密场所的进出等方面，高校收集了学生的人脸识别信息，一旦发生信息安全问题，学生的人身安全和财产安全则难以得到保障。但实际上，高校的人脸识别信息的收集主要是通过学校的门户网站或者通过与第三方合作来达成，然而大部分高校不具备相应的专业技术和配套安全措施，其门户网站的安全性不够高，第三方主体也不一定具备相关安全资质。对于人脸识别信息这类重要的隐私信息，既然高校在收集和管理过程中难以保证其安全，那么高校是否有权对此类信息进行强制收集还有待商榷。

　（二）主体不明确

2020年初，新冠疫情爆发，为了精细化疫情防控，提高疫情防控的效率，我国要求公民提供疫情期间的行程信息，以此达到有效防控疫情的目的。高校出于疫情管控的需要，开始电子收集学生行程踪迹、实时定位、生物识别等信息。但某些高校处于效率需求，往往会与第三方软件合作、采用公共文件编辑等措施来收集学生的个人信息。但是在公共群利用公开共享文件收集私密个人信息使学生的隐私暴露在公共平台之中，学生的个人信息存在极大的被侵害的风险，而学生的隐私权一旦被侵权，由于数据技术难以追溯操作痕迹，侵权方难以确定，学生的权益得不到保障。此外，许多高校合作的第三方软件如网课软件、电子打卡系统在疫情期间被爆出安全系统不够完善，大量学生个人信息被窃取，以及大量的入侵系统修改课程成绩等事件，学生的个人信息安全难以得到保障。

　（三）立法保护不足

西方发达国家信息技术应用较早，人们的权利意识强，对个人信息的立法保护起步早且学术研究和实践比较多，与西方国家相比，我国个人信息保护发展较为稚嫩。我国虽然出台了专门的的《个人信息保护法》但是相应的配套措施未能跟上，新法和旧法之间的冲突仍然存在。《个人信息保护法》主要强调的是私领域的个人信息保护问题。但实际上高校对于学生个人信息的侵权主要的基于其公权力的滥用。《个人信息保护法》对于公权力的规制力度不足、相关法条规定不够具体。

其次，不能只依赖于《个人信息保护法》的规制，就高校管理中的问题，还应该出台与教育和档案管理相关的具体法律法规，将对学生个人档案信息的保护落到实处。

　（四）缺少监管主体

个人信息管理方面，虽然国家已经出台了专门法律进行规制。但是出台时间过短，配套的制度建设还不完善。特别是高校在对学生个人信息的管理中自主性过强且缺乏监管，导致学生将个人信息交予高校后无从得知个人信息被用于何处，高校滥用学生个人信息的行为得不到有效的监管。

（五）信息时代存在新型风险

随着信息技术的快速迭代，个人信息利用已由识别功能为主的传统方式拓展至智慧校园、疫情防控、智慧警务、数字XX等诸多方面，深刻影响着人们的生产生活方式和国家治理体系与治理能力现代化。在高校档案管理过程中，广泛的个人信息利用在给高校管理带来便利的同时，也产生了极大的安全风险。

2017年11月武汉轻工大学经济与管理学院官方网站公示了该院2017年度研究生国家奖学金评审结果。该院工商管理、会计学、农业与区域发展、旅游管理四个专业的5位硕士研究生获得了2017年度研究生国家奖学金。上述内容中，高校官网公示了5位获奖研究生的国家奖学金申请审批表。在审批表的基本情况一栏里，除了姓名、出生年月、学号外，还披露了国家奖学金获得研究生的个人身份证号码。公示期为10月26日－11月1日，共5个工作日。公示期结束半个月后，这份涉及5名硕士研究生身份证信息的公示网页仍悬挂在武汉轻工大学经济与管理学院官方网站上。以上高校公开信息中皆存在侵犯学生个人信息的问题。不仅是网站信息公开领域，人脸识别信息泄露问题、滥用学生个人隐私等因问题也随着新数据技术的运用层出不穷

　四、完善高校对学生个人信息权责的措施

　　（一）提升学生个人信息保护意识

要加强对学生个人信息的保护，首先应该提高学生对自己个人信息的保护意识。只有学生意识到自己的权益在不合法的档案管理过程中可能受到侵害，才会在受到侵害时积极争取维护自身权益。要加大对学生个人信息保护的教育与宣传，不仅要让学生明白自身个人信息保护的重要性，更要让学生了解在其自身个人信息受到侵犯是，该如何通过合法的途径来有效维护自身权益。

　（二）加强对个人信息管理人员的培训

电子化信息档案的普及不仅是对学生个人权益的挑战，也是对相关管理人员的挑战。首先是对相关工作人员应该进行具体法律制度的培训，加强高校档案管理人员的职业道德与责任感，提升他们的合法意识，提升其对学生个人档案信息的重视程度，只有档案管理人员意识到自己工作任务的重要性，才能摆脱工作中懒惰的服务意识。[17]其次，负责学生档案信息收集的工作应该确定到人，确定具体的负责人员，如果在信息收集过程中出现了个人隐私泄露问题，则能追责到人。最后，管理个人信息的组织应该加强信息化人才建设，提高档案管理组织中网络安全人才的比例，若碰到数据入侵问题，则有专业人员制定专业化的应对方案。[17]

　（三）完善相应的监管制度

首先，高校档案管理公开制度是一项十分重要的工作，它对加强档案信息资源建设和利用以及对学生个人信息利用的正当性说明具有不可替代的作用。高校应当公开、发表相关文件说明高校对学生个人档案信息收集的范畴、类型和必要性，以及对学生个人信息处理的方法和途径，让学生能够了解到自己的档案信息流向何处、是何用途。

其次，建立完善的外部监督和内部监督体制，内部设立相关举报机构，实时对违法收集个人信息行为进行监管；教育机构也加强对相关方面的监督制度建设，以此防止学生个人信息的泄露。

最后，对高校合作的第三方信息获取与管理机构提出保密要求，签订保密协议，防止学生重要个人信息被第三方机构进行不正当交易。

（四）加大国外高校个人信息管理服务的经验交流与学习力度

相对国内而言，国外高校的信息管理遥遥领先过内高校。其主要原因是国外高校对信息管理工作十分重视，视学校发展与信息档案为光荣。他们鼓励教师和学生观看和收集档案，丰富馆藏。另外，国外大学还有一大批专门人员负责档案管理，分类排序，信息录入以及资源共享，而我国由于相关意识不足，对档案制度进行完善的积极性不足，导致档案管理制度一直难以跟上技术和法律制度发展的进程，导致了高校实际对学生个人档案的管理与法律制度脱节的现状。因此，我们需要加大对国内外高校优秀档案管理服务经验的学习与交流。[18]取长补短，不断完善国内高校档案管理服务理念和提供创新服务，从人力资源和信息资源等方面确保我国高校对学生个人档案管理妥善有序进行。

　（五）加大硬件投入，提供现代化档案管理的配套设施

如果只从理念和制度角度谈论高校对学生个人信息的保护问题而忽略了实际工作和配套设施的建设，一切都是空谈。要切实完善个人信息的保护还需建设配套的现代化档案管理设施，特别是应建设独立且具有私密性的高校电子信息系统，不接入互联网而是通过内网的形式对学生个人信息进行收集、使用和公开。如此，学生个人信息的安全性将得到巨大的提升，学生个人信息在各部门移交过程中容易泄露的问题也得到了解决。

（六）完善高校学生个人信息保护的制度法规

国家出台了《个人信息保护法》专门保护个人信息的，但其重点还是在于规制私权利主体对于个人信息的合法收集与使用，公权力主体的个人信息收集使用的规制还不够具体和全面，相关法律责任不明确。[19]其次，要针对高校的特点以及《民法典》、《个人信息保护法》等法律中与个人信息保护有关的条例，XX需要制定学生档案信息保护的部门规章，高校内部要制定严谨、科学、有效的规章制度。应该注意是，高校在发挥自治权制定有关学生个人信息保护的相关制度时，应该遵守以下三点基本原则：法律保留原则、法律优先原则和民主制定规则原则，在合法、合规、公平的情况下制定规章制度。[20]国家层面上制定个人信息保护法律，是普适性的法律，但没办法解决高校内部对学生个人信息保护的具体问题，因此高校教育主管部门应当根据高校学生的特点，制定适合于高校学生个人信息保护的办法。

结论

本文的主要通过对高校档案管理制度和《个人信息保护法》进行分析，发现了《个人信息保护法》在具体领域的实践还存在界限模糊、监管缺失的问题，学生应加强自身相关维权致使建设，积极维护自身权益，高校应当遵守法律法规的规定，积极解决相关管理制度上的缺陷，积极保护学生个人信息权益；国家也应继续完善相关法律法规建设，将原则性、抽象的规制细化，争取做到有法可依。

　致谢

行文至此，思绪万千。

青葱四年，落笔为终。

始于初秋，终于盛夏。

一谢父母，养育之恩。

二谢恩师，传道解惑。

三谢同窗，互帮互助。

四谢挚友，长路相伴。

凡是过往，皆为序章。

何惧路遥，来日方长。