劉曼　李杰

摘 要：高校貧困大學(xué)生資助工作對于幫助普通本科高校、高等職業(yè)學(xué)校和高等?？茖W(xué)校的家庭經(jīng)濟困難學(xué)生順利完成學(xué)業(yè)，進而提高國民整體受教育水平具有非常重要且積極的意義。但在政策執(zhí)行過程中會出現(xiàn)個人敏感信息泄露的問題。本文試圖從美國高校保護受資助學(xué)生個人信息的政策和建議入手，為我國做好高校學(xué)生資助工作提供一些啟示。

關(guān)鍵詞：高校;資助;建議

一、前言

為體現(xiàn)黨和政府對普通本科高校、高等職業(yè)學(xué)校和高等?？茖W(xué)校家庭經(jīng)濟困難學(xué)生的關(guān)懷，中央與地方政府共同出資設(shè)立了國家助學(xué)金，用于為家庭經(jīng)濟困難的全日制普通本、?？疲ê呗?、第二學(xué)士學(xué)位）在校學(xué)生提供經(jīng)濟資助?？梢哉f，自實施之日起，國家助學(xué)金就幫助很多家庭貧困學(xué)生減輕了沉重的經(jīng)濟負擔(dān)，讓學(xué)生可以安心地學(xué)習(xí)，在鼓勵更多學(xué)生完成高等教育、提高國民整體素質(zhì)方面發(fā)揮了非常積極且有效的作用。但在2017年時，有媒體報道稱個別高校在公示受助學(xué)生信息時，暴露了學(xué)生的身份證號碼、銀行卡號等敏感個人信息，遭到了社會各界的批評。此后，很多教育界專家都開始研究如何有效保護受資助學(xué)生個人敏感信息。在大學(xué)學(xué)費昂貴的美國，如果不申請各類助學(xué)金，很多學(xué)生無法完成學(xué)業(yè)?？梢哉f，申請助學(xué)金在美國高等教育中是非常普遍的事情。那么，美國高校又是如何保護學(xué)生個人隱私的呢？譯者試圖通過研究美國政府問責(zé)局（美國政府問責(zé)局，Government Accountability Office，GAO是美國國會的下屬機構(gòu)，負責(zé)調(diào)查、監(jiān)督聯(lián)邦政府的規(guī)劃和支出，其前身是美國總審計局。該機構(gòu)是一個獨立機構(gòu)，只對國會負責(zé)，以中立精神開展工作，主要職責(zé)是調(diào)查聯(lián)邦政府如何花費納稅人的錢）有關(guān)如何加強監(jiān)管以保護學(xué)生隱私的工作，為我國做好高校學(xué)生資助工作中的學(xué)生隱私保護問題提供一些借鑒。

二、研究緣起

自2010年秋季學(xué)期以來，為體現(xiàn)黨中央和政府對普通本科高校、高等職業(yè)學(xué)校和高等專科學(xué)校家庭經(jīng)濟困難學(xué)生的關(guān)懷，中央與地方政府共同設(shè)立了國家助學(xué)金，用于資助普通高校在校生中的家庭經(jīng)濟困難學(xué)生，資助面約占全國高校在校生總數(shù)的20%?？梢哉f，這個項目為很多來自貧困家庭的學(xué)生完成高校學(xué)業(yè)提供了很大的幫助，發(fā)揮了非常積極的作用，較為有力地確保了將“精準(zhǔn)扶貧”的政策落到實處。但是在施行過程中也出現(xiàn)了一些問題，比如2017年發(fā)現(xiàn)的個人敏感信息暴露問題。據(jù)報道，教育部表示：“全體學(xué)生資助工作者務(wù)必要擰緊‘保護學(xué)生個人信息和隱私這根弦，讓資助工作更合規(guī)、更有愛、更有溫度?！苯逃缬袑W(xué)者立足國情對此問題進行過深入研究，本文試圖從美國高校加強監(jiān)管以保護接受聯(lián)邦學(xué)生援助人員個人隱私信息入手，為我校做好高校學(xué)生資助工作提供更多借鑒。

三、美國高校保護受資助學(xué)生個人信息的主要做法

（一）“聯(lián)邦學(xué)生援助”

“聯(lián)邦學(xué)生援助”（Federal Student Aid，F(xiàn)SA），是美國高校學(xué)生申請財務(wù)幫助的一種途徑。美國政府每年都會提供大約1 500億美金為學(xué)生在6 000多所高校中支付相關(guān)的教育費用，學(xué)生可以通過申請獎學(xué)金、助學(xué)金、學(xué)生貸款等形式獲得相應(yīng)的幫助。美國公民、國民以及擁有合法永久居留權(quán)的居民都有資格申請聯(lián)邦學(xué)生援助。想要申請“聯(lián)邦學(xué)生援助”的學(xué)生都會被詢問家庭收入、資產(chǎn)和一些家庭成員信息，如家里有幾個小孩，同時有幾個孩子在上學(xué)等。同時，學(xué)生還要上報自己的社保號、駕照號或者身份證號碼、稅務(wù)信息、銀行報告和投資狀況。可以說，美國政府的這個援助項目需要了解的信息相當(dāng)詳細，操作起來也非常復(fù)雜，主要是為了規(guī)避有人虛報或冒領(lǐng)援助金。從這一點來看，美國的高校學(xué)生想要申請到國家的助學(xué)金，必須提供更多的個人敏感信息，不僅包括個人的身份證、稅務(wù)信息等，甚至涉及家庭其他成員的銀行報告和投資情況，其申請難度更大、牽扯面更廣、隱私程度更深。即便如此，美國的高校學(xué)生還是對申請“聯(lián)邦學(xué)生援助”趨之若鶩，其原因就是其高校學(xué)費極其高昂。

（二）美政府問責(zé)局提出加強“聯(lián)邦學(xué)生援助”項目監(jiān)管的緣由

申請“聯(lián)邦學(xué)生援助”看似免費，卻需要提供申請學(xué)生個人甚至家庭成員如此詳盡的個人隱私信息，在信息的收集和提交過程中必然會面臨泄露的風(fēng)險。美國政府和民眾也意識到其中的安全隱患，特別是美政府問責(zé)局在2017年發(fā)現(xiàn)了其中的一些問題。為加強對“聯(lián)邦學(xué)生援助”項目的監(jiān)管，政府問責(zé)局從全美560所高校中隨機抽查了123所，要求其提供管理“聯(lián)邦學(xué)生援助”個人信息的政策與程序。通過對這些情況的檢查，調(diào)查人員發(fā)現(xiàn)了以下問題。

聯(lián)邦學(xué)生援助程序非常復(fù)雜，且每年都需要收集大量個人信息，其中涉及美國的數(shù)百萬家庭?！奥?lián)邦學(xué)生援助”項目的信息收集工作很大程度上都依賴計算機系統(tǒng)進行信息的收集、處理和共享。因此，“聯(lián)邦學(xué)生援助”項目必須確定一系列程序以管理和保護其收集、使用和共享的信息。

盡管美國教育部和“聯(lián)邦學(xué)生援助”項目有關(guān)受資助學(xué)生檔案管理和敏感信息保護的政策符合國家的要求，但一些程序中的問題限制了其有效性。特別是“聯(lián)邦學(xué)生援助”項目的程序無法滿足檔案管理的要求，其中包括沒有為關(guān)鍵系統(tǒng)設(shè)定銷毀日期;沒有為有效處理電子檔案設(shè)定程序;沒有為電子信息系統(tǒng)設(shè)定檔案管理程序;無法確保相關(guān)工作人員的檔案管理定期培訓(xùn);沒有進行三年一次的深入評估。此外，“聯(lián)邦學(xué)生援助”項目無法確保隱私影響評估（PIA）包含足夠且可靠的細節(jié)，也無法確保其信息安全政策能夠及時更新。如“聯(lián)邦學(xué)生援助”項目無法及時更新其政策和程序并確保隱私影響評估足夠詳細，則受資助學(xué)生的檔案會存在不必要的風(fēng)險。更甚者，在各部門收集、使用和共享學(xué)生的個人身份信息（PII）時也存在無法保障個人隱私的風(fēng)險。盡管各高校都有管理學(xué)生受援助信息的政策和程序，某些學(xué)校仍無法達到國家的要求，如沒有信息安全項目等。如果監(jiān)管部門沒有對“聯(lián)邦學(xué)生援助”項目加強監(jiān)管，則各高校更無法保障學(xué)生檔案的安全。

上述問題具體而言可以總結(jié)為以下三點。一是雖然聯(lián)邦政府就個人隱私信息管理制定了完備詳盡的法律規(guī)定和程序，但是在執(zhí)行過程中沒有人真正了解，如沒有建立有效的處理程序電子記錄、檔案管理人員沒有接受過檔案管理培訓(xùn)等。二是學(xué)校通常有針對學(xué)生援助信息的管理政策和程序，但政府對學(xué)校缺乏監(jiān)管，或者說對于此類信息的管理不夠重視。三是學(xué)校和教育系統(tǒng)沒有將此類信息納入信息安全監(jiān)管程序，學(xué)生個人和學(xué)校共享的信息無法得到有效保護。

（三）政府問責(zé)局的主要建議

通過上述研究，為有效管理、保護受援助學(xué)生跟人信息，政府問責(zé)局建議美國教育部采取以下七項措施。

一是依據(jù)既定的程序銷毀存儲受援助學(xué)生個人隱私檔案的電子系統(tǒng);二是確保檔案管理人員每年定期接受檔案管理培訓(xùn);三是對“聯(lián)邦學(xué)生援助”項目檔案管理情況進行三年一次的評估;四是確保隱私影響評估包含所有所需因素;五是確保至少每年對信息安全相關(guān)政策和程序進行一次審查，按時更新;六是將高校的信息安全項目審查要求納入項目審查程序;七是將個人信息保護作為高校行政管理能力展示的重要一項。

四、對我國啟示

一是加快個人敏感信息安全立法，確保在處理受資助學(xué)生的個人敏感信息時有法可依。2019年6月25日，全國信息安全標(biāo)準(zhǔn)化委員會發(fā)布了《信息安全技術(shù)個人信息安全規(guī)范》（以下簡稱《個人信息安全規(guī)范》）征求意見稿。此前，我國對于數(shù)據(jù)安全的最重要法律依據(jù)是2017年實施的《網(wǎng)絡(luò)安全法》，但其中對個人信息保護的條款都是原則性的表述，仍需要細致可落地方案。高校的個人信息泄露早已不是新聞，其中的違法案例亟需法律規(guī)范的威懾與嚴(yán)懲。

二是規(guī)范受資助學(xué)生個人敏感信息的收集、使用范圍和宣傳公示。各級教育指導(dǎo)部門和高校應(yīng)制定規(guī)范，用以指導(dǎo)高校資助工作者的個人信息收集、使用、宣傳和公示工作。這些文件規(guī)范必須明確使用范圍，加強工作指導(dǎo)，同時也要明確信息不當(dāng)處理應(yīng)承擔(dān)的后果，形成剛性約束。但在甄別信息，特別是公示信息時必須按照程序規(guī)范處理。最好是探討形成標(biāo)準(zhǔn)化公示信息模板，確定可公示信息和需隱藏信息，切實保障受資助學(xué)生的個人隱私。

三是加強對個人信息經(jīng)手人、處理人的定期培訓(xùn)。目前，高校的各項信息收集、處理和存儲工作都是經(jīng)過計算機網(wǎng)絡(luò)處理，這些信息在處理過程中需要經(jīng)手人和處理人具備一定的網(wǎng)絡(luò)安全和檔案管理知識、技術(shù)和經(jīng)驗。因此，必須安排上述工作人員定期進行網(wǎng)絡(luò)安全、保密和檔案管理方面的知識培訓(xùn)，確?！皩I(yè)的人辦專業(yè)的事”。

四是定期對高校信息安全和保密部門進行監(jiān)督檢查，確保保密政策落到實處。新世紀(jì)以來，隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，各類安全保密尤其是國家秘密、軍事秘密安全的重要性已經(jīng)深入人心，但高校對學(xué)生的個人信息安全保密工作重視程度仍顯不足。建議各級教育監(jiān)管、督查部門將信息安全和保密列入監(jiān)管范疇，定期對該項工作加強檢查，確保學(xué)生個人敏感信息的安全。

參考文獻：

[1]美政府問責(zé)局呈眾議院監(jiān)管與政府改革委員會報告：《聯(lián)邦學(xué)生援助-對高校實施更好的項目管理與監(jiān)控以保護學(xué)生個人信息》[R/OL].（2017-12-04）[2019-12-04].https：//www.gao.gov/products/GAO-18-121.