学校在实施教学管理的过程中，不可避免的需要处理学生及学生家长的个人信息。从招生到学生毕业，基于学校自身的教学管理需求及配合其他行政部门的管理需求，学校对学生及学生家长的个人信息处理贯穿始终。

此前，关于个人信息保护的规范散落在多部法律法规当中，一定程度上回应了公众关切，但尚未全面建立起个人信息保护法律体系。再加上民众个人信息保护意识不够、能力不足、措施有限，个人信息处理者风险防范意识薄弱，导致现实生活中个人信息处理者在处理个人信息时比较粗犷，个人信息没有得到合理的保护，其社会危害已逐步显现。

《个人信息保护法》的实施标志着与我国网络大国、数字大国相匹配的制度建设逐步走向成熟。《个人信息保护法》是我国首部系统规定个人信息处理规则的法律，它明确了个人信息处理活动中的权力义务边界，规定了“双罚制”的行政责任，即个人信息处理单位和直接负责的主管人员和其他直接责任人员违法处理个人信息的，均有可能面临行政处罚。

《个人信息保护法》的亮点之一是对国家机关处理个人信息做了特别规定，特别强调国家机关处理个人信息的活动适用本法，并且处理个人信息应当依照法律、行政法规规定的权限和程序进行，不得超出履行法定职责所必需的范围和限度。并规定法律、法规授权的具有管理公共事务职能的组织为履行法定职责处理个人信息，适用本法关于国家机关处理个人信息的规定。

学校基于教学管理的需要以及可能涉及配合公共事务管理的需要，不可避免的成为“个人信息处理者”，需要对其个人信息处理活动负责，并采取必要措施保障所处理的个人信息的安全。在《个人信息保护法》时代，学校如何合法合规处理个人信息十分重要，是个非常值得探讨的问题。

首先，明确几个概念。

1、什么是“个人信息”？

个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。包括但不限于自然人的姓名、出生日期、身份证号码、个人生物识别信息、住址、电话号码等。

2、什么是“敏感个人信息”？

敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

3、什么是“个人信息处理”？

个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。

目前学校处理个人信息常见的风险点

一、个人信息的收集过程不够谨慎。频繁收集、重复收集、收集方式比较随意（比如在相对开放的家长群使用共享文件公开收集）、收集人员也比较随意（比如委托家长代为收集）的现象时有发生，给个人信息的泄露埋下重大隐患。

二、学校处理的个人信息常涉“敏感个人信息”，如不满十四周岁未成年人的个人信息均属于“敏感个人信息”，需要格外谨慎对待。

三、因学校与学生及学生家长的密切关系，存在其他行政管理部门基于其他的社会管理需要委托学校收集学生及其家庭成员的个人信息的情况时有发生，这也给学校增加了处理个人信息的风险。

四、对于已收集的个人信息缺乏管理规范，容易在存储、使用的过程中埋下泄露个人信息的风险。

学校可以采取哪些措施规范个人信息处理活动？

一、梳理学校个人信息处理的用途和需求，减少不必要的个人信息处理活动。

二、依据《个人信息保护法》等相关法律规范，就学校处理个人信息的具体需求制定内部个人信息处理管理制度和操作规程，确保个人信息处理活动有章可循。

三、处理敏感个人信息、委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息的，应当事前进行个人信息保护影响评估，并对处理情况进行记录。

个人信息保护影响评估应当包括下列内容：

1、个人信息的处理目的、处理方式等是否合法、正当、必要；

2、对个人权益的影响及安全风险；

3、所采取的保护措施是否合法、有效并与风险程度相适应。

四、采取必要的安全技术措施实现个人信息安全管理。

五、合理确定个人信息处理的操作权限，并定期对直接处理人员进行安全教育和培训。

六、谨慎接受委托处理个人信息，并谨慎委托他人处理个人信息，如确有需要，注意事前明确各方责任，规范处理活动。

七、制定并组织实施个人信息安全事件应急预案。

关于个人信息保护的问题，我们将持续关注，帮助个人信息处理者提高合规意识，分类研究不同类型个人信息处理者的合规问题，和个人信息处理者共同发现问题，共同研究制定实现合规的解决方案。

作者

胡钰

道可特深圳办公室 资深律师

教育背景：西南政法大学法学学士

专业领域：企业法律顾问、合规管理

相关阅读

道可特研究丨民营企业法律风险防控手册（一）- 重视合同订立与履行

道可特研究｜离婚股权分割及对公司的影响

道可特研究｜浅析建工领域“用工主体责任”