摘 要:高校贫困大学生资助工作对于帮助普通本科高校、高等职业学校和高等专科学校的家庭经济困难学生顺利完成学业,进而提高国民整体受教育水平具有非常重要且积极的意义。但在政策执行过程中会出现个人敏感信息泄露的问题。本文试图从美国高校保护受资助学生个人信息的政策和建议入手,为我国做好高校学生资助工作提供一些启示。
关键词:高校;资助;建议
一、前言
为体现党和政府对普通本科高校、高等职业学校和高等专科学校家庭经济困难学生的关怀,中央与地方政府共同出资设立了国家助学金,用于为家庭经济困难的全日制普通本、专科(含高职、第二学士学位)在校学生提供经济资助。可以说,自实施之日起,国家助学金就帮助很多家庭贫困学生减轻了沉重的经济负担,让学生可以安心地学习,在鼓励更多学生完成高等教育、提高国民整体素质方面发挥了非常积极且有效的作用。但在2017年时,有媒体报道称个别高校在公示受助学生信息时,暴露了学生的身份证号码、银行卡号等敏感个人信息,遭到了社会各界的批评。此后,很多教育界专家都开始研究如何有效保护受资助学生个人敏感信息。在大学学费昂贵的美国,如果不申请各类助学金,很多学生无法完成学业。可以说,申请助学金在美国高等教育中是非常普遍的事情。那么,美国高校又是如何保护学生个人隐私的呢?译者试图通过研究美国政府问责局(美国政府问责局,Government Accountability Office,GAO是美国国会的下属机构,负责调查、监督联邦政府的规划和支出,其前身是美国总审计局。该机构是一个独立机构,只对国会负责,以中立精神开展工作,主要职责是调查联邦政府如何花费纳税人的钱)有关如何加强监管以保护学生隐私的工作,为我国做好高校学生资助工作中的学生隐私保护问题提供一些借鉴。
二、研究緣起
自2010年秋季学期以来,为体现党中央和政府对普通本科高校、高等职业学校和高等专科学校家庭经济困难学生的关怀,中央与地方政府共同设立了国家助学金,用于资助普通高校在校生中的家庭经济困难学生,资助面约占全国高校在校生总数的20%。可以说,这个项目为很多来自贫困家庭的学生完成高校学业提供了很大的帮助,发挥了非常积极的作用,较为有力地确保了将“精准扶贫”的政策落到实处。但是在施行过程中也出现了一些问题,比如2017年发现的个人敏感信息暴露问题。据报道,教育部表示:“全体学生资助工作者务必要拧紧‘保护学生个人信息和隐私这根弦,让资助工作更合规、更有爱、更有温度。”教育界有学者立足国情对此问题进行过深入研究,本文试图从美国高校加强监管以保护接受联邦学生援助人员个人隐私信息入手,为我校做好高校学生资助工作提供更多借鉴。
三、美国高校保护受资助学生个人信息的主要做法
(一)“联邦学生援助”
“联邦学生援助”(Federal Student Aid,FSA),是美国高校学生申请财务帮助的一种途径。美国政府每年都会提供大约1 500亿美金为学生在6 000多所高校中支付相关的教育费用,学生可以通过申请奖学金、助学金、学生贷款等形式获得相应的帮助。美国公民、国民以及拥有合法永久居留权的居民都有资格申请联邦学生援助。想要申请“联邦学生援助”的学生都会被询问家庭收入、资产和一些家庭成员信息,如家里有几个小孩,同时有几个孩子在上学等。同时,学生还要上报自己的社保号、驾照号或者身份证号码、税务信息、银行报告和投资状况。可以说,美国政府的这个援助项目需要了解的信息相当详细,操作起来也非常复杂,主要是为了规避有人虚报或冒领援助金。从这一点来看,美国的高校学生想要申请到国家的助学金,必须提供更多的个人敏感信息,不仅包括个人的身份证、税务信息等,甚至涉及家庭其他成员的银行报告和投资情况,其申请难度更大、牵扯面更广、隐私程度更深。即便如此,美国的高校学生还是对申请“联邦学生援助”趋之若鹜,其原因就是其高校学费极其高昂。
(二)美政府问责局提出加强“联邦学生援助”项目监管的缘由
申请“联邦学生援助”看似免费,却需要提供申请学生个人甚至家庭成员如此详尽的个人隐私信息,在信息的收集和提交过程中必然会面临泄露的风险。美国政府和民众也意识到其中的安全隐患,特别是美政府问责局在2017年发现了其中的一些问题。为加强对“联邦学生援助”项目的监管,政府问责局从全美560所高校中随机抽查了123所,要求其提供管理“联邦学生援助”个人信息的政策与程序。通过对这些情况的检查,调查人员发现了以下问题。
联邦学生援助程序非常复杂,且每年都需要收集大量个人信息,其中涉及美国的数百万家庭。“联邦学生援助”项目的信息收集工作很大程度上都依赖计算机系统进行信息的收集、处理和共享。因此,“联邦学生援助”项目必须确定一系列程序以管理和保护其收集、使用和共享的信息。
尽管美国教育部和“联邦学生援助”项目有关受资助学生档案管理和敏感信息保护的政策符合国家的要求,但一些程序中的问题限制了其有效性。特别是“联邦学生援助”项目的程序无法满足档案管理的要求,其中包括没有为关键系统设定销毁日期;没有为有效处理电子档案设定程序;没有为电子信息系统设定档案管理程序;无法确保相关工作人员的档案管理定期培训;没有进行三年一次的深入评估。此外,“联邦学生援助”项目无法确保隐私影响评估(PIA)包含足够且可靠的细节,也无法确保其信息安全政策能够及时更新。如“联邦学生援助”项目无法及时更新其政策和程序并确保隐私影响评估足够详细,则受资助学生的档案会存在不必要的风险。更甚者,在各部门收集、使用和共享学生的个人身份信息(PII)时也存在无法保障个人隐私的风险。尽管各高校都有管理学生受援助信息的政策和程序,某些学校仍无法达到国家的要求,如没有信息安全项目等。如果监管部门没有对“联邦学生援助”项目加强监管,则各高校更无法保障学生档案的安全。
上述问题具体而言可以总结为以下三点。一是虽然联邦政府就个人隐私信息管理制定了完备详尽的法律规定和程序,但是在执行过程中没有人真正了解,如没有建立有效的处理程序电子记录、档案管理人员没有接受过档案管理培训等。二是学校通常有针对学生援助信息的管理政策和程序,但政府对学校缺乏监管,或者说对于此类信息的管理不够重视。三是学校和教育系统没有将此类信息纳入信息安全监管程序,学生个人和学校共享的信息无法得到有效保护。
(三)政府问责局的主要建议
通过上述研究,为有效管理、保护受援助学生跟人信息,政府问责局建议美国教育部采取以下七项措施。
一是依据既定的程序销毁存储受援助学生个人隐私档案的电子系统;二是确保档案管理人员每年定期接受档案管理培训;三是对“联邦学生援助”项目档案管理情况进行三年一次的评估;四是确保隐私影响评估包含所有所需因素;五是确保至少每年对信息安全相关政策和程序进行一次审查,按时更新;六是将高校的信息安全项目审查要求纳入项目审查程序;七是将个人信息保护作为高校行政管理能力展示的重要一项。
四、对我国启示
一是加快个人敏感信息安全立法,确保在处理受资助学生的个人敏感信息时有法可依。2019年6月25日,全国信息安全标准化委员会发布了《信息安全技术个人信息安全规范》(以下简称《个人信息安全规范》)征求意见稿。此前,我国对于数据安全的最重要法律依据是2017年实施的《网络安全法》,但其中对个人信息保护的条款都是原则性的表述,仍需要细致可落地方案。高校的个人信息泄露早已不是新闻,其中的违法案例亟需法律规范的威慑与严惩。
二是规范受资助学生个人敏感信息的收集、使用范围和宣传公示。各级教育指导部门和高校应制定规范,用以指导高校资助工作者的个人信息收集、使用、宣传和公示工作。这些文件规范必须明确使用范围,加强工作指导,同时也要明确信息不当处理应承担的后果,形成刚性约束。但在甄别信息,特别是公示信息时必须按照程序规范处理。最好是探讨形成标准化公示信息模板,确定可公示信息和需隐藏信息,切实保障受资助学生的个人隐私。
三是加强对个人信息经手人、处理人的定期培训。目前,高校的各项信息收集、处理和存储工作都是经过计算机网络处理,这些信息在处理过程中需要经手人和处理人具备一定的网络安全和档案管理知识、技术和经验。因此,必须安排上述工作人员定期进行网络安全、保密和档案管理方面的知识培训,确保“专业的人办专业的事”。
四是定期对高校信息安全和保密部门进行监督检查,确保保密政策落到实处。新世纪以来,随着网络技术的飞速发展,各类安全保密尤其是国家秘密、军事秘密安全的重要性已经深入人心,但高校对学生的个人信息安全保密工作重视程度仍显不足。建议各级教育监管、督查部门将信息安全和保密列入监管范畴,定期对该项工作加强检查,确保学生个人敏感信息的安全。
参考文献:
[1]美政府问责局呈众议院监管与政府改革委员会报告:《联邦学生援助-对高校实施更好的项目管理與监控以保护学生个人信息》[R/OL].(2017-12-04)[2019-12-04].https://www.gao.gov/products/GAO-18-121.
最新评论