今年来受新冠肺炎疫情影响,在线教育带来了井喷式的增长,截至2020年3月,我国在线教育用户规模达4.23亿,较2018年底增长110.2%,占网民整体的46.8%。2020年初,全国大中小学校推迟开学,2.65亿在校生普遍转向线上课程,用户需求得到充分释放。同时,在线教育各类新模式、新技术、新业态纷纷涌现,刷新用户教育消费体验。线上教学有多种方式,比如个人直播、录制授课、慕课(MOOC)授课、专用教室直播等,一些机构将人工智能技术用到在线教育中,还原线下学习体验、提供个性化评测反馈。并且在线教育企业也在疫情期间开设大量课程,好未来(学而思)、网易有道、作业帮、猿辅导等在线教育公司争相推出免费直播课,阿里钉钉、腾讯课堂、ClassIn、Zoom等在线教育平台和技术服务商帮助学校开设线上课程,快手、抖音、哔哩哔哩、虎牙直播等网络平台也纷纷着力打造教育板块。数以亿计传统学校场景中的教师和学生得以深度体验线上教学。 “十四五”规划已于近期公布,首次提出要发挥在线教育优势,完善终身学习体系,建设学习型社会,引发了各界关注。我国的在线教育迎来发展的宝贵机遇的同时,在线教育领域也出现了很多新问题。特别是在数据合规和个人信息保护方面,在线教育遭遇了前所未有的挑战。数据合规方面,许多教育科技公司在帮助学校推进线上化的同时,需要收集学生的个人信息和学习行为数据,继而通过大数据分析改进产品,而学校则对让第三方接触学生个人信息和学校的教育内容资源有很大的顾虑。并且,在线教育行业所掌握的信息中,未成年人的个人信息占有很大比重。由于未成年人的特殊性,国内外对于未成年人的个人信息都给予了特殊的保护。但实践中多家线上教育的App、网站,缺乏未成年人隐私保护条款和设计。除此之外,在线教育企业未在用户协议中对客户提供信息的场景、目的、用途以及信息类型进行列明;对学生提供个人信息的风险缺乏明确详细的提示;缺乏可操作性的防止数据泄漏保护措施。这些无疑都存在巨大的信息安全隐患。 因此在国家不断加强对个人信息保护的背景下,我们对在线教育的相关法律风险进行分析,并提出相关法律风险防范建议。 一、在线教育企业网络安全和个人信息保护的法律风险 从2019年开始,公安部针对个人信息保护开始进行专项治理,对于侵犯个人信息的企业和行为,会向社会公示和进行相应的处罚,甚至一些互联网企业的产品被迫从应用市场下架,这对企业的发展会造成严重影响。 通常而言,在线教育企业在网络安全和个人信息保护方面会面临以下法律风险: (一)个人信息内涵的扩展 讨论在线教育企业保护个人信息的前提应当明确个人信息的内涵和定义。目前中国法律对“个人信息”的定义有两种立法模式,第一种将个人信息定义为“可识别的个人信息”。民法典和《网络安全法》采用此种立法模式。根据民法典第一千零三十四条和《网络安全法》第七十六条的规定,只有“可识别的个人信息”才被认定为个人信息。而第二种立法模式采用“识别+关联”的立法模式,将“可识别的个人信息”和“可关联到个人的信息”均归入个人信息的范畴。根据《个人信息保护法(草案)》第四条、《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第一条和《个人信息安全规范》第3.1条的规定,不仅将可识别出个人的信息认定为个人信息,并且与其他信息结合反映自然人活动情况的信息也被认定在个人信息的范畴。相对比第一种立法模式,这种立法模式下“个人信息”的内涵的更加广泛,更有利于对个人信息的保护。 随着国家对个人信息保护的不断加强和对数据合规要求的不断提高,结合即将要出台的《个人信息保护法》所采取的立法态度,第二种立法模式可能是未来的趋势,从而对个人信息进行更加全面的保护。 而对于在线教育领域,个人信息的内涵就更加具体。在线教育所涉及的个人信息可分为以下四类:注册信息、在线教学信息、系统安全及客服信息以及其他功能所涉信息。注册信息是指涵盖学生用户、教师用户、学校/企业用户的数据。在线教学信息包括在线课堂信息、作业信息和考评成绩信息。系统安全信息及客服信息包括客户所使用设备的各种信息如操作系统、设备类型等。同时还包括客户通信通话信息等。最后其他功能所涉信息可能包括在线答题信息、云盘信息等。以上分类则是个人信息具体在在线教育领域内的表现形式。 (二)在线教育企业不明确的隐私政策 2020年1月以来,“App个人信息举报平台”关于疫情期间在线教育类收集个人信息被举报的数量占比超过了80%,30%左右的App 没有公开隐私政策等收集使用个人信息的规则,另有15%左右的App虽提供了隐私政策,但是属于格式文本,没有详细说明收集个人信息的目的、方式、范围。经过调查,有些在线教育企业虽然制定了隐私政策,但隐私政策中并未提及个人信息保护的内容,或者隐私政策虽然提到了个人信息保护,但隐私政策中提及的个人信息和企业实际收集的个人信息不一致。而隐私政策不明确会导致在线教育企业面临合规问题,对监管部门来说,这也是其重点关注和可能进行处罚的情形。 (三)忽略对未成年人个人信息的特别保护 在线教育企业所掌握的信息中,未成年的个人信息占有很大比重。由于未成年人的特殊性,国内外对于未成年人的个人信息都给予了特殊的保护。在我国,未成年人(尤其是儿童)个人信息的系统保护制度正在逐步建立过程中。 实践中有的在线教育企业一味追求所收集信息的数量而忽略信息的类别,因此收集到的信息不仅包括成人客户信息,同时还涵盖儿童和未成年人的个人信息,而实际上儿童和未成年人信息可能对于该企业的价值有限,但企业收集到的相关信息可能会使得企业面临更加严格的监管和更大的合规风险。 (四)注意数据处理过程中不同类别的数据处理关系 在线教育企业处理个人信息和数据的过程中,不同的主体担任不同的角色,同时也形成不同的数据处理关系。而不同的数据处理关系中,在线教育企业对于企业数据要采取不同的处理方式。 一般而言教育机构和平台运营企业是数据处理环节中的中心角色,对数据有控制权,但二者的关系有多种。 对于使用自有技术平台提供在线教育服务的教育机构而言,其本身就是数据处理过程中唯一的控制者,其可以依照法律规定自行处理客户信息。而有的教育机构无法自行建立技术平台,只能通过与其他技术平台合作才能提供在线教育服务。在这种模式下,就存在不同的数据处理关系。对于注册信息,平台一般倾向于单独收集,积累属于自己的用户。但对于在线教育过程中产生的信息,如学生的学习记录,设备的状态信息等,则可能是教育机构单独控制,委托平台处理,或者教育机构收集后共享给平台,或者教育机构与平台共同控制。不同模式下,各方的权利、义务和责任是不同的。 因此在线教育企业是扮演数据控制者独立拥有个人信息数据,还是与其他企业共享客户信息,或只是委托其他企业特定时期内使用数据,不同模式对于在线教育企业的数据合规要求也是不同的。 (五)网络安全 总体上而言,网络安全依然是国家监控的重点。据统计数据,仅2020年上半年,网宿云安全平台共检测并拦截Web应用共计42.24亿次,为2019年同期的9倍,攻击数量呈爆发式增长。而在线教育企业数据安全和个人信息保护则是网络数据安全框架下重要的组成部分。因此无论是从国家层面保护公民个人信息安全,还是从企业角度,网络安全都是在线教育企业发展所需要关注的重点问题。 二、在线教育企业网络安全风险管控和个人信息保护的建议 根据上述讨论,针对在线教育企业数据风险管控和个人信息保护,我们提出如下建议。 (一)加强对在线教育企业网络安全风险管控 对于在线教育企业数据风险的管控,主要可以从服务器端、客户端、数据传输以及备份及恢复四个方面进行。其中,需要重点强调的是服务器端,除了建议利用具备安全管控的云服务器提高硬件设备水平,还应当对数据进行加密处理。同时还应当重视对数据的备份和恢复方案,防止因服务器或者数据损坏后造成的严重后果。 (二)落实在线教育企业的内部治理 针对落实在线教育企业内部治理,实践中不同在线教育企业内部治理框架差异巨大。有的在线教育企业属于初创企业,没有设立个人信息保护的职能部门。有的在线教育企业只设立了网络安全部门,但没有设立针对个人信息保护的职能机构。 为了落实在线教育企业对于个人信息的保护,建议IT/网络安全部门与法务/合规部门共同承担个人信息保护职责。具体而言,可以由合规部门总监或IT部门总监担任个人信息保护部门的负责人,同时外加外部律师进行协作。 在线教育企业成立了专门针对个人信息保护的合规部门之后,该部门主要负责以下工作: 1.跟踪个人信息保护的最新立法和司法情况; 2.向公司管理层提供针对个人信息保护的合规建议; 3.对公司产品进行合规评审; 4.制定企业数据安全的应急预案。 (三)遵守个人信息处理各个环节的法律要求 除了落实内部治理,在线教育企业也要遵守个人信息处理各个环节的法律要求。 首先,在个人信息的收集阶段,在线教育企业应当遵守合法性原则,最少必要原则。如果企业涉及多项业务功能,则要进行拆分。并且要落实用户授权,保证隐私政策的有效性。 其次在个人信息的存储阶段,要注意信息的存储期限,对于注册信息可以长期保留,但对于课程学习过程中产生的信息要确定存储期限。特别注意的是,教育行业对于个人信息的存储有着特殊的要求。一方面法律规定在线教育企业不能无限期保留个人信息,但另一方面法律也规定特定的个人数据在特定时间内要保存,如涉及培训内容和培训数据的信息,法律规定要留存一年以上,以便于主管部门进行核查。直播教学影像要保留6个月,用户的行为日志要保留一年以上等。 对于个人数据的使用,注意使用者要在数据原始范围进行使用。如果数据需要提供给其他主体对外使用,则要注意授权问题,以及数据提供者要对下游数据接收方进行监管。并且原则上个人信息不能公开披露,如果在特定情形下需要公开披露,则要限定在最小范围,并且进行去标识化的技术处理。考虑到教育行业数据的敏感性,原则上相关数据应在境内存储和处理,不宜传输出境。如果国内教育企业在海外拓展业务时留存了国外个人数据,则教育企业要遵守当地国家或组织有关个人数据保护的法律要求。 (四)保证未成年人个人信息的告知同意 针对14周岁以下用户,法律规定在线教育企业在获取个人信息时要征求监护人同意,并且要提示监护人阅读相关隐私政策。在线教育企业在收集未成年人信息的过程中,要避免收集未成年人精确的身份证信息,可以利用模糊选项确定对方年龄阶段。 根据《个人信息保护安全规范》第5.5条,“收集年满14的未成年人的个人信息前,应征得未成年人或其监护人的明示同意,不满14周岁的,应征得其监护人的明示同意”。 2019年6月,国家网信办发布了《儿童个人信息网络保护规定(征求意见稿)》,其中提到了设置专门的儿童个人信息保护规则和用户协议;设立个人信息保护专员或者指定专人负责儿童个人信息保护;超出目的和范围使用时,应当再次征得儿童监护人的明示同意的制度;紧急预案制度等。 《个人信息保护法(草案)》第十五条规定“个人信息处理者知道或者应当知道其处理的个人信息为不满十四周岁未成年人个人信息的, 应当取得其监护人的同意。” 尽管目前我国对于未成年人个人信息保护的法规仍待完善,但是可以预见,对于掌握大量未成年人个人信息的在线教育企业而言,加强对未成年人个人信息的保护是企业需要重点关注的问题。 (五)明确在线教育企业数据处理关系中的定位 明确不同主体在在数据处理关系中扮演的不同角色,有助于企业实现不同的合规要求。数据控制者是数据保护的主要义务承载主体,在处理个人信息的过程中需要严格遵守各项数据保护规则。如果定位为受托处理者,则要采取适当技术手段保证数据安全,并履行以下三点主要义务: 第一,不能超出约定范围处理数据; 第二,合同终止后要删除相关信息数据; 第三,不得擅自转委托。 作者:上海律协 上海市律师协会官方公众号,发布行业最新动态,提供会员服务。 (来源:上海律协微信公众号) |