小石看法 | 在线课堂,谁动了学生的隐私?
近日,受新型冠状病毒感染的肺炎疫情影响,各地教育部门纷纷采取开设空中云课堂、在线教育的方式完成课程进度。大规模网络课程在各个教育平台上线,老师化身“主播”在线讲授课程内容,学生通过手机、电脑客户端登录网络教育平台进行学习。
然而,有部分网络教育平台却被曝出存在过度索取用户授权,侵犯隐私的嫌疑。笔者在此探讨一下网络教育平台对用户隐私权的保护问题。
1
什么是网络隐私权?
网络隐私权是指公民在网上享有私人生活安宁和私人信息依法受到保护,不被他人非法知悉、侵扰、搜集和公开的一种人格权,也指禁止在网上泄露某些与个人相关的敏感信息,包括事实图像以及诽谤的意见等。网络隐私权作为在互联网时代科技快速发展下延伸出的新概念,其实质仍然属于隐私权的范畴。隐私指的是自然人的私下生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。《中华人民共和国民法总则》第110条规定自然人享有隐私权,《中华人民共和国侵权责任法》第2条又规定,侵害他人隐私权应当依法承担侵权责任。互联网平台不是法外之地,个人在网络上的隐私信息同样受法律保护。
根据《中华人民共和国网络安全法》(以下简称网络安全法)第12条规定,任何个人和组织不得利用网络从事侵害他人隐私的活动。第45条还规定,依法负有网络安全监督管理职责的部门及其工作人员,必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密,不得泄露、出售或者非法向他人提供。此外,《未成年人保护法》《儿童个人信息网络保护规定》均规定,任何组织或者个人不得披露未成年人的个人隐私。
2
确保线上课堂秩序不能牺牲学生隐私
近日,部分网课平台被曝出在直播中,老师可以强制打开学生摄像头、麦克风,甚至可以监控学生手机屏幕、电脑桌面,强制锁屏,以此来强化课堂秩序,保证上课质量。多名学生在网络上反映某款学习型客户端软件存在过度索权现象,软件的隐私保护协议也未经过学生及家长的同意,学生在学习网课过程中对强制授权没有拒绝权。还有的学生反映,在未使用期间,有后台程序运行监控前置摄像头。学生及家长普遍质疑此举侵犯隐私。
根据国家工业和信息化部(以下简称工信部)关于开展APP侵害用户权益专项整治工作的通知,当前APP违规收集个人信息、过度索权、频繁骚扰、侵害用户权益等问题突出。对于存在问题拒不整改的APP,工信部将统一进行通报,依法依规予以处理。2019年12月19日通报的存在问题的应用软件名单(第一批)中不乏各种学习类软件,这些软件均存在不同程度地违规收集、使用用户个人信息、不合理索取用户权限、为用户账号注销设置障碍等问题。如果这些软件不及时依法依规整改,可能面临下架、停止接入服务等措施,受到行政处罚的违规主体也将纳入电信业务经营不良名单或失信名单。
虽然部分网课平台软件的设计、开发、使用的初衷是帮助直播老师管理线上课堂秩序,但强制索取用户授权、未经用户同意收集隐私信息、未向用户公开收集使用个人信息的规则,恐怕已违反了网络安全法,侵害了学生用户的合法权益。
3
低年龄学生用户的隐私保护堪忧
根据国家互联网信息办公室发布的《儿童个人信息网络保护规定》,不满十四周岁的未成年人的个人信息在网络上应给予重点保护。网络运营者应当设置专门的儿童个人信息保护规则和用户协议,收集、使用、转移、披露儿童个人信息的,应当以显著、清晰的方式告知儿童监护人,并应当征得儿童监护人的同意。在征得同意时,应当同时提供拒绝选项,并明确告知收集、存储、使用、转移、披露儿童个人信息的目的、方式和范围;儿童个人信息存储的地点、期限和到期后的处理方式;儿童个人信息的安全保障措施;拒绝的后果;投诉、举报的渠道和方式;更正、删除儿童个人信息的途径和方法等事项。
规定还提出,网络运营者落实儿童个人信息安全管理责任不到位,存在较大安全风险或者发生安全事件的,由网信部门依据职责进行约谈,网络运营者应当及时采取措施进行整改,消除隐患。违反该规定的,由网信部门和其他有关部门依据职责,根据网络安全法等相关法律法规规定处理;构成犯罪的,依法追究刑事责任。
然而,近日有部分低年龄学生家长反映,其使用的网课平台缺少儿童专用的隐私政策或隐私协议条款过于简单、缺少监护人授权;有的则过于冗长,对于家长和儿童而言,阅读起来都有一定难度;有的在协议的同意方式上,用户只能勾选同意,否则无法使用相关服务。但实际上,未成年人很可能在监护人不知情的情况下提供了大量的个人信息。可见,许多网络教育平台的做法只满足了相关规定形式上的要求,并没有采取具体的实质性措施,难以真正实现对未成年人的有效识别以及个人信息的有效保护。
4
泄露个人信息可面临刑事处罚
2014年4月,徐某到某教育咨询有限公司应聘,在面试过程中,徐某表示自己曾在多家教育咨询机构工作期间负责数据管理,掌握有大量学生资源数据,承诺入职后这些数据提供给该教育咨询公司的法定代表人朱某。徐某成功入职,将其掌握的10万余名某市中小学学生资源数据提供给该教育咨询公司推广业务使用。最终法院认定,某教育咨询有限公司及其法定代表人朱某构成非法获取公民个人信息罪,徐某构成非法提供公民个人信息罪。
某市某教育咨询有限公司未经消费者同意,非法收集、出售消费者个人信息。自2018年12月,该公司为了推销教育培训业务,非法购买3所小学的学生名册,包括姓名、电话、班级、学校等信息。同时为进一步牟取不当利益,该公司又将学生名册出售给他人。目前,该案已依法移交公安机关。
虽然各地大中小学使用的网课平台尚未出现泄漏个人信息的情况,但不代表其不存在泄漏隐患。无论是学校开设网课的平台还是校外教育培训机构的平台,在收集、使用用户信息时都应做到合法合规,不过度索取用户权限,不非法获取用户信息,更不能将用户信息非法买卖,否则将面临严重的刑罚。
5
网络教育平台如何做到数据合规
尊重隐私与信息保护从来都是一个问题的两个方面。各种网络教育平台在收集、使用用户信息时做到合法合规、不过度索取隐私,不为侵犯隐私留技术“后门”,那么用户个人信息遭泄露的风险就会降低,信息保护工作也将迎刃而解。
首先,隐私政策文件应重视知情权。
网络教育平台应当在第三方应用商店搜索界面附上隐私政策全文,并方便用户在下载、安装、注册使用前,全面透明地了解软件的各项协议内容,从而决定是否同意并下载,而不是先下载再查看隐私政策。此外,用户选择权的核心在于选择“不”的权利,平台经营者应当将隐私政策的重点条款以显著、清晰的方式告知,语言尽量通俗化,明确需要获得授权的事项及范围,特别是针对未成年人开发的学习类软件平台,应设置专门的儿童个人信息保护规则和用户协议,强化家长的监护责任。
其次,个人信息收集程度应“最小化”。
网络安全法第41条规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。非服务所必需或无合理应用场景,超范围或超频次收集个人信息的都将被工信部认定为违规收集用户个人信息或过度索取用户权限。
再次,明确个人信息使用的时间、空间范围。
在隐私政策内设置数据保存、使用期限;未经用户同意不与其他应用共享、使用用户个人信息,切实保护未成年个人信息。
最后,行政监管与行业自治相结合。
市场的天性是逐利,我们不可能将保护学生与家长隐私的愿望完全寄托于平台运营者。平台运营者能否主动缩减收集、利用个人信息的范围,主要取决于其市场地位、利润空间、法律对隐私政策的合规性审查以及违法成本。行政部门要制定完善的监管、问责、与处罚措施,提高违法成本,发现不合规的隐私政策及违法违规收集使用个人信息、泄露信息行为的,要予以充分曝光,并严格追究其责任。行业协会可以组织出台行业规范、行为准则,加强行业自律,促使平台经营者履行社会责任,净化网络空间。
网络隐私权保护不仅是未成年人保护的重要内容,也关系到广大网民的隐私,更关系到国家和社会的稳定,需要学生、家长和学校提高防护意识,认真查看平台的隐私政策,勇于对侵犯个人隐私的平台说“不”,依法投诉检举,督促网络教育平台向着合法合规的方向整改。
作者 | 路红红
图片来源于网络
编辑 | 任冰玉
