第17章 域外高校学生个人信息保护模式及评价(1)

一、域外高校学生个人信息保护及救济模式

从世界范围来看，随着信息技术的发展，侵犯个人信息的现象越来越严重，各国对此问题都较为关注。目前，世界上已经有50多个国家和地区制定了个人信息法律体系，值得我国构建高校学生个人信息法律保护体系时参考和借鉴。从对个人信息权进行立法保护和救济的模式来看，一般可以分为行业自律与立法规制两大类，其分别以美国和欧盟两大互联网发达区域为代表，此外，日本的综合立法模式也越来越受到学者的推崇。

(一)美国对高校学生个人信息的保护及救济

1.个人信息保护模式

如前所述，美国对个人信息的保护与其传统价值理念紧密相关，一般是尽可能多地依靠市场的力量来解决所有问题，尽量限制国家公权力的介入。因此，在个人信息保护方面，美国政府也强调业界自律。它以传统的隐私权作为个人信息保护的权利基础，对公私领域进行区分。在公领域，即政府机关收集、处理和利用个人信息的领域，采取分散立法模式，区分不同领域或事项对个人信息分别制定单行法进行保护，如1974年的《隐私法案》规范了政府行政部门收集和传播私人信息的行为；1966年的《信息自由法》要求政府各部门向公众提供检索和复制信息的便利，并且向提出正当要求的人提供信息；1968年的《全面犯罪控制和街道安全法》规范使用电子监听设备收集个人信息的活动等。

1974年的《隐私法案》是美国最重要的一部保护个人信息权方面的法律。该法案适用于美国公民和在美国取得永久居留权的外国人，对政府机构应当如何收集个人信息、什么内容的个人信息能够储存、收集到的个人信息如何向公众开放及信息主体的权利等都做出了比较详细的规定，以此规范联邦政府处理个人信息的行为，平衡隐私权保护与个人信息利用之间的紧张关系。其主要内容如下：

1、信息主体的主要权利。第一，决定是否同意公开自己资料的权利，禁止行政机关在取得本人同意前，公开关于其个人信息；第二，访问自身个人信息的权利，本人有权知道行政机关是否存在关于他的记录以及记录的内容，并有权要求得到复本；第三，修改个人信息的权利，个人认为关于自身的信息不正确、不完全或不新颖，可以请求制作记录的行政机关进行修改。

2、政府机关的主要义务。第一，政府机关收集个人信息，如果可能导致对个人作出不利决定时，必须尽可能地由其本人提供；第二，政府机关在收集个人信息、建立个人信息数据库时，必须发布公告；第三，政府机关只能在执行职务相关和必要的范围内保有个人信息，除法律另有规定外，禁止保有关于个人宗教信仰、政治信仰等与政府机关执行职务无关的个人信息；第四，政府机关必须保持个人信息的准确性、及时性和完整性，并保障信息的安全。

3、关于民事救济措施。任何机关因为没有应要求更改、复查特定主体的信息记录，持有的个人信息不符合“准确、相关、及时、完整”的原则，因而导致在作出关于资质、权利、机会、利益等决定的时候，因为存在偏见而导致作出对该个人不利的决定，当事人可以到当地法院提起诉讼，请求民事赔偿。

在私领域，即平等主体收集、使用个人信息的领域，美国采取行业自律的模式来保护个人信息，即由行业制定行为规章或准则来规范个人信息处理行为。美国联邦技术委员会在1999年7月13日给国会的报告中就认为：“我们相信有效的业界自律机制，是网络上保护消费者隐私权最好的解决方案。”为此，美国政府与商界和消费者团体一直保持着经常性的对话，鼓励采取更多的自律机制对个人信息进行保护。

美国采取的行业自律，并不是完全放任自流，而是在政府的引导下制定行业规范，通过自下而上的模式保护个人信息。美国政府认为，自律机制(包括企业的行为准则，民间“认证制度”以及替代争议解决机制)再加上政府的执法保障，可以有效地实现信息保护的目的。美国的这种规制方式使美国国内网络服务商获得了较为宽松的经营环境。在信息科技飞速发展的今天，美国的这种自律模式既可避免了国家过早立法限制信息科技在社会的应用，也可以避免政府选择某种技术作标准导致立法的偏差；增强个人信息保护的针对性。然而，这种宽松的模式也存在弊端，如分散立法、欠缺整体规划，导致司法上的不协调，投诉和争端解决机制不完善、缺乏强制力等。

在美国，对大学生权利的保护，首先采取的是直接保护的方式，即美国对大学生个人信息权的法律保护与普通公民的个人信息保护一样渊源于宪法、司法判例和其他成文法。如1787年美国联邦宪法修正案，即《权利法案》第四条规定：“个人有保护其人身、住所、文件和财务不受侵犯之权”。1931年加利弗尼亚洲最高法院在“密尔顿夫人诉瑞德案”的判决中，首次提出隐私权是受宪法保护的基本人权。成文法如国会1974年制定的《家庭教育权利与隐私法案》(TheFamilyEducationalRightandPrivacyAct)，即FERPA规定了学生享有的隐私权。这一法案规定高校学生对个人信息有控制权，对于一些个人信息，未经允许不得访问。同时规定教师和管理人员通过E-MAIL传输学生个人信息时必须有准入控制并对信息加密，对于经学生同意通过电子传输的个人信息教师和管理人员应告知学生电子传输包含的风险。

2.救济方式

在美国，大学生作为公民，州立大学和学院作为政府的机构，两者的关系应适用于宪法。大学必须按照宪法的要求，保证大学生作为公民的权利，剥夺学生任何权利必须经过一定的程序，一旦学生的权利受到侵犯或剥夺，或者未对其适用正当程序，学生则可诉诸法律。美国对大学生隐私权纠纷的处理按照其处理机构大体可分为民间处理和官方处理两种方式。民间处理是指一些非官方机构如校董事会、学区教育委员会等对大学生隐私权纠纷的解决和裁定。官方处理就是指法院系统对大学生隐私权纠纷的裁决。诉至法院的此类纠纷基本属民事纠纷，因此一般按民事诉讼程序进行。

在美国高校中也建立了侵害大学生隐私权的防范机制。在美国大学中，学生有权直接参与学校的管理，这无疑成为防范高校侵犯学生权利的有效机制。美国高校学生直接或间接参与学校管理的渠道及方式主要有以下几种：

(1)学生参加学校的各种委员会并发挥一定作用，其中最主要的有大学委员会。在美国大学中，通常有许多专门委员会，其成员一般由教师、学生及其他人员组成。这些委员会能够对学校的各种决策进行讨论、审议、建议，有的拥有一定决策权。许多大学的学生在大学委员会中拥有一席之地，并发挥一定的积极作用。

(2)发挥学生参议院和学生参议员的参与作用。学生参议院(Studentsenate)是美国高校学生参与管理的重要组织形式，它对学生事务拥有一定的管理权力，为学生提供了自我管理的平台和机会。学生参议员分两类：一类是经全体学生选举产生的，另一类则是从各种学生群体和团体中选出；包括各学院、学生宿舍、兄弟会、姐妹会、黑人学生、少数民族学生、留学生、走读生，以及其他一般的学生。学生参议院的主要活动是：召开参议院及有关委、员会的工作会、讨论会、情况报告会；审查各学生组织的经费申请；调查、听取和收集学生的各种反映，并与学校磋商解决办法；每学期一次的例行访谈校长，讨论和询问有关学生关心的问题；在学生报、电台公布有关参议院工作情况、有关动议以及情况报告会日程；审批新的学生社团的成立；参议院选举工作；每2年审查一次参议院自身结构及规章制度，以适应新的要求。

(3)学生参与管理其他与学生有关的事务，如图书馆、学生宿舍、餐厅、学生活动中心等，实行学生自我管理、自我服务，以及学生考试和日常行为规范的自我监督等。

此外，法律对作为“高校基本法”的学校内部规则，也设定专门的标准来增进高校内部规则的合法性和合理性，以保障大学生的合法权益。这些国家高校内部规则合法性的认定，多从内容和程序两个方面进行。内容合法，即高校内部规则的内容符合法律原则、法律规范。高校的内部规则首先应该遵循宪法和相关的成文法和判例的精神，在事关学生基本权利的原则性问题上(如隐私权)，高校内部规则的实施标准不应苛刻于宪法、高等教育法以及其它相关法律法规。尽管立法部门和行政部门出于高校自主管理的考虑而将这项权利更大程度地留给高校自主行使，但在事关学生基本权利的问题上，高校显然应该在现行法律的标准、范围内予以制定细则。高校内部规则往往是法律原则或法律规则的进一步落实，是学校的“基本法”。从制定上来讲，高校内部规则应该征求学生的意见，因为高校内部规则是事关学生切身利益甚至基本权利的“高校基本法”，学生应参与事关其基本权利的高校内部规则的制定。至于合理性，则是指高校内部规则的制定、实施、规则内容、处分标准等均应体现公正合理的法理精神。

（二）欧盟对高校学生个人信息的保护及救济

1.保护模式

与美国相比，欧盟以人权文献和各国宪法为基础，采综合立法模式来保护个人信息资料的安全，其内容涵盖了所有部门和所有类型的数据处理，是当今世界上第一个给隐私和数据保护提供全面保护的法律制度。此外，欧盟要求各个成员国的私营组织和公共机构都遵守统一的原则，努力将其制定的规则提升为国际标准。

1995年的《欧盟数据保护指令》(又称为《普通指令》)是欧盟最主要的数据保护法。该指令价值倾向明显，覆盖范围广泛，规制制度深，执行机制健全。在该指令的要求下，几乎所有欧盟国家均已完成了新一轮的个人信息保护立法或者修法工作。1999年初欧盟委员会通过《INTERNET上个人隐私权保护的一般原则》，寻求个人权利的保护、网上信息交换的保密性与数据自由流动之间的平衡。此外，欧盟还制定了一系列关于网络隐私保护的指令性文件：1997年《关于个人资料向第三国传递的第一个指令——评估充分性的可能方式》，1999年《关于在信息高速公路上收集和传送个人资料的保护指令》等。

欧盟通过上述一系列规章指令，构建起了一套相应的立法保护框架。各国在规章指令的指导下，建立自己的个人信息保护体系。如德国1976年制定了《防止个人资料处理滥用法》，采取典型的统一立法模式，对个人资料保护进行统一规范、统一保护。1978年法国的《数据处理、档案与自由法》。英国也制定了《消费信用法案》（1974）及《个人信息法》（1987）对个人信息予以保护。此外，英国1998年的《数据保护法》详细规定了在保护个人数据方面的8项基本原则，其内容与欧盟指令是一致的。

尽管，美国与欧盟国家在立法理论及价值取向存在差异，但为美欧人才自由流动、促进国际贸易和电子商务等领域的长远发展，双方趋于融合。1998年美国与欧盟签订了“安全港”协定(safeharbor)。该协定要求美国的行业、组织若想获得来自欧盟的个人信息必须加入“安全港”协定承诺遵守该协定。该协定为非强制的，是否加入该协定以自愿但要取得来自欧盟的个人信息则必须加入。该协定成员必须遵守安全港的七条准则并符合“经常性问题”(Frequentlyaskedquestion)要求，这七条准则是：(1)通知(及时通知被收集资料的所有者)；(2)选择(由资料所有者选择是否将个人信息向第三人公开和用于非原收集目的)；(3)继续传输(由所有者规定是否向第三人传输)；(4)知悉(资料所有人享有知悉其个人信息的真实使用情况)；(5)安全(保证资料信息安全使用)；(6)数据完整(保护信息、资料真实完整)；(7)强制措施(对违反规定的使用者采取的处理办法。“经常性问题”主要是围绕上述原则提出。欧盟规定符合上述规定的要求，即被视为达到欧盟规定的“充分”保护标准。各组织必须将贯彻、实施该协定的情况每年以自查形式向商务部汇报，商务部将成员名单和自查情况保存并对公众开放。