作者:天达共和律师事务所律师李丽霞
前言
肇始于2019年12月的新型冠状病毒感染肺炎疫情,导致我国疫情防控措施逐步升级,世界卫生组织也于当地时间2019年1月30日举行新闻发布会,说明新型冠状病毒感染肺炎疫情已构成受到国际关注的突发公共卫生事件[1]。为防控疫情,孩子们返校因此推迟,教育主管部门提出停课不停教不停学,统筹整合国家、地方和学校相关教学资源,开通国家网络云课堂,供开学后各地学校组织中小学生开展网上学习。[2] 2020年2月14日,国务院教育督导委员会办公室发布严禁任何校外培训机构近期以任何形式开展线下培训的紧急预警,严禁疫情期间开展任何形式的线下培训,严禁举办任何形式的聚集性培训活动。[3]
因此,在抗击疫情的特殊时期,一些线下的校外培训机构纷纷转至线上,一些线上机构也扩大已有的线上运营规模。此次疫情是危机,但也是部分企业调整方向和孕育转变、发展的契机。线上教育和培训有可能因此次疫情迎来更广阔的发展空间。毋庸置疑,要想走得更远更好,必须遵守网络安全和数据保护的合规要求,否则轻则影响企业正常运营,重则导致企业面临生死存亡境地。因此,本文拟探讨线上教育和培训领域的数据合规问题。
一、教育移动应用分类
教育移动应用,根据应用使用的场景,可分为两类:其中一类是教育主管部门及/或学校选用的以学校、家长和学生为主要用户、以教育、学习为主要应用场景,服务于学校教学与管理、学生学习与生活以及家校互动等方面的移动互联网应用程序(以下简称为“学校选用的教育移动应用”)。另一类是学生/家长自主选择的、在校外运作的为学生提供课外线上培训的应用(本文主要介绍面向中小学生的、利用互联网技术实施的学科类校外线上培训应用,以下简称为“校外线上培训App”)。学校选用教育移动应用和校外线上培训App均可通过电脑及其他移动终端(如智能平板、智能手机等)提供线上服务。
二、教育移动应用的相关数据合规要求
(一)普遍适用的数据合规要求
我国已初步形成了以《民法总则》《网络安全法》等法律为基础,辅之以法律、行政法规、部门规章、国家标准等配套规定而形成的网络安全和个人信息保护的法律体系。《民法总则》确立了自然人的个人信息受法律保护的基本原则,任何主体需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。《网络安全法》则规定了网络安全和信息安全(包括保护通过网络收集和使用的个人信息)的基本原则和要求。
教育移动应用主要是通过网络平台提供家校(包括学生和家长)的沟通平台,或者提供线上的教育和培训,因此教育移动应用提供者属于网络经营者范畴,应当按照《网络安全法》等适用法律法规等规范确保网络安全,并履行个人信息保护合规要求。《网络安全法》规范网络运营者即网络的所有者、管理者和网络服务提供者运营网络、使用数据(包括个人信息)的行为,其要求网络运营者实行网络安全等级保护制度,并就个人信息的保护作出基本要求,包括在个人信息主体知情同意等合法情形依法收集个人信息,公开信息收集和使用规则以明示收集、使用信息的目的、方式和范围,不得收集与其提供的服务无关的个人信息;未经被收集者同意,不得向他人提供个人信息(经过处理无法识别特定个人且不能复原的除外),等等。
由于《网络安全法》的规定较为原则,其具体条款的执行需要参考或依照相关配套规范,如:《信息安全技术 个人信息安全规范》(GB/T 35273)为个人信息从收集、使用、保存到删除的全生命周期提供了具体规范;《App违法违规收集使用个人信息自评估指南》为App运营者对收集使用个人信息的情况进行自查自纠提供了指南;《App违法违规收集使用个人信息行为认定方法》对判断哪些情形属于“未公开收集使用规则”、“未明示收集使用个人信息的目的、方式和范围”、“未经用户同意收集使用个人信息”、“违反必要原则,收集与其提供的服务无关的个人信息”、 “未经同意向他人提供个人信息”、 “未按法律规定提供删除或更正个人信息功能”或“未公布投诉、举报方式等信息”作了阐释,为监督管理部门认定App违法违规收集使用个人信息行为提供参考,对于App运营者而言具有借鉴和参考意义,以便自查自纠,确保不触碰合规红线。虽然《信息安全技术 个人信息安全规范》(GB/T 35273)作为推荐性国家标准和《App违法违规收集使用个人信息自评估指南》没有强制执行效力,但实践中有关行政监管机构将这些规范/指南作为执法的参考或评判标准,因此教育App提供者从合规角度予以关注和参考是非常必要的。
我国正在修改或征求意见中的一些规范,如《信息安全技术 个人信息告知同意指南》(征求意见稿)、《信息安全技术 移动互联网应用程序(App)收集个人信息基本规范(草案)》,也有必要予以关注、借鉴、参考。以上推荐性国家标准以及正在制定、修改中的具体规范等具体规定,本文不作赘述。
(二)教育移动应用领域的具体合规要求
在普遍适用于各行业和领域的数据合规要求之外,教育主管部门针对教育移动应用发布了教育领域内的信息保护合规要求。
1. 学校选用的教育移动应用的合规要求
(1)备案要求
根据《教育部等八部门关于引导规范教育移动互联网应用有序健康发展的意见》(以下简称《教育移动互联网应用意见》),教育移动应用提供者应当落实网络安全等级保护要求,将网络安全等级保护定级备案的证明、等级测评报告以及ICP备案(涉及经营电信业务的,还应当申请电信业务经营许可)向机构住所地的省级教育行政部门进行教育业务备案,登记单位基本信息和所开发的教育移动应用信息。已备案的教育移动应用提供者上线新应用前,应当在备案单位更新相关信息。
教育部发布的《教育移动互联网应用程序备案管理办法》规定,备案全程通过网上办理,一省备案全国有效。应用提供者和作为使用者的学校分别需要进行备案。关于接受备案的主体,教育行政部门、学校、企业和社会组织均向其住所地或注册地省级教育行政部门进行提供者备案;省级教育行政部门开发的教育移动应用向教育部进行备案;小程序、企业号等平台第三方应用统一到平台方提交备案信息,并由平台方向教育部共享备案信息。应用提供者的各子公司(分公司)或分支机构开发的教育移动应用,由总公司统筹汇总并向总公司注册地的省级教育行政部门进行备案。[4]
根据《教育部办公厅关于印发〈教育移动互联网应用程序备案管理办法〉的通知》,教育移动应用提供者应在2020年1月31日前完成ICP备案和等级保护备案,并及时在公共服务体系上传、更新信息。2020年2月1日起,未完成前述两个备案的教育移动应用备案将被撤销,并予以通报。
(2)保障网络安全
教育移动应用和后台系统应当统一落实网络安全等级保护要求。教育移动应用提供者应当落实网络安全主体责任,采取有效措施,防范应对网络攻击,保障系统的平稳、安全运行。鼓励教育移动应用提供者参加网络安全认证、检测,全面提高网络安全保障水平。
(3)数据管理要求
教育移动应用提供者应当建立覆盖个人信息收集、储存、传输、使用等环节的数据保障机制。按照“后台实名、前台自愿”的原则,对注册用户进行身份信息认证。
收集使用个人信息应当明示收集使用信息的目的、方式和范围,并经用户同意。收集使用未成年人信息应当取得监护人同意、授权。不得以默认、捆绑、停止安装使用等手段变相强迫用户授权,不得收集与其提供服务无关的个人信息,不得违反法律法规与用户约定,不得泄露、非法出售或非法向他人提供个人信息。
2. 校外线上培训App合规要求
校外线上培训App作为网络平台,作为线上教育移动应用的一种,除了受到《网络安全法》等法律规范的规管,还应符合教育培训领域的特殊规范要求,包括《教育部等六部门关于规范校外线上培训的实施意见》对校外线上培训App提出的数据合规要求:
(1)内容保存期限
《教育部等六部门关于规范校外线上培训的实施意见》规定,校外线上培训App不得包含与学习无关的网络游戏等内容及链接等,不得出版、印刷、复制、发行非法出版物,不得从事侵权盗版活动,课程设置方面也应当符合教育部门设定的要求。为此,培训内容和培训数据信息按要求须留存1年以上,其中直播教学的影像须留存至少6个月。
此外,用户行为日志须留存1年以上。
(2)落实信息安全制度
《教育部等六部门关于规范校外线上培训的实施意见》要求校外线上培训App严格遵守《网络安全法》的要求,落实网络安全等级保护制度、网络安全预警通报制度和用户信息保护制度,具有完善的安全保护技术措施。
按照“后台实名、前台自愿”的原则,经培训对象及其监护人同意后,对培训对象进行真实身份信息认证。做好培训对象信息和数据安全防护,防止泄露隐私,不得非法出售或者非法向他人提供培训对象信息。
(3)机构备案审查要求
《教育部等六部门关于规范校外线上培训的实施意见》提出对校外线上培训App实施备案审查制度[5]。校外线上培训机构备案材料主要包括:
培训机构的ICP(互联网信息服务)备案
培训机构的电信业务经营许可(涉及经营电信业务的)等相关证照信息
资金管理、保障条件和服务承诺等信息
互联网平台信息数据交互及处理能力、个人信息保护制度、网络安全管理制度、安全保护技术措施等材料
服务器设置在中国内地的说明材料
备案审查流程为校外线上培训机构在取得ICP备案(涉及经营电信业务的,还应当申请电信业务经营许可)、网络安全等级保护定级备案的证明、等级测评报告后,向机构住所地的省级教育行政部门提交相关材料,申请备案。已开展校外线上培训的机构应当于2019年10月31日前提交相关材料,新成立的校外线上培训机构按照备案要求提交相关材料。省级教育行政部门会同有关部门对提交材料进行审查核实,对符合条件和规定的校外线上培训机构予以备案并公示公布。
根据《教育部等六部门关于规范校外线上培训的实施意见》,主管部门于2019年年底前完成对校外线上培训开展排查,主管机关的日常监管重点包括对平台的内容和信息安全进行排查、监管,经排查发现问题的校外线上培训机构应当按整改意见进行整改,于2020年6月底前完成整改并重新提交相关材料(截至2019年12月31日,全国共有718家校外线上培训机构在全国校外线上培训管理服务平台上提交了备案材料,截至2020年1月初已基本排查完毕[6])。按照前述教育部等六部门的实施意见,省级教育行政部门要联合网信、电信、公安等部门对逾期未完成整改或整改不到位的校外线上培训机构进行查处,视情节暂停或停止培训平台运营、下架培训应用、关闭微信公众号(小程序)、依法进行经济处罚等。
(三)《儿童个人信息网络保护规定》设定的儿童个人信息保护要求
教育移动应用面向儿童即不满十四周岁的未成年人提供教育及/或培训服务的,还应满足《儿童个人信息网络保护规定》针对儿童作出的特别保护合规要求。本文无意详述该规定的具体条款,仅作简要归纳如下:
网络运营者应当设置专门的儿童个人信息保护规则和用户协议,并指定专人负责儿童个人信息保护。[7]网络运营者收集、使用、转移、披露儿童个人信息的,应当以显著、清晰的方式告知儿童监护人,并应当征得儿童监护人的同意。[8]
网络运营者征得同意时,应当同时提供拒绝选项,并明确告知以下事项:收集、存储、使用、转移、披露儿童个人信息的目的、方式和范围;儿童个人信息存储地点、期限和到期后的处理方式;儿童个人信息的安全保障措施;拒绝的后果;投诉、举报的渠道和方式;更正、删除儿童个人信息的途径和方法等等。前述告知事项发生实质性变化的,应当再次征得儿童监护人的同意。因业务需要,确需超出约定的目的、范围使用的,应当再次征得儿童监护人的同意。[9]
网络运营者委托第三方处理儿童个人信息的,应当对受委托方及委托行为等进行安全评估,签署委托协议,明确双方责任、处理事项、处理期限、处理性质和目的等,委托行为不得超出授权范围。[10]
2019年见证了有关网络安全和数据保护监管机构对App违法违规收集使用个人信息开展的强有力执法活动,更多与此相关的指南/规范也有望出台,2020年我国将制定个人信息保护法、数据安全法。我们预期,随着广大民众保护个人信息意识的逐步觉醒和增强,随着立法的不断完善,面向用户的互联网应用程序无疑将面临更加严格的行政监管和执法。因此,教育移动应用还需密切关注网络安全和个人信息保护领域、教育领域出台的数据合规方面的新规定和与此相关的新动向,及时参照新规制定及/或更新完善相应隐私政策、内部合规流程和制度,完善和提升组织和技术方面的保护水平,管理好供应商,以降低触犯合规红线的风险。
注释
[1] 世卫组织将新型冠状病毒疫情列为国际关注的突发公共卫生事件 外交部、国家卫健委回应”,网址:https://baijiahao.baidu.com/s?id=1657197993383387772&wfr=spider&for=pc。
[2] 人民网:“教育部:未经学校批准 学生一律不准返校”,网址:http://edu.people.com.cn/BIG5/n1/2020/0208/c1006-31576766.html。
[3] 详情参见网址: http://www.moe.gov.cn/jyb_xwfb/gzdt_gzdt/s5987/202002/t20200214_421098.html。
[4] 参见《教育移动互联网应用程序备案管理办法》第十条、十一条。
[5] 省级教育行政部门按照《教育部等六部门关于规范校外线上培训的实施意见》结合本地实际制定细则,因此实践中还需查阅当地出台的细则,遵照执行。
[6] 详情参见:http://edu.sh.gov.cn/web/xwzx/show_article.html?article_id=104439。
[7] 《儿童个人信息网络保护规定》第八条。
[8] 《儿童个人信息网络保护规定》第九条。
[9] 《儿童个人信息网络保护规定》第十条。
[10] 《儿童个人信息网络保护规定》第十六条。
声明:以上所刊登的文章仅代表作者本人观点,不代表天达共和律师事务所或其律师出具的任何形式之法律意见或建议。
(声明:本文系作者授权新浪转载,文章仅代表作者观点,不代表新浪网立场。)
