大数据算法和人工智能技术已经得到社会认可并惠及校园管理，数字校园将被智慧校园取代，生活更加便捷的同时，高校学生个人信息泄露事件频发，教育部门虽曾发布紧急通知，要求学校清理和规范学生资助公示信息，但学生个人信息的利用准则却“犹抱琵琶半遮面”。因此，随着大数据和云计算等技术的普遍运用，迫切需要建立高校日常学生个人信息利用准则，实现学生个人信息之人格利益、经济利益、社会利益的平衡。

受《网络安全法》影响，我国企业正在积极探索用户个人信息保护的有效途径。腾讯公司发布《腾讯隐私保护白皮书》，以腾讯P·B·D为方法论，尝试建立全生命周期的数据管理制度和多维度的隐私保护机制，在数据安全技术上采用数据加密、数据脱敏、去识别化、量子加密等技术保障用户数据安全。支付宝制定用户隐私政策，明示“发红包”“AA收款”等所有项目可能会收集的用户信息，充分保证用户的知情同意权。

国外也有部分学校根据本国法律探索和实践着学生个人信息的利用准则。伦敦大学学院2019年9月修改学校个人信息保护政策，明确将“合法、公正、透明”“目的限制”等六项内容列为该校利用个人信息的基本原则。学校还特别声明，如果没有人工干预，将不会使用自动处理和决策算法利用个人信息。牛津大学对个人信息的使用目的加以限制，要求学生个人信息只在有限的、指定的目的前提下被利用，与这些目的不相符的任何理由都不能引发使用或披露信息的行为。此外，为了提示，牛津大学还专门在雇佣合同中设置一项条款，提醒员工注意数据隐私法规和大学的数据保护政策。

企业和国外高校的做法为我国高校探索学生个人信息利用准则提供了有益借鉴，但仍需辩证看待。比如，高校基于法律授权收集使用学生信息时，如何保障学生的知情同意权利？我国与欧盟国家存在不同的历史境遇，是否也要沿用“目的限制”规则？我国高校究竟应该借鉴企业和国外高校政策的哪些优点？由此，结合《网络安全法》第3条之“国家坚持网络安全与信息化发展并重原则”，提出五项高校学生个人信息利用准则，即一个原则与四项举措。

一个原则：权责统一原则

学生遵守行为规范和学校的各项管理制度，学校对学生进行管理是高等教育法赋予高校和学生的权利义务。此种情况下，学校基于法律授权收集学生个人信息并使用，排除了学生“同意”的权利，并使权责统一成为该语境下对行为准则的应然描述。对此，应思考以下三个层次。

第一，近代以来对个人信息保护的观念滥觞于对个人隐私权的关注并客观得益于隐私权理论的发展。自1890年Samuel D. Warren和Louis D. Brandeis的《隐私权》一文引起轰动后，几百年来，“隐私自决”“信息自决”等相继成为隐私权的范畴，知情同意权便发端于此，并被理解为信息主体意思自治的体现。然而我国多为公办高校，学校基于法律授权收集学生信息，双方显失平等地位，学生同意权的行使面临实际的适用障碍，即学生无法或者根本不可能行使拒绝之权利。

第二，即便认为学校在学生住宿、餐食等生活方面与学生形成服务合同关系，承认高校存在公私法主体混同的情形，那么学校基于法律授权而取得的学生个人信息也不应当因为学校主体性质的转变而被排除。具言之，学校在学生注册、报到时基于教学管理目的需要，一次性收到的学生个人信息，成为其此后一切教学活动、民事活动所使用的信息数据基础。但是，这并不意味着学校可以无边界地行使学生个人信息，必须通过“目的明确”“处理规则公开”等具体措施对学校的行为加以约束。

第三，学生虽然无法行使同意权，但也不意味着其对个人信息失去控制或者认为是对个人权利的无限让渡。首先，学生提供个人信息以供学校实现公共利益目的，这种行为被视为学生在现有法律规则下的权利让渡；其次，由于缺乏收集环节的同意，学校作为较强势的一方，做到权责统一成为该语境下对行为准则的应然描述。换言之，学校作为信息数据控制者，无论基于何种原因致使学生信息被泄露，都应当承担数据控制者责任；最后，学校要通过“制定安全应急预案”等措施提升控制学生个人信息的能力，同时赋予学生查阅、质疑权，保证学生对个人信息的知情和控制。

四项举措

一、目的明确

欧盟国家立法时强调“目的限制”，这种价值导向蔓延至学校并几乎成为所有学校信息保护政策的基本原则。究其原因，一是人们深受历史上纳粹德国之户籍制度引发的血的教训，不能平复之殇导致立法者尤其强调对个人信息的保护；二是欧盟国家人工智能产业自主程度欠发达，严苛的保护政策某种程度上能够限制其他国家产业的侵入，“目的限制”原则可以实现维护本国利益的目标。由于国情社情差异，以“目的明确”作为我国高校学生信息利用准则之一恰到好处。一方面，明确的目的可以为学校行使权力划定边界，防止权力的滥用，充分将权责统一的理念具体化；另一方面，学生知晓学校的利用目的，可以一定程度上满足其对学校权力行使的期待，走出权利无知的盲区，并为监督学校行使权力提供可能。

二、处理规则公开

个人信息处理规则的不透明不公开会直接导致教职工在利用学生信息时手足无措，进而导致学生信息利用程度深浅不一，最后形成要么学生信息臃肿杂乱，失去功能；要么被过度利用，滋生信息暴政的乱局。为了规范学生信息的使用，杜伦大学在设计“个人信息的保存期限”条款时，穷尽列举出12种个人信息类型并分别规定储存时间。

三、制定安全应急预案

学生个人信息在利用过程中常处于未去标签状态，因此，信息一旦泄露将产生严重危险。隆德大学借助国家力量，请求政府有关部门担当信息储存者重任。帝国理工学院引入数据隐私风险评估程序，检测信息处理行为是否与其目的正相关，并由此判定行为的安全风险。格拉斯哥大学制定了严密的信息泄露预案，通过“两立刻、两确定、三通知”的做法加速风险处理效率，快速遏制险情，将损失降到最低，同时追责责任人并弥补当事人损失。

四、信息主体参与监督

高校在利用学生个人信息时，要充分关注学生的参与热情和需求，为学生提供便利和渠道。剑桥大学针对学生（申请人）、教职工（求职者）、校友（支持者）分别制定信息利用规则并分别赋予他们救济渠道。蒙纳士大学将其所有隐私政策置于官方网站，并以访问时单独弹出对话框的形式提醒人们注意。同时，该校专门设置资料保护和隐私办公室并留有联络邮箱，供学生行使查阅、质疑等权利。值得注意的是，鉴于我国高校掌握的学生个人信息与学生档案存在交叉关系，过分丰富学生权利（如允许携带权等）可能会使当事人间接违反档案管理制度，所以，学校在充分保证学生权利的同时，也要综合考虑其他因素并加以平衡。

学生个人信息利用准则按照“一个原则、四项举措”的标准确立后，将为科技套牢“紧箍咒”，让其更好地为学生学习生活服务。可以预见，以技术为支撑，以制度为保障的智慧校园建设将随着时代的发展进一步融入学生的思想政治教育、第二课堂实践甚至教育评价管理。届时，学生不再担心因“校园刷脸”而使个人信息泄露，教师亦不再担心因披露信息过“猛”而侵犯学生隐私。高等教育教学管理将在科技的加持下，使高校“立德树人”的职责使命得以更好的承担。