引用格式

李莎.英国教育数据隐私安全防治实践研究[J].中国教育信息化,2023,29(5):65-72.DOI:10.3969/j.issn.1673-8454.2023.05.007

教育数字化国际比较研究

英国教育数据隐私安全防治实践研究

李 莎

摘 要:在大数据时代背景下,如何平衡教育数据开放与保护个人数据隐私?开展教育数据隐私安全防治是其必然结果。以英国为例,梳理了英国政府自2012年实施教育开放数据政策以来的一系列教育数据隐私防治对策:继承与创新欧盟的《一般数据保护条例》,颁布《2018年数据保护法》《英国一般数据保护条例》等,为教育数据隐私安全的防治实践奠定坚实的法律基础。在实践治理层面,采取强化政府的教育数据治理权责,建构多方协同治理的教育数据隐私保护体系;发布教育数据安全治理资源,优化教育隐私保护的技术指导服务;履行教育数据安全治理原则,遵循教育隐私保护规约;创新教育数据安全治理路径,践行教育隐私保护科学操作流程等四项策略,有效地开展了对教育数据隐私保护的防治实践。

关键词: 英国;教育数据;隐私保护;立法保障;安全防治

中图分类号: G434

文献标志码: A

文章编号: 1673-8454(2023)05-0065-08

作者简介: 李莎,江苏师范大学教育科学学院讲师,博士(江苏徐州 221116)

基金项目: 2021年度教育部人文社会科学研究青年基金项目“教育数据安全治理与隐私保护路径的国际比较研究”(编号:21YJC880038)

教育数据隐私安全问题是人类社会进入教育数字化时代以及使用教育大数据的过程中面临的前所未有的新挑战。正如在信息大数据赋能的当下,个人的私密数据、敏感信息等被迫处于一种全景敞视之下而无处遁形,大数据的开放共享与个人隐私安全已然成为一对矛盾体。因此,在教育数据安全治理过程中,数据治理不可能离开隐私保护而探讨开放共享,也不能为促进开放共享而不顾隐私保护。[1]

英国作为世界上最先开展大数据战略的国家之一,尤其是开放教育数据战略的实施,公民个人的教育数据隐私也面临着被公开、被披露等一系列伦理问题。为更有效地解决教育数据安全与隐私保护这一两难问题,英国教育部针对其国内的各类教育机构、教育在线服务机构等,在采集、存储、传输、共享使用教育数据(尤其是涉及个人隐私)的安全性方面作出了科学性的预防与保护。

一、英国教育数据隐私安全防治的实践背景

(一)英国重视对个人隐私的保护

英国非常重视个人隐私保护,1950年签署的《欧洲人权公约》(European Convention on Human Rights),又称《保护人权与基本自由公约》,其中相关条款成为英、法等欧洲国家保护公民隐私权益的根基与法律依据。如《欧洲人权公约》第10条规定,除了某些情况下的政府等权力机关之外,任何人不得干扰他人传播信息的自由等。[2]

1998年以后,英国以转化继承的方式将国内法案与《欧洲人权公约》中保护人权的条款相融合,通过了《人权法(1998)》(Human Rights Act 1998),以继续保留《欧洲人权公约》对保护公民隐私权的传统。随着时间的演进,英国社会已建立起保护公民个人隐私权和自由表达权利的一整套法律判决体系,对侵犯公民隐私权的一系列违法行为给予裁决,并权衡公民的隐私权与表达自由、信息自由流通之间的关系,给英国社会保护公民隐私权益以更大的空间。

(二)加强教育数据安全治理与隐私保护是教育开放数据战略的实施要求

进入大数据时代,公民的数据隐私安全保护成为英国社会保护人权、维护个人隐私的新焦点。英国教育大数据战略的实施是该国政府、教育部门及各类教育机构开展教育数据安全治理和隐私保护的缘起所在。

2011年,美国麦肯锡全球研究院发布了一份名为《大数据:下一个创新、竞争和生产力的前沿》(Big data: The next frontier for innovation, competition, and productivity)的报告,指出“大数据时代已经到来”。英国紧随其后,开始了大数据的战略布局。2012年12月,英国政府宣布为英国的科研和创新追加6亿英镑投资。2013年1月,时任英国大学与科学国务大臣戴维·威利茨(David Willetts)宣布该投资的8项具体领域,其中38.6%的资金将用于大数据领域。[3]2012年7月,英国商业、创新与技能部已成立数据战略委员会,开始推动实施国家数据开放政策,为英国政府、企业、个人等提供有价值的数据,提高其政府的责任和透明度,并利用数据战略推动国家经济发展。

在教育领域,为了更好地实现教育数据的开放与共享,2012年6月,英国教育部发布《开放数据战略》(Open Data Strategy),旨在通过开放全英国教育数据库,采用开放数据标准和高质量数据模型来发布数据,并建立完善的用户反馈机制等,确保学生家长和社会公众恰当地要求和使用学校、地方教育机构和教育部发布的数据信息;承诺让学校对学生和家长负责;让学校等教育机构运用数据战略持续改进与完善自身效能等。[4]

截止到2019年8月,英国教育部及其下属机构在教育与技能数据、政府数据、儿童相关数据、健康与社会保障数据、机构数据等五类教育数据中,共发布透明数据集414个,[5]大大地提升了英国教育数据的可获取性和透明度,并有效实现了教育部对英国各级各类教育机构的问责,推动了学校教育质量和办学效能的改进。

英国开放教育数据战略的实施是其进入大数据时代乃至数字时代的应然选择。然而,这一抉择所带来的负面效应则是一系列数据开放之后衍生出的道德与伦理问题,其中个人教育数据隐私被泄露和公开、个人隐私权受到侵犯等成为最主要的问题之一。基于此,英国政府,尤其是教育部加强了对教育数据安全的防治,逐渐展开了一系列教育数据安全治理和隐私保护活动。

二、英国推进教育数据隐私安全防治的立法保障

英国持续深入推进教育数据安全与隐私保护的防治实践活动,首先得益于逐步完善的数据保护法案的规范与支撑。

(一)《英国一般数据保护条例》:英国教育数据隐私保护的立法基础

《英国一般数据保护条例》(UK General Data Protection Regulation,UK GDPR)是英国政府为全面脱欧,根据欧盟《一般数据保护条例》(General Data Protection Regulation,GDPR)而重新修订的维护英国教育数据安全治理和隐私保护的一部基础性法案。2021年6月28日,欧盟委员会批准了英国政府进行数据自由流通与安全治理的决定,而欧盟的《一般数据保护条例》条款内容经修改与创新被保留于英国的法律之中,由《英国一般数据保护条例》所继承。

其中,关于教育数据隐私保护的内容主要如下:

一是继承欧盟《一般数据保护条例》数据安全治理与隐私保护的核心原则,包括合法、公平与透明性原则、目的限制性原则、数据收集与处理的最简化原则等,有效规范了教育数据安全治理与隐私保护活动。

二是规定教育数据管理者、公民个人的数据隐私保护权利与义务,如英国公民具有被正确告知信息使用的权利、获取信息权利、删除个人信息权利、修改个人信息权利、限制加工个人信息权利等。

三是提出数据隐私保护的关键主题,包括市场销售、新闻、教育、国家安全与技术等层面,其中教育数据主题涉及儿童数据隐私保护、各类教育机构的数据治理与隐私保护、教育者的数据隐私保护等。

四是规定个人在收集和处理数据时需满足相关法律依据:如得到数据管理者对个人处理数据资料的明确许可;签订合法合同,并根据合同规定采取具体步骤进行数据收集与处理;需要保护个人生命安全等利益;处理特殊类别的数据时,需要遵循该类数据使用的附加说明条件及法律依据等。

五是要求所有组织机构(包括教育机构)都需要指派一名数据保护官员,负责为数据隐私安全防治提供建议,监督组织内部数据隐私保护的合规情况,就隐私影响评估提出建议。

六是规定在数据治理与隐私保护中的执法程序,以及有执法职能组织的权利与职责,如英国信息专员办公室(Information Commissioner’s Office,ICO)在践行公民数据隐私安全与数据治理中的权责等。[6]

《英国一般数据保护条例》的创建,不仅继承了欧盟《一般数据保护条例》中关于数据隐私保护的传统与经验,而且为英国脱欧之后全面开展数据隐私安全防治实践提供了有效的法律支撑,成为英国开展教育数据安全治理与隐私保护实践的法律根基和立法依据。

(二)《2018年数据保护法》:重新规范英国教育数据安全与隐私保护标准

为适应英国在数字时代开展数据处理与隐私保护的需求,确保英国公民、企业、组织等更好地使用与管控数据,英国数字、文化、媒体和体育部于2018年5月得到英国皇家批准,发布《2018年数据保护法》(Data Protection Act 2018),取代了之前的《1998年数据保护法》(Data Protection Act 1998),并更新与强化数字时代个人的信息隐私保护及数据的获取权、迁移权、删除权等,为英国开展数据安全治理与隐私保护,提供了一个全面而现代化的治理框架。同时,随着《英国一般数据保护条例》的出台,《2018年数据保护法》中的相应条款于2019年和2020年被重新修订,[7]为英国后脱欧时代开展数据安全治理与隐私保护制定了一系列新规范。

《2018年数据保护法》中关于教育数据隐私保护的主要内容如下:

一是对一般的数据处理作出规定,需执行欧盟《一般数据保护条例》中规定的数据治理标准;确保处理敏感数据的保密性与安全性,包括医疗保健、社会护理、教育等相关数据;限制个人及机构访问和删除数据的权利等。其中,规定了教育数据安全治理要符合《英国一般数据保护条例》标准。

二是对与公民个人有关的信息处理作出规定,给予公民更多的个人信息控制权,如公民的“知情—同意”权;向数据控制者要求披露个人数据的权利;用户个人的数据可携权、数据删除权等,提高了公民对个人数据的决策和处理权利。同时,该法案也全面规范了英国公民对个人教育数据的决策权和处理权,尤其是在保护受教育者的教育隐私权方面。

三是加强了执法监管部门的权利,为英国警方、监控人员及刑事司法机构等提供处理个人数据信息的专门制度;允许数据的国际流通,实现数据共享,同时提供保障措施以保护个人数据安全;确保情报机构处理个人数据保持最新且符合现代化的国际标准;设立信息专员(Information Commissioner,IC),规定信息专员办公室具备调查权、民事处分权、刑事处罚权、保护信息举报者权利等。在教育领域,一方面,保障了英国教育数据的国际流通,继续实现教育数据开放,加强国际教育交流;另一方面,更有效地保障了英国教育数据流通的安全性,以及保护受教育者等的教育隐私和制裁相关违法犯罪行为。

四是建立司法数据处理机制,如设立数据保护官(Data Protection Officer,DPO)、对数据自动处理系统的运行记录进行规范等,以此规范英国教育机构对教育数据的收集、使用及处理的行为。[8]

三、英国开展教育数据隐私安全防治的实践策略

(一)强化政府的教育数据治理权责,建构多方协同治理的教育数据隐私保护体系

在英国相关教育数据保护法案的规范与指导下,英国政府已经逐渐强化与完善了相关部门对教育数据安全治理与隐私保护的权责,并逐步建立起多方参与、共同协作的教育数据隐私保护体系。

一是英国政府指定英国信息专员办公室作为独立监管英国数据安全治理与隐私保护的机构,负责制定并发布数据保护法案的相关指导手册,解读英国数据保护法案的内容,提供数据隐私安全防治的操作程序,提出数据隐私保护的关键主题,如关注儿童青少年的教育隐私保护,并为数据保护官和各类机构的日常数据管理者提供数据隐私保护的技术指导等。

二是英国教育部作为教育数据安全治理的主要负责者,一方面,发挥其教育数据治理权责,制定、解释并执行英国在教育数据安全治理与隐私保护层面的政策,强化政府对国内教育数据安全的管控和领导;另一方面,研制与创新教育数据隐私保护的方案和技术手册,指导英国各级各类教育机构、教育数据系统供应商、教育在线服务机构等,开展教育数据的收集、共享、使用、传输、评估等工作,遵循教育数据隐私保护的准则与规范,建构起多方协同的教育数据隐私保护体系,持续推进英国教育数据隐私安全的防治工作。

三是依据《英国一般数据保护条例》规定,英国所有的教育组织机构都设立了一名数据保护官,负责为教育数据安全治理与隐私保护提供建议、监督与监测机构内部的数据安全合规事宜、指导开展教育数据隐私影响评估、实施对教育数据隐私保护的问责与评估等。同时,根据相关规定,英国地方教育局和各级各类教育机构又设立了数据管理者(Data controller)负责管理机构内部的教育数据安全治理工作;数据处理者(Data Processor),遵照教育数据管理者指令以维护教育数据安全与个人隐私保护,如存储、收集与分析教育数据,以及为师生等提供个人隐私保护服务。[9]

(二)发布教育数据安全治理资源,优化教育隐私保护的技术指导服务

在英国相关数据保护法案的规定下,英国教育部协同地方教育当局、教育数据系统供应商、国家网络安全中心、英国信息专员办公室、各级学校及学院等教育机构,合作开发了一系列指导其国内教育机构、教育者、受教育者等全面而科学地开展教育数据隐私保护的技术性指导资源。尤其自2013年起,英国教育部持续发布了一系列指导英国高校、K-12学校等教育机构、教育者、学生及家长进行教育数据的采集、存储、传输、共享使用的技术手册,集中体现于英国教育部的学校教育与儿童服务项目之中。[10]

1.教育数据安全收集、提交与统计的技术指导

为帮助英国地方教育局及各类教育机构基于数据安全与保护隐私而收集、提交和统计教育数据信息,英国教育部于2013年开始相继发布了一系列教育数据的收集、提交与统计的指导手册,如《评估数据收集关键阶段1:数据提交指南》《学校劳动力普查:提交资料指南》《入学申请资料收集:如何提交资料》《学前儿童与儿童保护的资料统计指导》等。这些技术指导手册为学校教育工作者、学生、家长等提供了基于保护数据隐私安全的教育数据使用建议,为教育数据管理者与数据处理者提供数据收集、提交、存储、共享使用、销毁等技术指导,推进其更好地实现教育数据隐私保护。

2.教育数据隐私保护的技术指导

为了有效地帮助教育工作者、教育管理者、学生、家长等实现个人数据安全及隐私保护,英国教育部还发布了教育数据隐私保护的系列技术指导手册,如《为教育者提供的数据保护指南》《隐私事项:给学生的建议》《隐私事项:给学校工作者的建议》《隐私事项:给地方当局的建议》《数据保护:我们如何共享学生和劳动者的数据》等。

这些手册的内容逐年持续更新,能够为教育利益相关者解释数据隐私保护的重要性;解释政府及教育行政机构收集与共享教育数据的功能、特征;对不同教育群体的教育数据信息进行分类处理;关注儿童/学生的个人数据隐私保护,尤其提出对13岁以上人群开展教育数据隐私保护的技术指导策略;提供教育数据的收集、储存、共享、查阅的方式等,有针对性地提供对教育利益相关群体的数据隐私保护指导。

(三)履行教育数据安全治理原则,遵循教育隐私保护规约

在继承与发展欧盟《一般数据保护条例》内容的基础上,《英国一般数据保护条例》全面完善了数据安全治理与隐私保护原则。英国信息专员办公室还专门发布《英国一般数据保护条例指南》(Guide to the UK General Data Protection Regulation),[6]详细地解释了数据安全治理与隐私保护的原则,为英国各机构执行数据安全治理与隐私保护提供了原则框架与实践规约。

为有效实施教育数据隐私安全防治,英国相关教育行政部门、各类教育机构,包括在线教育服务机构、教育数据的管理者、处理者等,全面履行《英国一般数据保护条例》《英国一般数据保护条例指南》中诠释的七项数据治理与隐私保护原则:合法、公平与透明性原则、目的限制性原则、数据最简化原则、准确性原则、数据储存限制性原则、完整性与机密性原则、问责原则。[6]

基于上述原则和规范,教育数据治理机构及相关人员依法采取平等而合理的方式收集、使用与处理个人教育数据,明确、公开、诚实地说明其身份职责、数据处理目的、数据处理过程等,核实并记录个人教育数据的来源及准确性,保护个人数据在收集、使用、储存、流通等过程中的安全性,有效控制无关数据收集,及时、高效、低风险地处理个人教育数据,开展教育数据隐私影响评估,实现对教育数据治理的问责与评估等,提升了教育数据隐私保护的质量与水平。

这七项践行原则从公平性、准确性、合理性、合法性、限制性、机密性、问责性等层面诠释了教育隐私保护的伦理规约,鉴于英国社会还存在各类侵害、泄露教育者及受教育者等教育隐私的问题,教育数据安全治理与隐私保护的践行原则,使英国政府及教育数据利益相关者在充分利用人工智能教育和教育大数据的前提下,减少了对个人隐私数据的披露程度,维护了个人的隐私权益,从而有效实现教育数据隐私安全防治。

(四)创新教育数据安全治理路径,践行教育隐私保护科学操作流程

近年来,英国教育部在持续推进教育数据隐私安全防治的实践过程中,不断创新教育数据安全治理路径,为英国各级各类教育机构开展数据隐私保护提供了科学指导与理论依据。其中,英国教育部于2018年8月协同相关机构在实践累积经验的基础上,发布了指导教育机构开展教育数据隐私安全防治的工具包——《学校数据保护工具包(公开测试版1.0)》,提出了教育数据安全治理与隐私保护的科学操作流程。

具体操作流程为:(1)建立存储和使用教育数据映射方案,详尽地概述了与不同教育数据元素的衔接与对应关系,为教育数据的收集、迁移、传输、集成等安全管理提供了依托。

(2)创建教育数据资产登记手册,为数据分类、编号。

(3)记录教育数据处理原因,尤其关注与教育相关的敏感数据,如种族、家庭政治观念、宗教信仰、健康程度等。

(4)确定教育数据的保存期限,包括短期数据留存(一个月左右)、中长期数据留存(如学生毕业5年内的数据)、长期数据留存(高于5年)。

(5)开展教育数据安全验证与风险识别,将数据隐私影响评估作为评估关键环节,风险识别应考虑数据收集的合法性、数据共享时间、共享者情况、共享协议、数据隐私保护的技术措施、操作规范等。

(6)设立专门的数据管理者,负责掌握数据安全管理与隐私保护的知识和技术、教育数据隐私保护法案、所在学校运营情况等;在学校内部推广教育数据隐私安全防治理念;为学校管理者和教学人员提供数据隐私保护的常识性知识与建议,并监督校内人员的执行情况,做好校内人员关于教育数据隐私安全防治的培训工作;与信息专员办公室进行联络与沟通等。

(7)教育数据管理者组织开展与教师、学生、家长等教育数据主体的交流与沟通工作,提升个人对教育数据隐私保护的认知和意识,熟悉数据隐私保护法案的内容,如知情权、修改或纠正个人信息数据的权利、删除个人信息的权利、限制个人信息加工的权利等。

(8)教育机构制定数据保护政策、数据保护的程序与规范,基于教育数据的采集、存储、传输、共享使用、销毁等程序,确保教育数据的安全流动,全面实施教育数据隐私安全防治活动。

教育数据安全治理与隐私保护的操作流程为教育机构及教育数据隐私保护参与者提供了科学的操作程序,能够有效帮助教育数据管理者、数据处理者、其他参与者等在遵循相关数据保护法案的基础上,甄别和检查个人教育数据的使用,开展数据安全治理的风险评估,并协助学校等教育机构制定数据安全治理政策,科学而有效地管理教育数据,避免个人教育隐私泄露等风险。

四、结语

对教育数据隐私安全的防治是英国政府在教育数字化时代推进教育开放数据战略有效实施,规范教育机构、教育在线服务机构等有效采集、使用、处理教育数据,保护教育利益相关者隐私权利的重要实践策略。全面了解其防治实践策略,一方面可参考其有益经验,有效帮助我国教育行政部门及教育机构、教育利益相关者安全而有效地使用教育数据,保护个人的教育隐私权益;另一方面可发现其不足,汲取教训,更好地帮助我国在推进教育数据安全治理与隐私保护过程中完善自身的治理路径。如持续健全与完善我国的教育数据安全治理与隐私保护的法律法规,深化教育数据安全治理力度,强化管理者对教育数据安全治理的责任意识与治理能力,提升学生个人对其数据隐私保护的安全意识,建构多方协同的学生数据隐私保护体系等。

总之,教育数据隐私保护是数字时代赋予教育治理的新难题,需要从立法制度、伦理规范、技术保障、协同治理、公民认知意识等层面出发,建构符合我国国情的教育数据安全与隐私保护治理体系,推进教育数据的合理共享使用、有序流通、安全存储,保护个人的教育隐私权益。

参考文献:

[1]田贤鹏.隐私保护与开放共享:人工智能时代的教育数据治理变革[J].电化教育研究,2020,41(5):33-38.

[2]张民安.隐私权的比较研究——法国、德国、美国及其他国家的隐私权[M].广州:中山大学出版社,2013:459.

[3]王茜.英国大数据战略分析[J].全球科技经济瞭望,2013,28(8):24-27.

[4]UK Department for Education. Open data strategy[EB/OL]. (2012-07-28)[2022-03-20]. https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/320216/DfE_Open_Data_Strategy_0_10.pdf.

[5]苗珍珍,翟军,林岩,等.英国政府开放教育数据的实践与启示[J].中国教育信息化,2020(3):13-18.

[6]Information Commissioner’s Office. Guide to the UK General Data Protection Regulation(UK GDPR)[EB/OL].(2018-05-25)[2022-03-25]. https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/.

[7]Department for Digital, Culture, Media & Sport. Data Protection Act 2018[EB/OL].(2018-05-23)[2022-03-25]. https://www.gov.uk/government/collections/data-protection-act-2018.

[8]Department for Digital,Culture,Media & Sport. Data Protection Act 2018 Factsheet-Overview[EB/OL].(2018-05-25)[2022-03-25]. https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/711162/2018-05-23_Factsheet_1_-_Act_overview.pdf.

[9]UK Department for Education. Guidance Data protection for education providers[EB/OL]. (2019-03-27)[2022-03-25]. https://www.gov.uk/guidance/eu-exit-guide-data-protection-for-education-providers.

[10]UK Department for Education. Schools, colleges and children’s services: detailed information[EB/OL].(2015-08-11)[2022-03-25]. https://www.gov.uk/topic/schools-colleges-childrens-services.

Education Data Privacy Protection Based on the UK’s Experience

Sha LI

(School of Education Science, Jiangsu Normal University, Xuzhou 221116, Jiangsu)

Abstract: Balancing education data openness and personal privacy protection in the era of big data naturally leads to Education Data Privacy protection and governance. Taking UK as an example, this paper discusses UK’s strategies of education data privacy governance since the implementation of education Open Data strategy in 2012. With the Brexit process, the UK government inherited and innovated the General Data Protection Regulation of the EU, and promulgated the Data Protection Act 2018 and the UK General Data Protection Regulation, etc., laying a solid legal foundation for education data security governance and privacy protection. In terms of practical governance, the UK strengthened its government’s power and responsibility of education data governance and constructed a multi-party collaborative education data security governance system. UK Department for Education and other institutions released educational data security governance resources, and optimized the technical guidance services for all kinds of educational institutions to carry out privacy protection. In implementing the educational data security governance principle, following the educational privacy protection statute and innovating educational data security governance paths, the prevention and controlling practice of educational data privacy protection was effectively carried out.

Keywords: UK; Education data; Privacy protection; Legislative protection; Security prevention and controlling

声明:本文来自中国教育信息化,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。