冯恺 | 美国中小学生个人信息法律保护政策探究

发布于 2021-10-08 09:30

作者简介

冯恺,女,中国政法大学比较法学研究院中美法学所所长,副教授,法学博士。




一、K-12学生个人信息保护的立法挑战及应对

美国将K-12学生从成年人主体中区分出来,对其施以专门的立法保护,也即所谓的区分主义保护。儿童的自然存在呈现出生物发展主义的特性,如脆弱、无知、无能力、依赖、非理性、无法自我控制等诸多不同于成人的特征,[1]这使他们对个人信息处理的风险、后果、保障措施及相关权利了解不足,法律上需要为其提供特别的保护。正如学者所言,儿童个人信息权利如此需要保护,它应该先于其他权利受到保护。[2]然而,在对大数据依赖度不断增加的当下社会,儿童和儿童权利支持者的声音并没有获得足够重视。[3]K-12学生大致介于6~18岁之间,是处于高度信息化环境的儿童群体的主要构成部分,对其区分保护符合美国社会珍视儿童利益的一般价值观。同时,美国社会盛行现实主义的法律文化观,发生何种新问题时推行何种应对性立法,故而难以找到一部规定个人信息处理者完整权利和责任的全面性隐私法,对个人信息使用和公开的监管侧重于“特定的行业活动”[4],K-12学生的个人信息保护也归由专门的法律管辖。可见,美国法中针对K-12学生推行基于区分主义的立法保护模式,是儿童不成熟属性、本土社会价值观及法律文化观等多种因素促成的结果。

(一)旧的法律政策面临挑战

从立法发展来看,美国关于K-12学生个人信息的保护最早确立于1974年《家庭教育权和隐私权法》(Family Educational Rights and Privacy Act)及1998年《儿童在线隐私保护法》(Children Online Privacy Protection Act)两部联邦法案,两者长期以来承担着对中小学生这一特殊信息主体的保护使命。然而,随着数字技术的迅速发展,两部立法日渐不能弥合21世纪以来科技发展和个人信息保护之间的矛盾,其规范上的漏洞日渐凸显。美国国家教育政策中心的报告显示,根据《家庭教育权和隐私权法》的规定,只要不将学生个人信息披露给其他第三人,教育机构可以不经学生或其家长同意披露教育记录中的个人信息;但作为学校分包人的“合同人、咨询者、志愿者或其他当事人”常因代表学校的利益而被视为学校当局,当学校将学生个人信息提供给这样的第三方机构时,并不必然违反法律规定,从而使滥用相关信息的组织或个人逃脱法律的制约。[5]

根据福德汉姆法学院法律和信息隐私中心发布的“公立学校隐私和云计算”报告:(1)被调查的95%的学区依靠云计算实现多种功能,包括监督学生表现、为课堂活动提供支持、提供信息及指导学生;(2)只有25%的学区就其云服务使用告知家长;(3)20%的学区没有管理其云服务使用的政策;(4)在学区和云服务提供者的合同中,只有25%的学区就学生数据收集相关服务提供者的行为予以审查;(5)不到7%的合同限制买卖学生信息;(6)只有1份合同要求云服务提供者在违反数据安全时告知学校。[6]这表明云计算已经全面渗透到学校生活中,旧的立法不能充分满足现实之需,美国社会亟待采行新的法律策略。在此背景下,美国近年来在联邦和州层面上推动新的一轮法律改革,旨在加强对K-12学生教育信息隐私的保护。

(二)联邦立法动向

美国联邦层面上的立法政策清楚地指明了强化教育信息隐私保护的变革方向。2015年以来,关于K-12学生信息隐私保护的国会议案涉及三种法律改革方案。其一,设立专门研究委员会。此方案以S.1177号议案的补充法案为代表,要求成立“学生隐私政策委员会”,研究现有联邦法律及其实施机制对K-12学生信息保护的有效性,如何促进和加强联邦法律,有无必要提供或更新与学生隐私有关概念的标准,确立哪些联邦立法需要更新以及合适的联邦执行机构等。其二,将规制目标指向为K-12教育机构提供特定科技服务的运营商。此方案以H.R.2092号议案,即《学生数字隐私和父母权利法》为代表,禁止运营商利用从学生在线行为、在线使用、移动应用或相关信息中获取的信息向学生和父母宣传推广,向第三方销售学生信息、收集学生信息创建个人档案或进行与教育目的无关的使用,并要求运营商就未成年学生信息的告知、删除、改正和披露等事项承担相关义务。其三,改良现行法,对既有的《家庭教育权和隐私权法》作出修正。相关主张具体呈现于H.R.3157号、S.1322号、S.1341号等多个议案中,如H.R.3157号议案,也即《学生隐私保护法》,主张扩大父母获取相关信息的权利,使其有权审查、评论、挑战和纠正未成年人教育记录中的个人信息。该改革方案所代表的修正论成为联邦立法关于K-12学生个人信息保护政策的主流理念。

同时,美国参议员爱德华·马基(Edward Markey)与乔希·霍利(Josh Hawley)于2019年3月12日提起关于《儿童在线隐私保护法》的修订法案,以加强对儿童个人信息的在线收集、使用和披露及其他目的的保护。该修订法案提出扩大原法的主体适用范围,以涵盖13~15岁儿童;在儿童个人信息收集方面设立新限制;重新界定运营商的义务标准以及禁止针对儿童推送营销广告等主张。[7]其后不久,美国联邦贸易委员会(Federal Trade Commission)启动对《儿童在线隐私保护法》的第二次修订,就该法的有效性、是否需要作出修订、通知和家长同意及其例外、安全港条款等问题向社会公众征求意见,以确保该法更好地适应自2013年修订以来所发生的市场、技术和商业模式变化。[8]这一立法活动将对K-12学生个人信息保护产生重要影响。

(三)州立法举措

美国在州法层面上不断强化对K-12学生个人信息的保护。多个州的立法议会先后制定了专门的K-12学生信息隐私法,着力于“禁止特定数据的收集”或“要求州和学区强化其监管设施与程序”。[9]例如,被誉为美国教育信息隐私法律改革重要里程碑的加利福尼亚州参议院1177号法案,即引发公众瞩目的《学生在线个人信息保护法》(Student Online Personal Information Protection Act)的立法摘要中指出,应为委托第三方收集与分析K-12学生信息的学区制定隐私标准,针对运营商施加更多限制,禁止网络运营或服务商以营销或宣传某种产品或服务为目的,而故意使用、披露、编辑或者允许第三人使用、披露或编辑未成年学生的个人信息隐私,并在保护范围上作出扩张性解释。该法作为首个将规制目标指向对数据风险具有控制能力的运营商的州立法,被认为是“美国保护K-12学生在线信息的最严厉法律”和“第一部真正全面的学生信息隐私立法”。其他一些州在此基础上相继确立了专门的学生个人信息保护法。

此外,包括人脸识别等新型基因信息在内的生物识别信息具有特定的敏感性,美国一些州亦针对中小学生的此类信息着手制定专门的保护性立法。例如,根据路易斯安那州律例注释第100条相关学生生物识别信息收集和使用的规定:每一个负责从学生那里收集生物识别信息的公立中学和小学,应该设立、采取和实施规范收集与使用该种信息的政策,至少应该包含一个关于何种类型的生物识别信息可以被收集、如何被收集和储存以及该信息使用目的的完整解释;须获得书面许可;相关个人信息仅用于身份识别或者防止欺诈的目的等。佛罗里达州律例注释第1002条明确禁止教育机构收集、获取或保存学生及其父母、兄弟姐妹的生物识别信息及其他个人信息。通过对K-12学生个人信息保护立法的持续更新和补充,美国在技术变化发展的背景下得以有效应对不断涌现的新问题。

二、法律保护的范围呈扩张化趋向

立法上如何界定个人信息受保护的范围,反映出一个法域针对某个特定主体提供何种水平的保护。对于“法律应当在多大范围上保护K-12学生信息主体”这一问题的解读,又常常取决于对其“个人信息”的内涵作出何种界定。如果某个信息无法与特定个体的人格身份发生联系,就无法想象对这一信息的使用如何对该个体产生不良影响,这一客观事实促成了当前立法的重要观念,即将“可识别”确定为个人信息的核心要素,法律上仅保护“可识别”的个人信息(Personally Identifiable Information,PII)。同时,对“可识别”作限缩主义还是扩张主义的理解,也关系到K-12学生个人信息能够在多大程度上获得立法的保护。

(一)保护范围上的局限性

在美国传统教育立法中,学生个人信息的保护受到一定限制。一方面,尽管美国国会并未通过成文法直接规定个人信息须“可识别”,但《家庭教育权和隐私权法》在描述“教育记录”时使用了这一用语,声明受保护的学生个人信息并非指所有的教育记录,而是教育记录中与学生直接相关、“可识别”学生身份的信息。另一方面,判例法实践中往往拒绝对《家庭教育权和隐私权法》确立的“教育记录”作出扩张解释和适用。美国联邦最高法院在法尔沃(Falvo)案判决中即认为,该案涉及的学生相互打分行为(peer grading)不应作为教育记录受到保护,作出这一判定的原因有两个。第一,教育记录的“持有”必须符合“中心保管”原则的要求,即只有存放于学校档案室或安保数据库中的材料才是法律所指的“教育记录”,学生在课堂上相互批改的作业或试卷并未进入学校档案室或数据库中,因此“持有”要件未能得到满足;第二,教育记录的持有人只能是教育机构或代理其行为的学校工作人员、校方助理、教师或者其他学校雇员等,作业或试卷的持有人却只是听从教师安排参与相互打分活动的同学,这一活动在实质上仍然是教学内容的一部分,学生并不能被视为学校的代理人,“教育记录持有人”的要件也不能得到满足。此外,由于教育记录将“源自学生的直接个人体验而形成的认知”排除在外,当教育机构的员工“私下发现某个学生从事反常和具有威胁性的行为时”,则可以将相关信息与他人分享。[10]显然,对“可识别”个人信息与“教育记录”的限缩性解释,使得受保护的K-12学生个人信息的范围相应缩小。

(二)局限克服:对“可识别”的扩张解释

在数字技术背景下,《家庭教育权和隐私权法》的适用限制使一部分学生个人信息被排除在法律保护范围之外。例如,未与教育机构缔结合同的第三方通过在线工具从学生或教师那里直接获取的学生信息,以及学生在校接受问卷调查或标准考试时产生的可交易文件,均无法获得该法的保护。[11]为了解决这一困境,美国联邦立法趋向于对学生“可识别”个人信息的内涵作出扩张解释,以期将包括一个学生的项目、地址和社会安全号及其他间接识别符等在内的更多个人信息类型纳入法律保护范围。一些州立法也试图采用更具包容性和弹性的方法来解释K-12学生个人信息的概念。以加利福尼亚州《学生在线个人信息保护法》(Student Online Personal Information Protection Act)为例,它通过“一般定义+特别列举”的方法,将受保护的K-12学生个人信息界定为“个人身份可识别的信息或数据”,并补充列举了相关信息或数据被储存的特定媒介形式。如此,未受《家庭教育权和隐私权法》保护的学生个人信息得以纳入法律的保护框架,从而在一定程度上扩大了原有立法的保护范围。

数字科技使得非识别性个人信息可以与个人关联起来,经涤除的个人信息能够被重新识别,某个时间被认为非识别的信息也会在以后的某个时间转化为可识别性信息。在一般个人信息保护法律实践中,法院亦往往针对“可识别”采取限缩性解释的方法,强调PII中的“I”为“已识别”(identified),即基于当前的技术水平能够被识别。[12]受制于个人信息“可识别”这一核心概念的限缩解释立场,受保护的K-12学生个人信息同样被限定于“已识别”的信息部分。这意味着,诸如个人数据痕迹之类的新生信息类型难以被纳入既有的法律保护框架,运营商仍然能够保存和使用“身份识别信息被涤除”(de-identified)或“匿名”(anonymous)的学生个人信息来拓展教育产品和服务。“当技术变化使得法律的文义变得模糊时,必须根据法律的基本目的作出解释。”基于K-12学生个人信息的特别保护目的,对“可识别”这一范畴作出宽泛界定,使更多个人信息类型被纳入法律的保护框架之下,具有重要的现实意义。[13]正因如此,“可识别”的内涵随着技术的快速发展在美国法律实践中不断扩大,以至于保罗·奥姆(Paul Ohm)感叹“最高法院和立法者都赶不上其发展进程”[14]。这一扩张趋向在一定程度上也填补了原有法律对K-12学生个人信息保护的漏洞。

三、重视法律义务机制的构建

根据一般儿童权利观念,儿童的基本权利应当建立在更为广泛的基本义务之上,这些基本义务能够被用于有效践行具有正当性的权利。从美国相关立法发展来看,在前期,关于K-12学生个人信息的立法保护以权利为本位,强调对学生及其监护人信息权利的赋予;在后期,立法者普遍接受实际风险控制者担责理论,立法保护的重心日渐转向注重学校、运营商以及其他社会组织的义务承担。在数字技术背景下,K-12学生个人信息的立法规制目标从传统上掌管其日常生活的学校、家庭进而转向掌握新技术密码的运营商;保护方法上更侧重于义务机制的构建,令数据的采集者和使用者对数据的管理及其可能产生的危害负责,不再狭隘地将其责任局限于是否通过正常途径采集数据。概而言之,美国K-12学生个人信息保护的立法重心从最初的权利本位日渐趋向于义务本位。以学校和运营商这对具有风险控制能力的义务主体为重心,构建学生个人信息保护的义务机制,尤其是突出数字技术背景下运营商的特定义务承担,这与既有的授权保护模式相呼应,有力地保障了中小学生的个人信息利益。

(一)学校义务承担模式

美国立法始终强调学校对K-12学生个人信息保护的义务承担。学校掌控着未成年学生的教育记录,在信息风险的控制链条中居于关键位置;学生的权利客观上也需要通过学校义务的具体履行得以实现。因此,学校义务承担模式早在美国最初的立法文件中,就被视为一种有效的保护方法。以《家庭教育权和隐私权法》为范例,该法在突出保护学生及其家长的信息权利的同时,又详尽地列举了学校的法定义务,包括公开K-12学生个人信息应获取其家长同意、告知家长及学生相关信息权利、提供听证机会和确保教育记录的正确性以及纠正错误与删除不当内容等。对学校义务承担模式的坚持,也进一步呈现于近年来的州立法活动中。譬如,加利福尼亚州《教育法典》第49073.6(c)节即确立了详尽的义务条款,要求学校承担将拟收集或保存的数据项目情况告知未成年学生及其家长、仅能收集或保有与学校或学生安全直接相关的数据内容等具体义务。这表明,学校义务承担模式仍然被视为美国法中K-12学生个人信息保护的一个基本规制方法。

(二)运营商义务承担模式

运营商义务承担模式在相关K-12学生个人信息的立法中获得更为广泛的采纳。受利益的驱使,掌握新技术密码的运营商会毫无节制地收集和使用未成年学生的个人信息。美国联邦贸易委员会在制定《儿童在线隐私保护法》前夕,对一个以1400个流行网站为对象的调查显示,高达85%的网站存在收集个人信息的行为,大多数面向儿童的网站会收集儿童个人信息,仅有极个别网站张贴了充分的隐私政策。[15]显然,运营商需要承担起更大的社会责任,证明自己的产品不会引发问题,以及在应用程序中增加防护措施而非只顾从市场中牟利。[16]

据此,美国联邦立法《儿童在线隐私保护法》明确规定网站或网络服务商对包括K-12在内的儿童负有特定义务,要求其收集、使用或披露13岁以下儿童的个人信息时,须制定清晰的隐私政策,合理解释收集儿童信息的行为,明确说明正在收集何种信息以及如何使用该信息,并应获得家长同意和提供合理途径、方法,以便于家长检查、删除被收集的数据。许多州立法也日渐突出运营商对K-12学生个人信息保护的义务承担。例如,加利福尼亚州《学生在线个人信息保护法》第22584条通过两个重要举措,强化数字技术背景下运营商对学生个人信息的保护义务。一是重新诠释“运营商”的内涵,使义务主体的范围扩展至几乎囊括所有可能收集和使用K-12学生个人信息的主体;二是细化运营商义务的内容,包括运营商不得在网站、服务或应用中进行有针对性的广告宣传或基于获取的信息策划广告,不得违反教育目的利用所收集的信息形成学生档案,不得销售或披露法律所涵盖的学生信息,还要保护该信息免受未经授权的获取、破坏、使用、修正或披露等。特拉华等其他多个州的学生信息隐私保护法也作出了类似规定。美国立法通过明确运营商对K-12学生信息主体的法定保护义务,令其信息隐私安全获得更大保障。

(三)采取“二元制”的规制路径

学校和运营商对K-12学生个人信息保护的义务承担,在美国法中主要通过“二元制”的规制路径得以实现。一是立法者施加特定义务于学校,相关内容纳入教育类法律,由对学校具有控制权力的教育主管部门监督实施;二是立法者施加特定义务于运营商,相关内容纳入贸易和行业类立法,由对运营商具有控制权力的联邦贸易委员会监督实施。此种规制路径将学校和运营商承载义务的实践使命,交由对其具有实质控制和影响力的主管部门,责任界分清晰,而非泛泛地要求“各部门联合执行”,这在很大程度上促进了义务内容的有效实现。

四、平衡K-12学生个人信息保护与其他利益的冲突

根据现代法的观念,一部法律的好坏标准还在于它能否成功维持所在社会秩序的良性运行。随着信息保护理论研究的深入,人们日渐意识到维持个人信息保护及其冲突性利益平衡的重要性。美国德茂欣(Duane Morris)律师事务所的报告显示,尽管信息隐私是一个持久不断的热门话题,围绕学生个人信息保护的恰当使用或滥用的对话趋向并非侧重于信息隐私本身,而是侧重于商家和消费者之间的相互作用,以及如何使教育产品和服务提供者获取技术进步。[17]K-12学生个人信息的法律保护同样面临与技术进步、经济发展及国家安全等利益的冲突和平衡。例如,基于打击恐怖主义和维护国家安全的需要,美国《爱国者法》(USA Patriot Act)允许调查机关在涉及恐怖主义的事件中不经通知或许可程序秘密调取学生的教育记录。[18]不过,就K-12学生这一特定信息主体而言,更为突出的问题是如何平衡其与公共教育、家庭监管及教育科技应用等利益之间的冲突。在根植于务实主义文化土壤的美国法中,K-12学生个人信息保护与其他受保护利益之间的平衡,主要是通过免责、限制适用与排除等例外性规定以及弹性的个案判决得以实现的。

(一)立法平衡

在立法层面上,美国《家庭教育权和隐私权法》规定了不经书面同意获得教育记录的“例外”情况,包括基于“合法教育利益”原则将学生的教育记录透露给学校管理者,或者为了保护学生与他人的健康和安全将教育记录透露给合适的人;如果父母、其他监护人或有资格的学生没有选择退出,学校也有权将包括姓名、地址、电话号码、生日、出勤日期、学历和奖励等在内的学生“目录信息”(directory information)透露给公众。作为具有代表性的州立法,加利福尼亚州《学生在线个人信息保护法》采用了免责、限制适用及排除等具体平衡方法。首先,在遵循该法22584条(b)分项包括的(1)—(3)项未被违反的前提下,披露K-12学生个人信息的“免责”情形包括:根据其他联邦或州法律规定的要求披露;以合法研究为目的;基于K-12学校教育目的、根据州或联邦法律许可使用;运营商所使用的学生数据并不能识别身份等。其次,限制适用的情形包括:不得将(b)分项解释为禁止运营商使用信息以维护、发展、支持、促进或诊断其网站、服务或其应用;不得通过解释以限制法律执行机构根据法律授权或有资格的司法法院的命令从运营商那里获取任何内容或信息;不得限制运营商基于自我适应性学习或基于学生量身定做的目的而使用学生数据的能力。再次,该法22584条也列出了排除适用的情形:主体为一般的网站、在线服务、在线应用或移动应用的一般爱好者,网络服务提供者为学校、学生或其家庭提供网络链接,网站、在线服务、应用或移动应用的运营商不以使用受保护信息为目的向家长推销产品。通过此类具体平衡规则的适用,立法者鼓励教育者和立法者携手共进,在K-12学生个人信息保护、技术创新和其他需求之间获取利益平衡。

(二)司法平衡

在司法层面上,美国联邦最高法院通过一系列判例实践限制了《家庭教育权和隐私权法》的适用。例如,法尔沃案审理法院对教育记录的保护范围作出限缩性解释,不久后,多伊(Doe)案则确立了个人不得以该法为依据提起诉讼的先例,要求完全由教育部家庭政策合规办公室(Department of  Education's Family Policy Compliance Office)负责相关诉讼。除遏制针对学校的滥讼行为外,联邦最高法院相关判例的核心要旨还在于:在个人信息隐私代表的私人利益与维护公立院校良好运营的公共利益之间寻求一个平衡点,尊重K-12学生个人信息的同时确保公共教育秩序的良好运行。

五、结语

在数字技术背景下,如何应对新的挑战和合理保护中小学生个人信息成为一个重要的法律命题,美国近年来的法律改革正是对这一命题的积极回应。儿童的不成熟属性、本土社会价值观及其法律文化观等因素,促使美国针对K-12学生采取区分主义的立法保护模式。客观上看,以信息处理为核心的行业本身情况千差万别,这就要求依据相关行业和领域的特殊性及社会发展的需要拟制特别的规范。[19]中小学生的个人信息保护在信息类型、权利行使、诉讼主体等问题上呈现出独有的特征,针对他们制定专门的保护规则,进行产业合规及法律个案判断时也更为准确。

美国法律改革旨在从不同层面上为K-12学生的个人信息提供保护。一是保护范围上趋向扩张。现代技术轨迹正在转向采集、使用和储存对个人没有直接联系的信息,如果对中小学生个人信息的“可识别”采行限缩主义的解释方法,新生的信息类型将难以纳入法律的保护范围。对个人信息的“可识别”作扩张化解释,使受保护信息既包括“目前”可识别的信息,也包括“将来”可识别的信息,更有助于中小学生信息利益的全面保护。二是重视义务机制的建构。为了有效实现中小学生个人信息的保护目标,美国进一步明确了学校的法定义务,强调运营商的特定义务承担,并力图确立更为具体可行的义务内容和归责方案。三是采用免责、限制适用及例外等限制性条款的方式平衡不同利益之间的冲突,保护中小学生个人信息的同时,为公共教育和科技创新保留一定的发展空间。此外,基于数字技术的复杂性,允许法官在处理相关诉讼时基于社会情势、个案事实及其在同类案件中的审判经验作出权衡。

注释:

根据《家庭教育权和隐私权法》[20 U.S.C. §1232g(a)(4)(A), (b)(2)]的规定,教育记录是由教育机构、教育协会或其代理人保存的履历、文档、证明以及其他与学生直接相关的信息资料,包含了以各种记录形式保存的学生数据。

长期以来,法尔沃案(Owasso independent school district v. Falvo, 534 U.S. 2002: 42)代表了司法实践中限制性解释“教育记录”的一个基本立场。

该论点出自 21世纪音乐公司诉艾肯案(Twentieth Century Music Corp. v. Aiken, 422 U.S. 1975:156),其积极应对技术变更的主张为许多案件提供了指引。

通过多伊案(Gonzaga University v. Doe. 536 U.S. 2002: 273)确立的这一先例,美国司法上进一步提高了《家庭教育权和隐私权法》相关诉讼的门槛。

(因篇幅限制,详细参考文献信息见纸刊)




往期精彩回顾
王晓芳,熊和妮 | 美国纽约州公立中小学分类鉴别、精准诊断与协同改进
苏启敏,陶燕琴 | 人工智能时代美国教师专业道德守则新动向
孙进,陈囡 | 跨学科与实践性:德国劳动教育教师培养模式探析



本文刊登于《比较教育研究》2021年09期,若转载请注明出处。

总发行处:北京报刊发行局

订购:全国各地邮局

邮发代号:2-466

海外发行:中国国际图书贸易总公司(北京399信箱)

海外发行代码:ZW023

编辑部地址:北京市新街口外大街19号

邮政编码:100875

电话:010-58808310

Email:bjb@bnu.edu.cn

网址:http://bjjy.cbpt.cnki.net





微信
bjjyyj2019
识别 我们

本文来自网络或网友投稿,如有侵犯您的权益,请发邮件至:aisoutu@outlook.com 我们将第一时间删除。

相关素材