在线教育领域的常见个人信息保护问题

李俊杰中伦视界 2022-03-20

举国抗击新冠肺炎疫情的大背景下，“停课不停学“大大推进了在线教育的发展。疫情期间，好未来（学而思）、网易有道、作业帮、猿辅导等在线教育公司争相推出免费直播课，阿里钉钉、腾讯课堂、ClassIn、Zoom等在线教育平台和技术服务商帮助学校开设线上课程，快手、抖音、bilibili、虎牙直播等网络平台也纷纷着力打造教育板块。数以亿计传统学校场景中的教师和学生得以深度体验线上教学。虽然突如其来的需求让不少公司应接不暇，用户体验也往往难称圆满，但我国的在线教育无疑迎来了跃迁性发展的宝贵机遇。

另一方面，教育的线上化涉及多方面的法律问题。在数据合规方面，许多教育科技公司在帮助学校推进线上化的同时，需要收集学生的个人信息和学习行为数据，继而通过大数据分析改进产品，而学校则对让第三方接触学生个人信息和学校的教育内容资源有很大的顾虑。本文简要分析教育线上化常见的几种业务模式，梳理所涉及的有关个人信息保护的法律问题，并提出一些初步建议。

教育线上化、智能化的一个常见产品是智能批改系统，它利用人工智能和知识图谱技术，根据学生的答题情况判断其对知识点的掌握程度，并给出相应的教学建议。这方面的一种业务模式是向学校提供该等产品。

业务模式一（智能批改系统）

教育科技公司为学校提供学生作业和随堂考试答卷的智能批改、智能阅卷系统。在使用中，通常由班干部协助老师把学生作业或答卷扫描上线，系统能快速给出答案和分数，并为学生提供“错题本”的功能（即指出该学生的薄弱知识点，以便做有针对性地练习），为老师提供“学情分析”的功能（即显示全班、全年级的知识点掌握情况，以便相应调整教学安排）。该类产品一般仅限于收集学生的答题信息。[1]

这种业务模式的一个关键点是学校需向教育科技公司提供学生的答题信息。我国法律对于个人信息的收集、使用、存储和向他人提供有着一系列的规定。《民法总则》规定，任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。[2]

根据《网络安全法》，网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，并经被收集者同意；网络运营者未经被收集者同意，不得向他人提供个人信息，但是经过处理无法识别特定个人且不能复原的除外。[3]对于不涉及网络和网络服务提供的情形，全国人大常委会于2019年12月28日发布的《民法典》（草案）也有类似的规定。[4]

《信息安全技术个人信息安全规范》（“《个人信息安全规范》”）对个人信息的转让进一步设置了一系列要求，包括事先开展信息安全影响评估、向个人信息主体告知信息转让的目的及数据接收方的类型并征得其同意，等等。[5]

那什么构成“个人信息”呢？根据《网络安全法》，个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息。[6]《个人信息安全规范》对个人信息的定义做了更详细的论述，并在附录A表A.1（个人信息举例）中把“教育经历、培训记录、成绩单”等列为个人信息的一类。业务模式一中的学生答题信息很可能被归入“教育经历、培训记录、成绩单”，从而构成个人信息。因此，学校向他人提供学生的答题信息，需要获得其同意。

而且，绝大部分中小学生是未成年人，许多还是低于14岁的儿童。根据《个人信息安全规范》第5.5(c)条，收集年满14周岁的未成年人的个人信息前，应征得未成年人或其监护人的明示同意；不满14周岁的，应征得其监护人的明示同意。对于涉及网络和网络服务提供以及14岁以下儿童的情形，《儿童个人信息网络保护规定》也有类似的要求。

那么，如果难以获得学生及家长的同意，这类业务模式是不是就不合法了呢？也不一定。我们理解，实践中这类业务往往采用云服务的方式，学生答卷在扫描后直接上传到教育科技公司的服务器。开展这类业务的教育科技公司也许可以从以下两方面着手，规避法律风险:

一、个人信息的匿名化处理

《网络安全法》将“经过处理无法识别特定个人且不能复原”的情形排除在禁止转让的个人信息之外。根据《个人信息安全规范》第3.13条，个人信息在匿名化处理后不属于个人信息，其中“匿名化”是指通过对个人信息的技术处理，使得个人信息主体无法被识别，且处理后的信息不能被复原的过程。所以，如果能对学生的答题信息进行匿名化处理，其转让就不再需要获取学生及其家长的同意。

在实践中，实现匿名化的一个方式是，软件在扫描识别学生作业和答卷时，避免识别和采集学生的身份信息。当然，这样做的后果是无法针对每个学生提供个性化的“错题本”服务。

二、在物理或逻辑上增加部署一层由学校掌控的服务器

如果采用这种办法，学生答卷在扫描后将首先被传输到学校掌控的服务器，在学校服务器上实现产品的部分功能（如批改、错题本），学生答题信息在匿名化处理后再提供给教育科技公司。

教育线上化不仅涉及教学活动本身（如作业批改），还涉及学校的其他相关或辅助活动（如教学管理、考勤统计等等）。许多教育科技公司为学校提供这方面的服务。

业务模式二（校园信息化系统）

教育科技公司为学校建设并维护信息化系统，其中包括云平台、管理系统软件、远程教学工具等部分。系统会收集学生的个人数据，包括学籍、住址、联系方式、同学录、选课、考试成绩、出勤、作业和测验内容等等。在为学校运营和维护该等系统时，教育科技公司经常有机会接触到系统所收集的数据。

校园信息化系统收集的上述学生个人数据很可能构成个人信息。学校在为校园信息化系统选择服务商时，需要履行审慎义务，进行安全影响评估，确保服务商具备相应的数据安全能力。学校应在与服务商的合同中，清晰界定系统上各类信息（既包括上述学生个人数据，也包括系统上的其他信息，如学校教务管理和老师的教研内容）的权属，明确规定服务商除了为了运营和维护系统的需要无权使用系统上的学生个人数据和其他属于学校的信息。在系统运营中，学校也应对服务商进行监督。

目前校园信息化系统大都采用“整体解决方案”，由多个服务商共同提供成套系统服务，有些应用模块还可能进一步分包给其他供应商。所以，学校在与服务商的合同中还可以考虑对服务商分包设定一些条件和限制，包括学校对分包的知情权和话语权，分包商应有的技术能力和产品及服务质量，以及服务商对分包商的产品或工程质量或违法违约行为应承担的责任。

教育科技公司商业模式的一个重要方面是通过对其收集的信息进行大数据分析，获取商业或市场情报，以指导其商业决策或提供给第三方（如教辅材料、校车等相关行业）。如在讨论业务模式一时提及，学生个人信息在匿名化处理后不再是个人信息。学校与教育科技公司可以就后者是否有权使用校园信息化系统上经匿名化处理的学生个人信息以及数据处理成果的权属自主达成商业约定。在此约定的前提下，教育科技公司可以采用“联邦学习”（Federated Learning）等技术，在保护数据隐私的同时对不同来源的信息进行综合数据分析。

校园信息化系统所收集的学生个人数据中，往往会包括一类在法律上需要特别关注的信息，即“个人敏感信息”。举例如下：

业务模式三（智慧校园一卡通）

教育科技公司为学校建设和运营智慧校园一卡通系统，通过基于CPU卡、金融IC卡等载体的智能学生证提供门禁、考勤、校内行迹跟踪等功能，学生还能通过该系统在校内刷卡消费。学校会为每个学生单独设立账户记录其个人数据，学生还可以充值消费。[7]

根据《个人信息安全规范》，“个人敏感信息”是指一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息；身份证件号码、个人生物识别信息、通信记录和内容、财产信息、行踪轨迹、健康生理信息、交易信息、14周岁以下（含）儿童的个人信息等明确属于 “个人敏感信息”。[8]智慧校园一卡通系统上的学生踪迹和消费信息以及所有14岁以下儿童的个人信息都很可能构成个人敏感信息。

《个人信息安全规范》要求，个人信息控制者在共享、转让个人敏感信息前，除了适用于所有个人信息的告知义务之外，还应向个人信息主体告知涉及的个人敏感信息的类型、数据接收方的身份和数据安全能力，并事先征得个人信息主体的明示同意。[9]其中“明示同意”是指通过书面声明或主动勾选、点击“同意”等行为，对其个人信息进行特定处理做出明确授权。[10]学校和教育科技公司在处理个人敏感信息时，需特别关注相关要求。

以上三种业务模式都是教育科技公司与学校合作，帮助推进在校教育活动的线上化，涉及学生、学校和教育科技公司三方主体。另一方面，我国的校外教育培训领域在过去几年也得到了迅速发展，其中一种典型的业务模式如下:

业务模式四（作业批改App）

教育科技公司向学生和家长提供作业智能批改App，使用中由用户将作业扫描上传，App提供作业批改、答疑、拍照搜题、个性化习题推送等功能。公司还可能把统计过的答题信息出售给教辅商，用于开发作业教辅产品。[11]

与前文所述的三类业务模式不同，业务模式四是直接的To C模式，仅涉及教育科技公司与学生两方。就个人信息保护而言，采用业务模式四的教育科技公司应关注以下两方面的法律问题。

一、过度收集用户信息

《网络安全法》规定，网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，不得收集与其提供的服务无关的个人信息。[12]

一段时期以来，我国的移动应用App普遍存在过度收集用户个人信息的现象，对此监管部门采取了一系列整治措施。2019年11月，国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局发布了《App违法违规收集使用个人信息行为认定方法》，规定以下行为可被认定为“违反必要原则，收集与其提供的服务无关的个人信息”：

收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关；
因用户不同意收集非必要个人信息或打开非必要权限，拒绝提供业务功能；
App新增业务功能申请收集的个人信息超出用户原有同意范围，若用户不同意，则拒绝提供原有业务功能，新增业务功能取代原有业务功能的除外；
收集个人信息的频度等超出业务功能实际需要；
仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由，强制要求用户同意收集个人信息；
要求用户一次性同意打开多个可收集个人信息的权限，用户不同意则无法使用。

教育科技公司应在其App产品中避免上述情况。据我们观察，在监管部门多次整治措施的推动下，教育类App过度收集用户信息的情况有了明显的改善。

二、个性化推送

在业务模式四中，教育科技公司往往会对用户的答题信息进行数据分析，指出其薄弱的知识点，并推送有针对性的习题。2019年10月公布的《信息安全技术个人信息安全规范（征求意见稿）》（“《个人信息安全规范（征求意见稿）》”）把这类行为称为“个性化展示”，并提出如下相关要求:

显著区分个性化展示的内容和非个性化展示的内容（如标明“定推”，或通过不同的栏目、版块、页面分别展示等）；
在向用户提供个性化展示时，同时提供不针对其个人特征的选项；
建立用户对个性化展示所依赖的个人信息（如标签、画像维度等）的自主控制机制，保障用户调控个性化展示程度的能力。[13]

虽然《个人信息安全规范（征求意见稿）》尚未生效，但仍可供教育科技公司在设计产品时借鉴和参考。

教育线上化可以让有限的优质教育资源为更多的学生服务，是大势所趋。本文从个人信息保护的角度简要分析了教育线上化所涉及的常见法律问题。除此之外，教育科技公司当然还应关注证照、备案、运营合规等方面的相关监管要求。教育线上化也还会涉及其他领域（如知识产权）的法律问题，我们会在后续文章里加以探讨。

[注]

[1] 这类产品的一个例子是安徽七天教育科技有限公司的云服务智能网络阅卷软件。根据公司网站介绍，该产品让用户只需“扫描和评阅”，即可完成评卷任务和考试数据的统计与分析（https://www.7net.cc/build/home/index/index.html）。

[2]《民法总则》第111条。

[3]《网络安全法》第41、42条。

[4]《民法典》（草案）第1035、1038条。虽然《民法典》（草案）仅为草案，尚未被立法机关通过，但其在一定程度上反映了我国的立法趋势，在监管和司法实践中有一定的借鉴和参考意义。

[5]《个人信息安全规范》第8.2条。《个人信息安全规范》系推荐性国家标准，并无强制性法律效力。但是，由于《民法总则》、《网络网安法》等现行法律法规的规定较为原则性，监管部门在实践中有可能会参照《个人信息安全规范》进行诠释。

[6]《网络安全法》第76条之五。《民法典》（草案）也有类似的定义（第1034条）。

[7] 这类产品的一个例子是在创业板上市的新开普电子股份有限公司的“校园一卡通”。根据公司网站介绍，该产品包括数字化校园、高校一卡通、中小学一卡通、手机校园一卡通、金融IC卡校园一卡通、家校通等品类（http://www.newcapec.com.cn/edu/middle_school/）。

[8]《个人信息安全规范》第3.2条。

[9]《个人信息安全规范》第8.2条。

[10] 《个人信息安全规范》第3.6条。

[11] 这类产品的一个例子是江苏曲速教育科技有限公司的EI教育智能系统。根据公司网站介绍，该产品能够基于学习过程的动态化数据采集和智能分析，有效实现个性化教学管理及数据智能驱动的精准教学（http://www.fclassroom.com/index.html）。

[12] 《网络安全法》第41条。

[13] 《个人信息安全规范（征求意见稿）》第7.5条。

The End

作者简介

李俊杰律师

上海办公室合伙人

业务领域：资本市场/证券, 私募股权与投资基金, 一带一路与海外投资

作者往期文章推荐：