論文：網絡安全和數據合規(guī)視角下的在線教育企業(yè)法律風險防范網經社電子商務研究中心電商門戶互聯網+智庫

當前位置：100EC>數字教育>論文：網絡安全和數據合規(guī)視角下的在線教育企業(yè)法律風險防范

論文：網絡安全和數據合規(guī)視角下的在線教育企業(yè)法律風險防范

作者：來源：上海律協教育業(yè)務研究委員會發(fā)布時間：2020年12月01日 09:00:59

(網經社訊)今年來受新冠肺炎疫情影響，在線教育帶來了井噴式的增長，截至2020年3月，我國在線教育用戶規(guī)模達4.23億，較2018年底增長110.2%，占網民整體的46.8%。2020年初，全國大中小學校推遲開學，2.65億在校生普遍轉向線上課程，用戶需求得到充分釋放。同時，在線教育各類新模式、新技術、新業(yè)態(tài)紛紛涌現，刷新用戶教育消費體驗。線上教學有多種方式，比如個人直播、錄制授課、慕課(MOOC)授課、專用教室直播等，一些機構將人工智能技術用到在線教育中，還原線下學習體驗、提供個性化評測反饋。并且在線教育企業(yè)也在疫情期間開設大量課程，好未來（學而思）、網易有道、作業(yè)幫、猿輔導等在線教育公司爭相推出免費直播課，阿里釘釘、騰訊課堂、ClassIn、Zoom等在線教育平臺和技術服務商幫助學校開設線上課程，快手、抖音、嗶哩嗶哩、虎牙直播等網絡平臺也紛紛著力打造教育板塊。數以億計傳統學校場景中的教師和學生得以深度體驗線上教學。

“十四五”規(guī)劃已于近期公布，首次提出要發(fā)揮在線教育優(yōu)勢，完善終身學習體系，建設學習型社會，引發(fā)了各界關注。我國的在線教育迎來發(fā)展的寶貴機遇的同時，在線教育領域也出現了很多新問題。特別是在數據合規(guī)和個人信息保護方面，在線教育遭遇了前所未有的挑戰(zhàn)。數據合規(guī)方面，許多教育科技公司在幫助學校推進線上化的同時，需要收集學生的個人信息和學習行為數據，繼而通過大數據分析改進產品，而學校則對讓第三方接觸學生個人信息和學校的教育內容資源有很大的顧慮。并且，在線教育行業(yè)所掌握的信息中，未成年人的個人信息占有很大比重。由于未成年人的特殊性，國內外對于未成年人的個人信息都給予了特殊的保護。但實踐中多家線上教育的App、網站，缺乏未成年人隱私保護條款和設計。除此之外，在線教育企業(yè)未在用戶協議中對客戶提供信息的場景、目的、用途以及信息類型進行列明；對學生提供個人信息的風險缺乏明確詳細的提示；缺乏可操作性的防止數據泄漏保護措施。這些無疑都存在巨大的信息安全隱患。

因此在國家不斷加強對個人信息保護的背景下，我們對在線教育的相關法律風險進行分析，并提出相關法律風險防范建議。

一

在線教育企業(yè)網絡安全和個人信息保護的法律風險

從2019年開始，公安部針對個人信息保護開始進行專項治理，對于侵犯個人信息的企業(yè)和行為，會向社會公示和進行相應的處罰，甚至一些互聯網企業(yè)的產品被迫從應用市場下架，這對企業(yè)的發(fā)展會造成嚴重影響。通常而言，在線教育企業(yè)在網絡安全和個人信息保護方面會面臨以下法律風險：

（一）個人信息內涵的擴展

討論在線教育企業(yè)保護個人信息的前提應當明確個人信息的內涵和定義。目前中國法律對“個人信息”的定義有兩種立法模式，第一種將個人信息定義為“可識別的個人信息”。民法典和《網絡安全法》采用此種立法模式。根據民法典第一千零三十四條和《網絡安全法》第七十六條的規(guī)定，只有“可識別的個人信息”才被認定為個人信息。而第二種立法模式采用“識別+關聯”的立法模式，將“可識別的個人信息”和“可關聯到個人的信息”均歸入個人信息的范疇。根據《個人信息保護法（草案）》第四條、《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》第一條和《個人信息安全規(guī)范》第3.1條的規(guī)定，不僅將可識別出個人的信息認定為個人信息，并且與其他信息結合反映自然人活動情況的信息也被認定在個人信息的范疇。相對比第一種立法模式，這種立法模式下“個人信息”的內涵的更加廣泛，更有利于對個人信息的保護。隨著國家對個人信息保護的不斷加強和對數據合規(guī)要求的不斷提高，結合即將要出臺的《個人信息保護法》所采取的立法態(tài)度，第二種立法模式可能是未來的趨勢，從而對個人信息進行更加全面的保護。而對于在線教育領域，個人信息的內涵就更加具體。在線教育所涉及的個人信息可分為以下四類：注冊信息、在線教學信息、系統安全及客服信息以及其他功能所涉信息。注冊信息是指涵蓋學生用戶、教師用戶、學校/企業(yè)用戶的數據。在線教學信息包括在線課堂信息、作業(yè)信息和考評成績信息。系統安全信息及客服信息包括客戶所使用設備的各種信息如操作系統、設備類型等。同時還包括客戶通信通話信息等。最后其他功能所涉信息可能包括在線答題信息、云盤信息等。以上分類則是個人信息具體在在線教育領域內的表現形式。

（二）在線教育企業(yè)不明確的隱私政策

2020年1月以來，“App個人信息舉報平臺”關于疫情期間在線教育類收集個人信息被舉報的數量占比超過了80%，30%左右的App 沒有公開隱私政策等收集使用個人信息的規(guī)則，另有15%左右的App雖提供了隱私政策，但是屬于格式文本，沒有詳細說明收集個人信息的目的、方式、范圍。經過調查，有些在線教育企業(yè)雖然制定了隱私政策，但隱私政策中并未提及個人信息保護的內容，或者隱私政策雖然提到了個人信息保護，但隱私政策中提及的個人信息和企業(yè)實際收集的個人信息不一致。而隱私政策不明確會導致在線教育企業(yè)面臨合規(guī)問題，對監(jiān)管部門來說，這也是其重點關注和可能進行處罰的情形。

（三）忽略對未成年人個人信息的特別保護

在線教育企業(yè)所掌握的信息中，未成年的個人信息占有很大比重。由于未成年人的特殊性，國內外對于未成年人的個人信息都給予了特殊的保護。在我國，未成年人（尤其是兒童）個人信息的系統保護制度正在逐步建立過程中。實踐中有的在線教育企業(yè)一味追求所收集信息的數量而忽略信息的類別，因此收集到的信息不僅包括成人客戶信息，同時還涵蓋兒童和未成年人的個人信息，而實際上兒童和未成年人信息可能對于該企業(yè)的價值有限，但企業(yè)收集到的相關信息可能會使得企業(yè)面臨更加嚴格的監(jiān)管和更大的合規(guī)風險。

（四）注意數據處理過程中不同類別的數據處理關系

在線教育企業(yè)處理個人信息和數據的過程中，不同的主體擔任不同的角色，同時也形成不同的數據處理關系。而不同的數據處理關系中，在線教育企業(yè)對于企業(yè)數據要采取不同的處理方式。一般而言教育機構和平臺運營企業(yè)是數據處理環(huán)節(jié)中的中心角色，對數據有控制權，但二者的關系有多種。對于使用自有技術平臺提供在線教育服務的教育機構而言，其本身就是數據處理過程中唯一的控制者，其可以依照法律規(guī)定自行處理客戶信息。而有的教育機構無法自行建立技術平臺，只能通過與其他技術平臺合作才能提供在線教育服務。在這種模式下，就存在不同的數據處理關系。對于注冊信息，平臺一般傾向于單獨收集，積累屬于自己的用戶。但對于在線教育過程中產生的信息，如學生的學習記錄，設備的狀態(tài)信息等，則可能是教育機構單獨控制，委托平臺處理，或者教育機構收集后共享給平臺，或者教育機構與平臺共同控制。不同模式下，各方的權利、義務和責任是不同的。因此在線教育企業(yè)是扮演數據控制者獨立擁有個人信息數據，還是與其他企業(yè)共享客戶信息，或只是委托其他企業(yè)特定時期內使用數據，不同模式對于在線教育企業(yè)的數據合規(guī)要求也是不同的。

（五）網絡安全

總體上而言，網絡安全依然是國家監(jiān)控的重點。據統計數據，僅2020年上半年，網宿云安全平臺共檢測并攔截Web應用共計42.24億次，為2019年同期的9倍，攻擊數量呈爆發(fā)式增長。而在線教育企業(yè)數據安全和個人信息保護則是網絡數據安全框架下重要的組成部分。因此無論是從國家層面保護公民個人信息安全，還是從企業(yè)角度，網絡安全都是在線教育企業(yè)發(fā)展所需要關注的重點問題。

二

在線教育企業(yè)網絡安全風險管控和個人信息保護的建議

根據上述討論，針對在線教育企業(yè)數據風險管控和個人信息保護，我們提出如下建議。

（一）加強對在線教育企業(yè)網絡安全風險管控

對于在線教育企業(yè)數據風險的管控，主要可以從服務器端、客戶端、數據傳輸以及備份及恢復四個方面進行。其中，需要重點強調的是服務器端，除了建議利用具備安全管控的云服務器提高硬件設備水平，還應當對數據進行加密處理。同時還應當重視對數據的備份和恢復方案，防止因服務器或者數據損壞后造成的嚴重后果。

（二）落實在線教育企業(yè)的內部治理

針對落實在線教育企業(yè)內部治理，實踐中不同在線教育企業(yè)內部治理框架差異巨大。有的在線教育企業(yè)屬于初創(chuàng)企業(yè)，沒有設立個人信息保護的職能部門。有的在線教育企業(yè)只設立了網絡安全部門，但沒有設立針對個人信息保護的職能機構。為了落實在線教育企業(yè)對于個人信息的保護，建議IT/網絡安全部門與法務/合規(guī)部門共同承擔個人信息保護職責。具體而言，可以由合規(guī)部門總監(jiān)或IT部門總監(jiān)擔任個人信息保護部門的負責人，同時外加外部律師進行協作。在線教育企業(yè)成立了專門針對個人信息保護的合規(guī)部門之后，該部門主要負責以下工作：1.跟蹤個人信息保護的最新立法和司法情況；2.向公司管理層提供針對個人信息保護的合規(guī)建議；3.對公司產品進行合規(guī)評審；4.制定企業(yè)數據安全的應急預案。

（三）遵守個人信息處理各個環(huán)節(jié)的法律要求

除了落實內部治理，在線教育企業(yè)也要遵守個人信息處理各個環(huán)節(jié)的法律要求。首先，在個人信息的收集階段，在線教育企業(yè)應當遵守合法性原則，最少必要原則。如果企業(yè)涉及多項業(yè)務功能，則要進行拆分。并且要落實用戶授權，保證隱私政策的有效性。其次在個人信息的存儲階段，要注意信息的存儲期限，對于注冊信息可以長期保留，但對于課程學習過程中產生的信息要確定存儲期限。特別注意的是，教育行業(yè)對于個人信息的存儲有著特殊的要求。一方面法律規(guī)定在線教育企業(yè)不能無限期保留個人信息，但另一方面法律也規(guī)定特定的個人數據在特定時間內要保存，如涉及培訓內容和培訓數據的信息，法律規(guī)定要留存一年以上，以便于主管部門進行核查。直播教學影像要保留6個月，用戶的行為日志要保留一年以上等。對于個人數據的使用，注意使用者要在數據原始范圍進行使用。如果數據需要提供給其他主體對外使用，則要注意授權問題，以及數據提供者要對下游數據接收方進行監(jiān)管。并且原則上個人信息不能公開披露，如果在特定情形下需要公開披露，則要限定在最小范圍，并且進行去標識化的技術處理?？紤]到教育行業(yè)數據的敏感性，原則上相關數據應在境內存儲和處理，不宜傳輸出境。如果國內教育企業(yè)在海外拓展業(yè)務時留存了國外個人數據，則教育企業(yè)要遵守當地國家或組織有關個人數據保護的法律要求。

（四）保證未成年人個人信息的告知同意

針對14周歲以下用戶，法律規(guī)定在線教育企業(yè)在獲取個人信息時要征求監(jiān)護人同意，并且要提示監(jiān)護人閱讀相關隱私政策。在線教育企業(yè)在收集未成年人信息的過程中，要避免收集未成年人精確的身份證信息，可以利用模糊選項確定對方年齡階段。根據《個人信息保護安全規(guī)范》第5.5條，“收集年滿14的未成年人的個人信息前，應征得未成年人或其監(jiān)護人的明示同意，不滿14周歲的，應征得其監(jiān)護人的明示同意”。2019年6月，國家網信辦發(fā)布了《兒童個人信息網絡保護規(guī)定（征求意見稿）》，其中提到了設置專門的兒童個人信息保護規(guī)則和用戶協議；設立個人信息保護專員或者指定專人負責兒童個人信息保護；超出目的和范圍使用時，應當再次征得兒童監(jiān)護人的明示同意的制度；緊急預案制度等。《個人信息保護法（草案）》第十五條規(guī)定“個人信息處理者知道或者應當知道其處理的個人信息為不滿十四周歲未成年人個人信息的, 應當取得其監(jiān)護人的同意?！北M管目前我國對于未成年人個人信息保護的法規(guī)仍待完善，但是可以預見，對于掌握大量未成年人個人信息的在線教育企業(yè)而言，加強對未成年人個人信息的保護是企業(yè)需要重點關注的問題。

（五）明確在線教育企業(yè)數據處理關系中的定位

明確不同主體在在數據處理關系中扮演的不同角色，有助于企業(yè)實現不同的合規(guī)要求。數據控制者是數據保護的主要義務承載主體，在處理個人信息的過程中需要嚴格遵守各項數據保護規(guī)則。如果定位為受托處理者，則要采取適當技術手段保證數據安全，并履行以下三點主要義務：第一，不能超出約定范圍處理數據；第二，合同終止后要刪除相關信息數據；第三，不得擅自轉委托。

浙江網經社信息科技公司擁有18年歷史，作為中國領先的數字經濟新媒體、服務商，提供“媒體+智庫”、“會員+孵化”服務；（1）面向電商平臺、頭部服務商等PR條線提供媒體傳播服務；（2）面向各類企事業(yè)單位、政府部門、培訓機構、電商平臺等提供智庫服務；（3）面向各類電商渠道方、品牌方、商家、供應鏈公司等提供“千電萬商”生態(tài)圈服務；（4）面向各類初創(chuàng)公司提供創(chuàng)業(yè)孵化器服務。

網經社“電數寶”電商大數據庫（DATA.100EC.CN，免費注冊體驗全庫）基于電商行業(yè)18年沉淀，包含100+上市公司、新三板公司數據，150+獨角獸、200+千里馬公司數據，4000+起投融資數據以及10萬+互聯網APP數據，全面覆蓋“頭部+腰部+長尾”電商，旨在通過數據可視化形式幫助了解電商行業(yè)，挖掘行業(yè)市場潛力，助力企業(yè)決策，做電商人研究、決策的“好參謀”。