一、高校侵害学生个人信息权的具体行为
学生作为公民,享有个人信息权,有关学生本人直接或间接的信息、资料,且不愿为他人详细知道和了解的方面,有权不被他人故意泄露或获知。但由于个人信息权未在法律中予以明确,加之学校缺乏权利保护意识,高校不知不觉中也成为个人信息侵权事件中的主角。打开网络搜索,可以搜索到很多有关高校侵犯学生个人信息权的事件,如2007年6月,沪上某高校数千名学生和老师的电子学籍管理系统帐号和密码外泄,用这些帐号,不仅可以查看在校学生的学籍、个人和家庭信息,部分权限大的帐号甚至还可以对学生的个人信息进行修改。一职高54名学生在毕业一年半后,他们的个人信息包括姓名、身份证号码、家庭详细地址、电话号码等在内的13项信息,全部在网上曝晒,而这些信息原本只是存放在学校的服务器上,仅供学校内部使用的。这些一方面说明高校学生个人信息实现学生管理法治化紧迫性与必要性,另一方面也呼唤法律对高校侵犯大学生的行为予以规制。笔者经过考察梳理,认为高校对学生个人信息的侵害行为主要包括以下几种:
(一)高校对学生个人信息的不正当收集和利用
学生作为公民,享有宪法和法律赋予公民的一切权利,个人信息权作为一项人格权,已经逐渐得到各界人士的重视。学生在高等院校里也享有一定的个人信息权,只不过因其处于学校的管理之下,其范围相对要窄一些。高校作为管理者,为实现管理目的,往往收集了大量真实有效的学生的个人信息,其中不仅包含了学生自身的一些信息,还包括了学生的父母、家庭、工作单位等一些社会关系信息。其中有些信息确实是学校管理需要的,而有些却未必需要,却一并收集,有些举措的施行客观上已涉及侵犯学生的个人信息或隐私。如对贫困学生的救济,高校在调查学生经济能力是否属于特殊困难层次时,往往需要了解并掌握基本学生家庭情况,如家庭成员基本信息、收入状况等。为公平、公正、公开的选出真正需要资助的学生,学校一般将呈报上来的特困生信息进行校内公示,规定时间内对这些学生的经济条件没有异议后,公示的申请补助的学生才进入受资助资格范围。此外,学校对于收集来的信息如何管理使用并无明确规定,如2008年12月,西安电子科技大学共有一万多学生在毫不知情的情况下被校方冒用个人信息办理了信用卡。
(二)学校在对学生的教育管理过程中泄露学生的学籍信息和受教育资料。
学校在管理过程中泄露学生个人信息的具体形式分为作为侵权和不作为侵权两种。学校作为侵权的具体情形主要包括:(1)学校在网上公布学生的考试成绩,随成绩附带出现的有考生的姓名、身份证号码、所在院系及联系电话。其他人可以不用任何准入方式直接浏览所有信息。(2)学校张榜公布学生的考试成绩。如广东某高校某些学院将学生的考试成绩公布在学院的公告栏中,并用红线圈出不及格的同学的名字。(3)高校公布扶贫学生的姓名、家庭基本状况。如高校通过宣传、阳光操作、肆意扩大对贫困学生知情权的主体范围,对贫困学生的个人信息资料管理不善也使贫困生的个人信息泄露。
学校不作为侵犯学生个人信息权。主要包括以下情形:
(1)学校网站管理人员由于管理不善,遭到外部人员的恶意攻击,窃取学生的学籍信息资料。如2006年11月16日至21日,新疆职业大学多名学生家长接到诈骗电话,事发后在网上发现一份新疆职业大学2005级新生的详细资料。原因是学校网站曾遭到外部人员恶意攻击,黑客窃取了学校一些重要的内部资料,其中就有500名2005级学生的详细学籍资料。
(2)学校在学生的档案资料管理过程中对错误的信息没有及时纠正,保留学生的错误信息。学生的学生档案是学生重要的个人信息资料,将跟随学生一生。因此必须保证该信息的真实性。而学校在档案管理过程中,学生往往没有机会看到自己的档案,也不知道档案中的信息是否为真实信息,只有出现了问题时才会发现,如将甲同学的记过信息记录于乙同学的档案之中,乙同学无法看到自己的档案,只有在毕业时才发现该问题。
(3)学校对收集的个人信息未采取必要的保护措施。现代社会是信息技术的时代,网络信息技术在高校的普及给学校的管理带来便捷,但也同时带来了安全隐患,使得学校的网络数据库经常成为黑客的攻击对象。如学校未采取防护措施,通过百度的搜索功能,可以搜索到一些在校学生完整的个人信息,这些信息一旦被非法利用,学生及家长的自身利益将会承受不可预知的风险或灾难。苏州某高校就曾因有关部门未对学生个人信息资料采取安全保密措施,把所有要发放奖学金的学生姓名、银行卡号码、原始密码等个人信息资料存在电脑的一个文档中,致使几十个学生银行卡中的奖学金20多万元被四川成都一个学电子商务的在校大学生通过互联网窃取。此外,许多高校的就业信息网也存在泄露学生个人信息的问题。如:天津师范大学学生就业指导中心的网站上有一个名为“学子求职”的栏目。在该栏目中,很多大学生的个人资料无需任何手续就可随意浏览,不但有姓名、院系、出生年月、民族等基本信息,连手机号、电子邮箱、户籍所在地等私密信息都一目了然。无独有偶,在天津理工大学就业信息网上的“优秀简历”栏目中,大学生的QQ号、电子邮箱及宿舍地址等信息一应俱全。
(三)不当披露学生个人健康信息侵犯学生的个人信息权。机体健康状况一般而言是个人的私事,但公民个人所患疾病及治疗状况等信息在关系到社会公共利益时应适当披露是得到认可的。现实中某些学校未经学生或其监护人的许可,也并非出于维护校园公共卫生安全利益的需要,擅自公布了学生所患有的疾病、身体部位的缺陷等信息,造成学生在校园内受到不应有的歧视,并因此给他们的工作、学习、生活带来诸多障碍。
二、侵害学生个人信息行为的归责原则的确定
(一)我国个人信息侵权归责原则的确定
在今天这个信息社会,法律应怎样才能更大限度地保护个人的私密信息不受侵犯。笔者认为,要实现对个人信息侵权的救济,侵权责任的认定是第一步,而个人信息侵权责任的归责原则的确定则是此步骤中的核心。
“归责原则”是确定责任归属所必须依据的法律准则。侵权行为法的归责原则,是指行为人的行为或物件致使他人损害的情况下,根据何种标准和原则确定行为人的侵权民事责任。侵权法就是要解决侵权行为的责任问题,因此归责原则在整个侵权法中处于核心地位。而在个人信息侵权中归责原则同样也居于核心地位,它对于责任构成要件、举证责任的负担、免责条件、损害赔偿的确定等起着决定性的作用。
个人信息权属人格权的范畴,应根据其人格权属性对其予以民法保护,而要完善对此种民事权利的救济,核心就是确定个人信息侵权行为的归责原则。从世界各国和各地区对个人信息立法来看,对个人信息侵权责任归责原则的设置,一般均考虑公共领域和社会组织与个人之间力量的不均衡,在确定个人信息侵权的归责原则时,对公务机关和非公务机关(包括组织和个人)侵权予以区分。对于公务机关个人信息侵权行为采用无过错责任原则,而对于非公务机关个人信息侵权行为采取过错责任原则,同时采取举证责任倒置即推定过错。这是因为:一方面,公务机关个人信息侵权行为,有损公信力,且对当事人的危害较大,所以应加重其责任,同时,由于信息主体举证责任的承担有较大难度,为了保护弱势方的利益,故采无过错责任原则。另一方面,为了协调信息主体和信息控制者之间的利益平衡,适应信息时代的发展需要,而对非公务机关的侵权采取过错推定原则。例如,德国1990年《联邦资料保护法》第7条第1款规定:”公务机关违反本法或其他资料保护规定,因未经许可或不正确的个人信息自动化处理造成信息主体损害的,公务机关应该赔偿本人的损失,而不论其是否有过错。”我国台湾《电脑处理个人资料保护法》第27条第1款也作了类似规定。同时,第28条规定:”非公务机关违反本法规,致当事人权益受损害者,应负损害赔偿责任。但能证明其无故意或过失者,不在此限。”
从我国个人信息保护立法专家建议稿来看,对个人信息侵权的归责原则的规定有所不同:周汉华教授主持的《个人信息保护法专家建议稿》第64条规定:政府机关或者信息处理者行为违反本法的规定,给信息主体的合法权益造成损害的,应依法承担赔偿责任。齐爱民教授主持的《个人信息保护法示范法草案学者建议稿》第31条规定:国家机关违反本法规定,给信息主体造成人身或财产上的损失的,应当承担赔偿责任。非国家机关违反本法规定,给信息主体造成人身或财产上的损失的,应当承担赔偿责任。但非国家机关能证明其没有过错的除外。可见,两者均认为国家机关的侵权行为应采无过错责任形式,而对政府以外的其他信息处理者侵权认定规则存在分歧。从我国《民法通则》来看,对于无过错责任原则,我国民法仅规定对几种特殊侵权行为适用,对于没有明文规定的侵权行为不适用。
综合世界各国和各地区的个人信息保护的经验,并结合我国的实际情况,笔者认为对国家机关的个人信息侵权行为采用严格责任;对非国家机关的组织个人信息侵权行为应采用过错推定责任原则,即被告举证责任倒置;对非国家机关的自然人的个人信息侵权行为应采用过错责任原则,在举证时“谁主张,谁举证”。在个人信息保护中,国家机关由于其特殊地位,持有大量个人信息,其凭借强大的国家机器的作用极其容易侵害个人信息,而个人由于国家机关的强势地位,无法了解侵权行为的过程,难以举证行为人的过错。因此个人信息权利无法得到保护。而我们只有严格限制和防范国家机关对个人的侵害,才能促使国家机关依法行政,才能真正实现对个人权利的保护。个人信息侵权的非国家机关的组织主要包括服务商家以及医院等各种企业组织,它们开展业务中往往持有大量的个人信息。组织力量一般都比个人强大,其地位是不平等的,因此要求非国家机关的组织承担相对不利的举证责任以求的两者能力的平衡,实现实质公平。对于自然人的个人信息侵权行为,由于两者地位和实力总体上是平等的,所以实行过错责任,“谁主张,谁举证”。
(二)高校侵害学生个人信息行为的归责原则的确定
如前所述,高校与学生之间的法律关系存在两种:民事法律关系和行政法律关系。那么对于高校侵害学生个人信息的行为,应适用什么样的归责原则呢?从我国对高校的定性来看,其属于事业单位,或者说是教育服务机构,如果对其造成的个人信息侵权行为同国家公务机关一样适用严格责任,恐加重高校的财政负担。而且现在普遍认为高校与学生之间是一种平等主体之间的民事法律关系,因此,笔者认为可将高校作为非国家机关的组织,适用过错推定责任原则,这样既可防止学生由于无力举证而陷入无权利的困境,又可促使高校依法管理,保障学生的信息权利,达到法治的目的。
三、高校侵害学生个人信息权的行为的认定
如前面所述,在个人信息缺乏明确法律保护的情形下,高校对学生个人信息侵权行为有愈演愈烈的趋势。那么面对众多的高校侵害学生个人信息行为,法律应如何保护,司法部门应当从哪些方面加以认定呢?如前所述,本人认为个人信息侵权行为应适用过错推定责任原则,因而笔者认为高校侵犯个人信息行为同样适用此规则,责任构成要件应包括:违法行为、损害事实、因果关系和主观过错四个方面。
(一)违法行为
违法行为是指行为人侵害了法律赋予个人信息主体对其个人信息所享有的权利,被法律所禁止或排除了阻却违法性事由的行为。违法行为包括作为和不作为两种:作为违法行为,即积极实施侵害个人信息主体的权利的行为,如高校将学生个人信息非法披露或公开学生个人信息的行为;不作为违法行为,即消极实施侵害个人信息主体的权利的行为,如高校保有或使用学生个人信息,但未依法履行告知义务,致使学生不能行使更改权、删除权等具体的个人信息权利;因未采取必要安全措施致使合法保有的个人信息陷于不安全的境地,如网站未采用必要的安全技术致使用户的个人信息遭遇黑客攻击等。
(二)侵害学生个人信息的损害事实
损害事实作为侵权责任构成要件,是指学生主张的个人信息权陷于不利益状态的事实,属于事实认定的范畴。这种损害是一种事实状态,一般不具有有形损害的客观外在表现形态,即不以实在的损害结果为必要条件。即只要学生个人信息被损害的事实存在,即具备此要件。此外,损害事实具有多样化的表现形式,既有精神上的损害,如学生个人信息被学校放在网上公开,导致学生受到垃圾邮件,骚扰电话等的骚扰;学校公布错误的学生信息,导致学生个人人格形象被扭曲,学生精神低落,焦虑不安等;也有物质上的损害,如学校将收集的学生个人信息出卖给银行或其他机构的行为,此时个人信息中包含的商业价值并没有给作为信息主体的学生带来物质上的利益,而是被非法使用者所赚取。
大学生的个人信息受到侵害,不仅会带来受害大学生本人的伤害,而且也有可能会使其家人、亲属、朋友因此而受到损害,如学校泄露学生个人信息,也会把其亲属、朋友的信息一并泄露,扩大侵权面。此外,个人信息侵权事件的发生对整个学校管理秩序也是一种损害,学生个人信息受到泄露或非法利用,对于学校收集信息的行为必然产生抵触情绪,进而对学校其他的涉及自身的管理行为产生怀疑,尤其在投诉无门的情况下必然对学校整个管理体系产生抵触,因而不利于学校管理工作的进行。从整体上说,学校对学生个人信息缺乏保障机制,必然也影响到整个国家法治建设,使学生对国家宪法保障公民权利的机制产生怀疑。
