🔥 热搜 🔥
1法明传[2024]173号中共中央起源 解读 龚写小说123456中美友好合作故事妈 分享 回赵紫阳南京李志
分类
社会娱乐国际人权科技经济其它
🔥 热搜 🔥
1法明传[2024]173号中共中央起源 解读 龚写小说123456中美友好合作故事妈 分享 回赵紫阳南京李志
分类
社会娱乐国际人权科技经济其它
查看原文
其他

卜思遥|数字教育资源获取中师生个人数据的保障——以法国GAR准入合同为切入

卜思遥 上海市法学会 东方法学
2024-10-09

法国重视数字教育资源获取中师生个人数据的保障。自2017年开始,法国教育部主导构建“资源获取管理器”GAR系统,该系统通过“过滤”数字资源使用者个人敏感信息,以保障学校师生在不泄漏个人隐私的情况下获取数字教育资源。因为GAR系统的便捷性和安全性,诸多数字资源提供商加入GAR项目。而在加入GAR项目前,数字资源提供商需要签署GAR准入合同。GAR准入合同作为行政合同,赋予法国教育部单方变更和终止合同的权利。该合同通过将教育部界定为数据控制者、将数字资源提供商界定为数据处理者的方式,与GDPR和法国国内数据法相衔接,因此,违反GAR准入合同的数字资源提供商将不仅需要承担违约责任,还可能面临行政处罚和刑事责任。数字资源是数字化教育的重要工具。我国尚处于数字资源平台构建阶段,对师生在获取数字教育资源过程中的个人数据保障意识薄弱,由此我国应批判吸收法国的经验,从数字资源安全获取出发,全面构建我国师生个人数据合同保障体系。

一、问题的提出
数字时代促进教学模式转变。自2022年2月8日教育部发布的《教育部2022年工作要点》提出“实施教育数字化战略行动”以来,我国注重教育现代化转型和数字校园的打造,数字化工作取得成效。而数字时代个人数据保护同样尤为重要。在师生为开展线上教育使用数字教育资源及防范师生个人数据泄漏的双重需求下,数字资源获取中的师生个人数据保障刻不容缓。但我国数字化教育尚处于起步阶段,师生数据保障层面有所欠缺。而法国教育部为保障中小学师生个人数据安全,自2017年着手开展名为“资源获取管理器”项目(以下简称GAR),数字资源提供商以签署GAR准入合同的方式加入GAR项目。2018年欧盟GDPR出台后,GAR项目和数字工作空间项目(以下简称ProjetsENT)相配合,形成法国教育部主导、欧盟数据法和法国国内数据法保障、GAR实施的数字教育资源安全获取模式。尤其在数字资源提供商出于提供服务的目的处理师生个人数据时,GAR准入合同起到约束数字资源提供商、作为连接GAR系统和数据法之间桥梁的作用。他山之石,可以攻玉。本文将围绕GAR准入合同的内容,从该合同与数据法的衔接、合同实施效果等方面介绍法国在数字教育资源获取中的保障方式,并与我国国家教育资源平台准入协议相比较,为我国的师生个人数据保障建言献策。
二、何为GAR准入合同?
2017年12月18日法国教育部发布《关于建立名为“资源获取管理器”的个人数据处理方法的决议》(以下简称《决议》),正式实施GAR系统。简单来说,GAR是个人ENT使用者、学校、教育机构和数字资源提供商之间的沟通纽带。作为个人数据传递的中转站和处理器,GAR系统一端连接着ENT的使用者和教育机构(应用端),另一端连接着数字教育的合作方,包括数字资源提供商(供应端)。在应用端,除了校长和负责数字资源分配的工作人员外,学校师生无法看到GAR的具体运行情况,师生的个人ENT上仅显示各种数字资源图标,他们只要登录ENT并点击图标就能获取相应的数字教育资源。在供应端,GAR接收从ENT后台传来的用户信息,并依据“最小化原则”过滤部分个人隐私信息。数字资源提供商接收信息后,便可以对用户开放资源获取权限。
GAR是法国教育部主导并负责的项目,法国教育部部长是与GAR相关的数据处理活动的数据控制者,所以在使用GAR时,学校和其他教育机构的数据控制者(一般是校长或学区区长)不需要再履行GDPR规定的数据控制者的义务,即具体考察GAR及加入GAR的数字资源提供商数据处理活动安全性,而是仅仅需要将教育部部长作为数据控制者登记在册。这一做法极大减轻校长的负担,简化了数字资源提供商为学校提供服务的步骤,从而鼓励越来越多的数字资源提供商加入GAR项目。但是在加入GAR系统之前,数字资源提供商应当以合同方式承诺在使用GAR时遵守技术和功能参考框架规定的技术安全措施。即凡是想要加入GAR向教育机构提供数字资源服务的主体,都需要签署GAR准入合同,并严格遵守合同的规定。因此,理清GAR准入合同的性质、内容和实施效果对于分析法国数字教育资源安全获取和师生数据保障具有重要意义。

(一)GAR准入合同的性质

GAR准入合同条款由法国教育部拟定并公布,在教育部确认数字资源提供商提供的资源以及对资源的访问方式合规后,数字资源提供商便可以手写或电子签名的方式订立合同。想要接入GAR服务的数字资源提供商没有与教育部商定GAR合同的权利,只能被动接受合同条款及后续的变更条款。因此,GAR准入合同属于教育部单方拟定、出于保护中小学师生个人数据安全这一公共利益、具有重复使用目的的格式合同。
此外,GAR准入合同属于法国国家教育行政部门与数字资源提供商订立的行政合同而非民商事合同。虽然法国公法领域内的合同和私法领域内的合同在基本词义上一致,都是双方当事人达成合意、符合法律法规的规定、产生法律效果的协议,但在合同缔结的目的、程序、效力、法律适用、法院管辖范围等方面存在差别。行政合同和私法合同最明显的区别在于两者目的不同。我国最高人民法院《关于审理行政协议案件若干问题的规定》第1条规定,行政协议是行政机关为实现行政管理或者公共服务目标与他人协商订立的。同样,法国也采取“公共服务”标准区分行政法院和普通法院的管辖范围,公共服务即公权力机关基于公众需要所作的行为。此标准源于法国布洛克案,该案确立了涉及公共服务的案件需要交由行政法院管辖的规则。此规则也成为界定合同是否具有行政性质的标准——行政合同的签订主体一方为公权力机关,签订合同的目的是基于公众需要。按此标准,GAR准入合同由教育部拟定并签署自不必说。《决议》第1条和第8条表明,GAR系统和GAR准入合同是为师生获取数字资源服务的,保障个人数据“严格必要”地出于教育目的传输给资源经销商和出版商,故而为保障GAR系统顺利运行的GAR准入合同具有为公共利益服务的性质。由于GAR系统和ENT连通,前者和ENT覆盖领域基本一致,根据ENT官网显示,几乎法国所有大区都已实施ENT项目(法属圭亚那和马约特岛除外),并且GAR系统服务的师生、签署GAR准入合同的数字资源提供商也是多数且不特定。因此,GAR准入合同属于行政机关基于公众需要所签订的行政合同。一般来说,法国行政合同从理论上可以分为四类:管理性合同(将全国性或地方性的公共服务委托给私人管理和经营的合同)、计划合同(类似我国的单方允诺,此类合同明确国有企业和大区在某些方面实现一定的国家职能,国家予以财政上的支持或补助)、资源合同(人力招聘合同和物质资源采购合同)和准私法合同(类似我国自然资源使用权的出让协议,法国以公产占用合同为典型)。像GAR准入合同这种将师生个人数据传输给数据资源提供商储存、管理的,应当属于管理性行政合同。将GAR准入合同界定为行政合同具有法律适用上的意义,因为大陆法系中,行政合同和民事合同适用不同的规则及纠纷解决机制。最为重要的是,在法国行政合同中,行政主体享有广泛的行政优益权,此点在下文提及的GAR准入合同的变更和解除中体现得十分明显。

(二)GAR准入合同的内容

GAR准入合同共12条,分为序言、合同目的、双方义务、信息技术与自主权、数据可追溯性、交流、经济要求、合同变更、合同解除、法律依据、合同期限以及附录。第12条又有四份附件,即道德章程、技术功能与安全参考指南摘录、应用程序合规性声明以及个人数据保护分包。合同第1条介绍GAR成立的背景和目的。GAR是法国教育部为中小学师生安全、快速获取数字教育资源而设计的管理器,主要目的在于保护中小学师生个人信息安全。GAR准入合同的目的在于明确加入GAR的资源提供商的权利及义务,更好地保护数字教育资源的用户个人数据。因此,GAR准入合同对数字资源提供商的义务规定较多,并以GDPR、1978年1月6日法国政府颁布的信息、档案与自由法以及法国教育法为依托。
1.数字资源提供者的义务




数字资源提供者签署GAR准入合同的首要目的是通过GAR向教育机构提供资源。在个人数据处理层面,GAR准入合同一方面赋予他们处理师生个人数据的权利,另一方面向他们施加数项保护师生个人数据的义务。
合同签署方的义务被规定在GAR准入合同第3条,包括遵守GAR功能、技术和安全参考框架(包含遵守后续更改的框架);不扰乱GAR的正常运行或不危害GAR系统和GAR门户安全;及时向教育部部长申报任何导致个人数据非法破坏、丢失、更改、被披露或未经授权被访问的漏洞;数字资源提供商在结束数字资源提供服务时,需删除所有数据,但在删除前的合理期间内,应按照用户的要求恢复数据。而除了合同正文第3条的规定,数字资源提供商还被要求遵守合同的四份附件,其中附件四第三部分更具体地规定了资源提供商作为数据处理者需要承担的义务:数字资源提供商在教育部的授权和指示下履行本合同规定的处理师生数据的行为,遵守保密义务。此外,他们不能擅自转包或分包数据处理活动,除非得到教育部书面且特定的同意。在进一步将数据处理活动分包给子处理商时,子处理商应当对教育部负责,并签订GAR准入合同,数字资源提供商的义务是尽快向教育部提供子处理商的所有信息,并在子处理商不履行义务时,数字资源提供商对教育部负责。数字资源提供商还需要协助教育部遵守GDPR第32至第36条规定的义务,包括采取各种措施保证数据处理安全性、向监管机构通报个人数据泄露事件、告知数据主体数据泄露问题以及提前向监督机构咨询。
2.合同变更和终止




GAR准入合同的内容并非固定,每学年结束后,合同默认会产生变更。此外,法国教育部部长也可以依法修改合同。合同默认变更的情况下,教育部不会将变更内容主动告知数字资源提供商——正如合同第3条的规定,合同签署方应当遵守现有合同以及后续变更的合同。但第二种合同变更的情况下,教育部部长应当将修改部分告知签署合同的数字资源提供者。通知到达后,数字资源提供商未在合理期限内提出异议的,合同生效。若数字资源提供者对修改部分有异议,他们无法与教育部协商更改合同内容,只能在每年4月30日前以挂号信的方式提前通知教育部,终止合同关系。合同内容由教育部制定且不可协商,合同更改也完全由教育部主导,数字资源提供商不接受合同条款的,只能选择终止合同关系。由此可见,GAR准入合同建立在一个不平等的基础上。这就是法国行政合同的特点:行政机关普遍享有单方解除权和单方修改权,即便行政合同文本没有对此作出规定。除了数字资源提供者主动要求终止合同关系外,教育部也享有合同解除权。GAR准入合同第9条规定,法国教育部部长可以因数字资源提供商严重或多次违反GAR准入合同及附件规定的行为解除合同。但在解除之前,教育部应先通知违约方在合理期限内采取补救措施,违约方未采取措施纠正违约行为的,教育部部长可以通过挂号信的方式解除合同。无论是数字资源提供商要求解除还是因其违约且未采取补救措施而导致教育部部长解除,在合同关系终止后,数字资源提供商仍负有保证用户能够恢复数据的责任。
3.违约责任




数字资源提供商的违约行为并非一定导致合同解除。若数字资源提供商存在不符合规定的行为,教育部会暂时中止用户对该资源的访问,在合理期间内数字资源提供商应采取补救措施。采取补救措施后的资源提供商需通过合规鉴定程序,方可继续和教育部保持合同关系。逾期未采取补救措施的,教育部可以解除合同。然而,除了此种教育部单方解除合同的情形外,合同正文没有提及数字资源提供商的其他违约责任,仅在附件四“个人数据保护分包”的第四部分“数据控制者对数据处理者的措施”第3条第1款规定:“数据处理者应就数据主体或第三人因数据处理者或者子数据处理者违反信息、档案与自由法和本附件的行为而对数据控制者提起的诉讼或索赔负责,无论诉讼或索赔的性质为何,并且对数据控制者因此造成的损失承担赔偿责任。”本条款是替代责任,教育部和数字资源提供商两者属于监管与被监管的关系。按照GDPR和GAR准入合同的规定,教育部是数据控制者,承担对数据处理者的监管职能;数字资源提供商是数据处理者,仅能出于教育部指定的目的处理数据。因此,数字资源提供商处理个人数据,侵害他人合法权益的,教育部向数据主体或第三人承担赔偿责任后,违反法律和合同规定的数字资源提供商再对教育部的损失负责。第四部分第3条大致罗列了教育资源提供商的赔偿范围,包括教育部为维护被侵权人权利所支付的费用、民事损害赔偿或刑事损害赔偿费用、律师费及其他费用。GAR准入合同之所以对数字资源提供商的违约责任作出相对笼统的规定,是因为该合同与法国国内数据法律、法规以及欧盟出台的GDPR等法律连接紧密,所谓“牵一发而动全身”,违反合同极可能同时违反数据法律法规。届时,数字资源提供商需要承担的不仅是违约责任,还有行政处罚和刑事责任。
4.GAR准入合同与数据保护法的联系




法国重视在学校和教育机构推广数字教育服务,为学生提供最低限度的数字化教育。在此目的推动下,法国国家教育部于2017年创建了名为GAR的个人数据处理系统。GAR准入合同以GAR为依托,规范数字资源提供商的行为。但除合同条款规定了数字资源提供商具体义务外,GAR准入合同还包括诸多与欧盟2018年颁布的GDPR相类似的条款,并直接在合同中要求数字资源提供商遵守GDPR和1978年1月6日法国政府颁布的信息、档案与自由法(下文简称为1978年数据法)以及其他数据法。上述数据法也被称为GAR系统的法律框架。
GDPR第28条第3款规定,数据处理者的处理行为应受到依据欧盟法律或成员国国内法律所制定的合同或作出的其他法律行为的约束。GAR准入合同与GDPR条款的精神内涵一致。GAR准入合同再次强调GDPR和《决议》提及的顶层设计保护原则、个人数据最小化和相称性原则。在签署GAR准入合同后,数字资源提供商不仅取得合同相对人的地位,也成为GDPR法规意义上的数据处理者,教育部则取得数据控制者的地位。因此,数字资源提供商不仅需要遵守生效的准入合同,也需要承担GDPR以及所有法国数据法规定的数据处理者的所有义务。GAR准入合同也要求数字资源提供商遵守1978年数据法。1978数据法是法国数据保护监管机构——法国国家信息和自由委员会(以下简称CNIL)的成立依据。随着欧盟《数据保护指令95/46/EC》、GDPR的出台,法国将其与自身的监管经验和2019年6月4日修改的1978年数据法整合、完善,从而建立起现行的CNIL为核心的监管体系。CNIL承担起GAR准入合同中数据控制者和数据处理者的监管职责,教育部和数字资源提供商对CNIL也负有报告义务。在教育部发布《关于建立名为“资源获取管理器”的个人数据处理方法的决议》之前,CNIL于2017年9月21日发布2017-253号决议,对GAR准入合同、教育部和数字资源提供商等方面提出意见。
三、对GAR准入合同的批判分析
我国虽有类似GAR准入合同的《服务商协议》,但两者存在诸多不同,《服务商协议》也并非为平台上数字教育资源利用时师生个人数据保护的目的而制定。且不同于法国在数字教育资源平台和数字资源提供商之前设立独立的数据传输枢纽GAR系统,我国对教育领域更多在于数字化转型与建设,由此带来的个人数据保护问题尚处于探索阶段。在北大法宝上以“个人信息保护”和“教育”为关键词,共有441条检索结果,其中并没有数字教育资源平台泄漏个人信息构成侵权纠纷的案例。但这并不意味着我国数字教育资源平台对师生个人信息采取足够严密的保障措施,2022年“学习通”网络教学平台(以下简称学习通)疑似信息泄漏的事件引起社会的广泛关注,足以表明用户对教育平台安全性的担忧。

(一)GAR准入合同的实施效果

2022年11月CNIL发布《CNIL总结——GAR项目启动五年后》(以下简称《GAR项目总结》),据该文件,截至2022年2月27日,法国本土使用GAR系统的学校已经突破14000家,到2025年,GAR系统预计能够涵盖1280万学生。2021至2022年,用户通过GAR系统可获得的数字资源共11534项,140家资源出版机构加入GAR系统,GAR准入合同签署方共99位,且在未来预计还会有十多家新的数字资源出版商加入GAR项目。随着签署方的增加,GAR准入合同在保护师生数据安全方面的有效性备受瞩目。一方面,在教育部和数字资源提供商之间,凡签署GAR准入合同的数字资源提供商都要遵守GDPR以及GAR准入合同,接受教育部管理。除了加入GAR项目前的合规审查,法国教育部正在考虑实施不定期核查程序,审查目前接入GAR系统的资源,确保师生获取数字资源的安全性。另一方面,虽然GAR准入合同对违约责任规定宽泛,却恰好为各项数字法律、法规提供适用余地,也为法国国内专门的监管机构CNIL留出用武之地,CNIL成为GAR准入合同及其附属合规文件、技术及安全文件实施的坚实外部保障。根据《GAR项目总结》,数字资源提供者处理数据不符合规定,或者相关平台受到攻击,有师生个人数据泄漏危险时,数字资源提供者需要在48小时内向教育部报告有关情况,包括数字资源提供者的应对措施、对该数据泄漏事件或数据泄漏风险的全面分析以及在今后发生类似事件时所做的预防措施。教育部在收到数字资源提供者的报告后,在事件发生的72小时内要及时向CNIL报告。由此形成一个数字资源提供商向教育部负责,教育部向CNIL负责的GAR准入合同实施体系。这种内部不定期核查,外部严密监管的举措使得数字资源提供商能遵守数据保护义务,激发GAR准入合同的活力。虽然《GAR项目总结》没有提及对部分违反GAR准入合同的数字资源提供商的规制情况或者对数据主体的救济,但上述文件从侧面表明,GAR准入合同实施效果良好,GAR项目正成为法国教育部教育数字战略的重要组成部分,在未来有极大的发展前景。

(二)《服务商协议》与GAR准入合同的异同

教育部在2019年发布的《2019年教育信息化和网络安全工作要点》中强调,要依托国家数字教育资源公共服务体系,组织师生开通实名制网络学习空间,深入贯彻落实网络安全法和加强教育系统数据安全防护能力。在此背景下建立起来的国家数字教育资源公共服务体系发挥着资源信息交换中心和监管与评价中心的作用,各个地域的平台申请接入国家数字教育资源公共服务体系后,用户便可以使用该体系内的数字教育资源,数字教育资源提供商(在我国被称为合作方)也可以签署《服务商协议》,申请加入该公共服务体系。
作为加入数字教育资源平台的前提,《服务商协议》和GAR准入合同存在以下两个相似点:其一,合同一方(我国国家数字教育资源公共服务体系或法国教育部)均具有无条件变更合同内容和单方解除合同的权利。与GAR准入合同第3条相类似,《服务商协议》规定,合作方若不同意协议条款及国家数字教育资源公共服务体系后续修改的条款,则不能使用或应当主动取消国家数字教育资源公共服务体系提供的服务。若合作方违反协议条款的规定,国家数字教育资源公共服务体系有权随时中止或终止合作方的使用资格并保留追究相关法律责任的权利。其二,《服务商协议》和GAR准入合同都规定了合作方数字资源提供商的权利、义务,违反本协议或合同的后果。《服务商协议》第3款第12、13项指明:“合作方不得以任何方式收集、索取或以其他方式获取用户的服务体系账号、密码、好友关系链或其他身份验证凭据等相关信息。”
但我国与法国数字教育资源发展路径不同,导致两国在数字教育资源空间构建模式、数字教育资源获取方式以及数据监管机构职能上存在诸多差异,故而,《服务商协议》和GAR准入合同并非全然相同。
首先,GAR准入合同和《服务商协议》目的不同。法国教育部在数字教育资源平台之外,又设置了GAR系统。因此,签署GAR准入合同是法国数字资源提供商加入GAR处理系统的前提,而签署《服务商协议》是我国合作方接入国家数字教育资源公共服务体系的条件。这种差异的根本原因是法国与我国数字教育资源空间构建模式不同。法国的数字教育空间ENT是由教育部组织开发的云教学平台,由各学区行政机构资助运行。在数字资源提供商加入GAR系统后,学校或教育机构便可以通过ENT和GAR向数字教育资源提供商发送订购信息,GAR系统负责从数字资源提供商处传递数字教育资源给学校或者教育机构的管理人员,再由管理人员将资源分配给师生个人ENT,师生通过点击资源图标即可获取。GAR同时作为“过滤器”筛选师生必要信息,按照适当原则、严格必要原则和最小化原则等GDPR确立的原则传输给数字资源提供商,从而保证师生享有获取资源的权限。而我国国家层面的数字教育平台和地方数字教育平台并非由同一运营开发商负责,各地域之间的教育平台相对独立。所以要实现全国数字教育资源共享,需要地方教育平台签署《服务商协议》,接入国家教育资源公共服务体系。没有接入地方教育平台和国家数字教育平台的数字教育资源提供商也可以签署《服务商协议》,从而接入国家教育资源公共服务体系,为师生提供教育资源。地方教育平台和数字教育资源提供商被统称为《服务商协议》的合作方。
其次,GAR准入合同以GDPR和法国国内数据法为蓝本,规定了数字资源提供商以及教育部保护师生个人数据的义务;而《服务商协议》的内容与我国数据法连接不紧密,没有涉及获取数字教育资源中师生个人数据保障。如前所述,GAR准入合同将教育部定位为数据控制者,数字资源提供商定位为数据处理者,成功将合同条款与GDPR和法国国内法相衔接。而尽管我国个人信息保护法也规定了“个人信息处理者”,但未能与《服务商协议》中的“合作方”相关联。且协议中“合作方”一词的法律定位模糊,根据协议条款,合作方不仅包含数字资源提供商,还包含各地自主开发的教育资源平台,因此当数据主体的权利受到侵害或存在被侵害风险时,个人信息保护法难以发挥作用。
此外,不同于由法国国家教育部主导并负责的数字教育资源平台,我国的国家教育资源公共服务体系没有义务审查合作方的资质,对资源使用过程中合作方的违法行为不负责。对合作方因违反相关法律法规或侵犯任何人的权益造成的损失,合作方承担全部责任。国家数字教育资源公共服务体系仅作为合作方和用户使用的中介性平台。最后,不同于法国设立统一且独立的数据监管机构的做法,我国履行个人信息保护职责的部门较多,既作为“监管者”又作为“被监管者”,影响个人信息保护部门的中立性。如上文所说,使GAR准入合同有效实施的除了与数据法相连接的条款外,还有合同外的法国数据监管机构CNIL。CNIL密切关注GAR系统,数字教育资源提供商定期协助教育部对GAR运行情况向CNIL汇报。而依据我国个人信息保护法第六章第60条规定,我国履行个人信息保护职责的部门是国家网信部门、国务院有关部门以及县级以上地方人民政府有关部门。根据现行有效的法律和行政法规,我国电信管理机构、国家市场监督管理局、国务院卫生健康主管部门、国务院司法行政部门和国务院公安部门等国务院有关部门都在各个领域内履行监管职责。为避免“划界而治”的个人信息保护模式造成的各部门协调性不足,个人信息保护法第62条还规定,我国国家网信部门不仅要承担个人信息保护监管执法的职责,同时也发挥统筹协调作用。然而,尽管我国将个人信息保护职责分配给不同部门,但具体到教育领域师生个人数据保护,只有居民身份证法第19条规定,教育单位工作人员泄露在履行职责或者提供服务过程中获得的居民身份证记载的公民个人信息,构成犯罪的,依法追究刑事责任;尚不构成犯罪的,由公安机关处拘留、罚款、没收违法所得,对他人造成损害的,承担民事责任。此规定将个人信息保护范围限定在居民身份证记载内容,并不能完全涵盖数字资源获取中所有的师生数据,也无法在数字时代的背景下有效保护师生的个人信息。
四、保障数字教育资源安全获取的建议
我国虽有类似GAR准入合同的《服务商协议》,但两者存在诸多不同,《服务商协议》也并非为平台上数字教育资源利用时师生个人数据保护的目的而制定。且不同于法国在数字教育资源平台和数字资源提供商之间设立独立的数据传输枢纽GAR系统,我国对教育领域的关注更多在于数字化转型与建设,由此带来的个人数据保护问题尚处于探索阶段。在北大法宝上以“个人信息保护”和“教育”为关键词检索,共有441条结果,其中并没有数字教育资源平台泄漏个人信息构成侵权纠纷的案例。但这并不意味着我国数字教育资源平台对师生个人信息采取足够严密的保障措施。2022年“学习通”网络教学平台(以下简称“学习通”)疑似信息泄漏的事件引起社会的广泛关注,足以表明用户对教育平台安全性的担忧。

(一)实施平台准入合同的必要性

我国在线教育平台是在新冠疫情的背景下发展起来的,其主办单位包括各类科技有限公司、出版社及各大高校,部分教育平台不仅面向高校师生,也面向社会公众。为避免因课堂教学造成疫情传播,我国教育部大力推动线上教学,并于2020年2月2日组织22个在线课程平台免费向学生开放线上课程,“学习通”是其中之一。这直接导致“学习通”访问量激增,仅2020年3月2日这一天,日访问量飙升至107.9亿。依教育部统计,2022年全国共有各级各类学校51.85万所,在校生共计2.93亿人,高等教育在学总规模达4655万人。在线教育平台用户群体和群体承载的用户信息数量庞大。用户在使用上述在线教育平台前,需要填写手机号注册,以及勾选平台制定的《隐私政策》和《用户协议》。以“学习通”的《隐私政策》与《用户协议》为例,其中规定用户信息包括用户的真实姓名、性别、职业、任职或就读学校、头像、手机号码、IP地址。但鉴于这两份文件是平台和师生之间的协议,并且以勾选的方式呈现,所以即便平台掌握着上亿的用户信息,这两份文件对个人信息保护的力度和用户知情同意的效力还有待商榷。
与法国不同,我国数字教育资源掌握在各大平台手中,国家数字教育资源公共服务体系的合作方多为教育平台,而非个体数字资源提供商。因此,我国教育平台往往承担着提供教育资源和资源获取中师生数据安全保障的两项职能,这意味着平台将难以保持中立。此外,我国在线学习平台主办机构分散,22个在线课程平台仅仅由教育部在疫情期间推出,后者并不直接对22个在线课程平台的数据处理行为负责。这导致发生数字教育资源平台侵害个人信息权利时,只能采取事后救济的方式。平台使用者要么与平台协商解决,要么向网信办、公安机关等监管部门投诉或举报。但网络时代信息传播速度快、传播范围广,仅靠事后救济并不能及时满足权利人的需求。因此,平台和消费者之间个人信息保护协议并非良策,而是要引入平台准入合同,采取纵向监管的方式保障师生个人信息安全,将事前监管、事中监管和事后监管相结合,全过程规范师生个人数据处理活动。

(二)制定符合我国国情的平台准入合同

与法国统一的数字教育平台不同,我国相关平台发展较慢,且具有地域分散性,所以难以建立由教育部统一负责的数据安全传输和数字教育资源获取系统。但法国GAR系统及GAR合同对我国数字教育资源获取中的师生个人信息保障具有借鉴意义。笔者认为,可以结合我国国情,将国家数字教育资源公共服务体系的《服务商协议》转变为行政合同,进而实现师生个人信息保障。
要形成对数字平台教育资源获取中的师生个人信息的行政合同保护,首先需要确定平台准入合同的制定者。据前文,我国公安机关负责教育领域的个人信息保护。而《教育移动互联网应用程序备案管理办法》规定,教育部负责统筹教育移动应用备案管理工作,教育移动应用的提供者和使用者均可以通过国家数字教育资源公共服务体系向主管的教育行政部门备案。提供者备案需要提交网络安全等级保护备案证书,该证书由公安机关网监部门印发。对于备案后正式运行的教育移动应用,我国教育部并不承担相应个人信息监管的职责。鉴于我国现状,笔者认为可以由教育部和公安机关联合制定,以《服务商协议》为蓝本进行细化,加入我国数据法有关个人数据权利、数据处理者的义务、违反义务的法律责任以及监管机构的内容。教育移动应用的提供者在备案前要签署《服务商协议》,由公安部门负责该教育移动应用的网络安全等级审查,教育部负责备案后教育移动应用的公示,以上两个部门联合负责《服务商协议》的有效实施。此外,个人信息保护法规定,网信部门承担统筹协调作用,所以应当充分利用已健全的各级网信部门,或者建立独立的数据保护监管部门,监督《服务商协议》的有效实施。
结语
我国与法国数字教育资源发展路径不同,相较于法国教育部主导的统一数字教育资源平台和获取方式,我国更具有地域分散性。因此,我国应借鉴法国GAR准入合同与数据法的衔接方式,由各地各级网信部门、公安机关和教育部门结合当地数字教育资源发展特点,明确数字教育资源提供商和数字教育平台在个人信息法中的定位,以《服务商协议》为蓝本,推出约束数字教育平台和资源提供商的行政合同,保护师生在数字教育资源获取中的数据安全。
往期精彩回顾单心怡|构建长三角地区海事临时仲裁制度的路径研究——以上海临港新片区为视角
毕雨健|虚拟空间中教师权威的维护策略研究
俞少琦|我国强制亲职教育制度理论证成、实践检视与前进路径初探
宋晓彤|教师越轨行为处理的法治化路径研究
马磊|情境行动理论视角下中小学教师体罚行为分析
王正超|新时代公平优质受教育权的本体构造与实现进路

上海市法学会官网

http://www.sls.org.cn


继续滑动看下一个
上海市法学会 东方法学
向上滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存