文丨天元律师事务所 刘瑛 李晓华
2017年6月1日《中华人民共和国网络安全法》（“《网络安全法》”）实施以来，其中与数据安全和个人信息保护有关的规范要求尤为引人关注。特别是近两年来数据安全事件、个人信息泄露事件频发，欧盟《通用数据保护条例》（“GDPR”）、美国加州《消费者隐私法案》（“CCPA”）等域外监管要求提升的背景下，对于作为网络运营者的企业，就所处行业、不同的业务和平台下在数据安全和个人信息保护方面有哪些问题，如何在《网络安全法》框架下结合行业特点和企业特性积极有效地应对、进而搭建与本企业相适应的数据合规体系。值《网络安全法》实施两年之际，天元将推出数据合规系列文章，从不同维度归纳和分享我们对问题的思考及实务经验。
随着信息技术的发展和互联网的普及，互联网教育突破了传统教育在时空、人力、物力方面的限制，给人们提供了随时、随地接受教育的机会。无论是通过网站、还是移动互联网程序（App）提供互联网教育服务，互联网教育平台都会收集、使用用户个人信息。本文将结合互联网教育平台的特点，归纳和梳理互联网教育经营者数据管理的合规要点。   
一、用户信息收集的常见场景和合规管理要点
（一）互联网教育平台收集用户信息的特点
互联网教育平台在收集信息方面有其特点。从信息主体看，平台用户除了学生，还可能涉及教师；对于面向未成年人的互联网教育平台，收集的信息既有未成年人信息，也可能有学生家长信息。
从场景看，更是具有多样化的特点。除了在用户注册平台账号环节收集个人信息外，互联网教育平台在个性化课程设计、费用支付、直播视频授课等环节也涉及对用户个人信息的收集。例如，在用户注册平台账号环节，涉及对用户身份识别信息的收集；在个性化课程设计的环节，涉及对用户（学生）学力水平信息（例如学历、考试成绩）的收集；在费用支付环节，涉及对用户金融信息（如银行卡号码、第三方支付平台账号等）的收集；在直播视频授课环节，涉及对用户影像、肖像等信息以及其他个人信息（例如可能出现在视频中的人士的行为）的收集。
为此，互联网教育平台经营者需要结合业务特点，有的放矢地管理。   
（二）互联网教育平台收集用户信息的管理要点
对于用户信息的收集和使用，互联网教育平台通常通过用户注册时签署用户协议、隐私政策的方式集中取得用户授权。用户协议是规范互联网教育平台与用户之间权利义务关系的基础文件，其中会涉及用户信息收集、使用等内容；对于用户信息的收集、保存、使用、委托处理、共享、转移、公开披露等数据管理全链条中的具体事项，则在隐私政策中规定。用户协议、隐私政策一般应以显著方式显示，由用户主动勾选、明示同意。
鉴于互联网教育平台收集信息涉及的主体和场景多样化，互联网教育平台在收集用户信息和获取用户授权的安排上，需要关注和考虑以下几点：
1、收集和使用未成年人信息需要取得其法定监护人的同意
相关用户协议和隐私政策应对未成年信息和成年人信息的收集和使用行为进行区分约定。可以在用户协议和隐私政策中列明需要收集未成年人的哪些信息；在隐私政策中明确如未成年的法定监护人发现未成年人信息在未经同意的情况下提供，该法定监护人联系互联网教育平台对相关信息进行删除、处理的途径。
2、用户信息收集的正当性和必要性考量
互联网教育平台收集、使用用户个人信息同样需要遵循合法、正当、必要的原则，其中特别需要关注所收集信息的必要性。通过用户协议、隐私政策等文件集中取得用户授权时，需要关注其中关于所收集信息的范围及其所对应的业务功能的描述是否具有必要性。如果没有该信息的参与，并不影响该产品或服务功能的实现，则该信息不属于必要信息。对于已经通过隐私政策等文件集中取得用户授权的信息，在实际执行信息收集操作时，需要关注在哪一业务环节收集更符合必要性的要求。例如，在注册阶段要求用户提供银行账号等金融信息即可能属于不必要的情形；在不涉及向用户邮寄教材或其他文件资料的情形要求用户提供住址信息，即属于不必要的情形。
3、容易被忽视的信息收集行为
直播视频授课涉及对用户个人肖像、影像等信息的收集。与用户手动输入提交个人信息不同，在直播视频授课场景中，信息收集行为伴随着视频录制过程而发生，因而该收集行为容易被忽视。在该场景下，除了用户肖像、影像等内容，直播过程中其他入镜人物的行为、场地环境等信息元素也会被收集，该等信息元素中可能包含用户本意不愿意提供的信息、甚至隐私（例如家人的肖像或影像、居家环境等）。对此，互联网教育平台需要重点关注，通过一系列措施强化管理。
二、互联网教育平台使用用户个人信息的常见场景及合规管理要点   
（一）向其他用户共享用户个人信息
互联网教育平台经营者可能涉及向其他用户共享个人信息的场景。例如，在数名用户组成的班级、学习小组等组织范围内发布班内/组内用户的能力测评结果，以营造班内/组内积极的学习氛围、激发学生的学习兴趣；在用户交流区或论坛等用户间的交流场景中，显示用户基本情况，如用户ID、头像、联系方式。
就向其他用户显示、公示用户个人信息的行为，互联网教育平台应当在用户协议和隐私政策等文件中明示并取得用户的同意。对于能力测评结果等用户个人隐私，互联网教育平台提供给其他方或进行公示前，除了事先取得用户的同意外，还应当遵守教育主管部门关于对中小学生成绩进行排名、公示的限制性要求。
（二）经营数据统计
互联网教育平台经营者往往会对其收集的用户个人信息进行数据统计、分析和处理，制作成业务/行业分析/统计报告，以了解自身的经营情况。此外，互联网教育平台经营者或会将相关报告提供给其他方（如投资者、合作伙伴、行业协会）或向社会进行公示，以便于相关方了解该企业和该行业的经营情况。
对此，互联网教育平台经营应在用户协议和隐私政策文件中明示该信息使用的用途和范围，并取得用户的同意。如果涉及将数据统计、分析和处理工作交由第三方服务供应商进行而涉及向第三方提供个人信息的，应在用户协议和隐私政策文件中明示该行为并取得用户明确的同意。此外，互联网教育平台提供给其他方或公示的报告和数据，应当以不能还原识别特定自然人身份的脱敏信息呈现。   
（三）向合作方和关联方共享用户信息
互联网教育平台经营者普遍存在与其上游/下游合作伙伴合作或统一控制下的关联主体合作，与该等合作伙伴或关联方共享、置换用户个人信息，以实现客户资源共享、置换和转化的需求，降低获客成本。例如，从事外语培训的互联网教育平台经营者与留学中介相互置换、共享有意提升外语水平/出境游学、留学的客户个人信息。又如，集团化经营的互联网教育经营者在集团内各关联主体之间共享流转个人信息，或将集团内各关联主体所收集的用户个人信息归集至某个主体并由该主体集中处理和调配。
互联网教育平台涉及向其合作伙伴提供个人信息的，应当在用户协议、隐私政策中明示该信息流转行为的目的、用途和范围并取得用户明确的同意，且不得超出授权或超范围使用。在信息转移的过程中，互联网教育平台经营者应当保证个人信息不被相应的合作伙伴之外的任何个人、组织和机构所获知，并对合作伙伴的数据保护义务提出要求。相应的，互联网教育平台从其合作伙伴获取个人信息的，也应当遵循上述原则。
互联网教育经营者在同一控制下的各关联主体之间进行个人信息归集和共享时，应当取得用户明确的同意；相关关联主体对个人信息的调用也应当符合最少、够用原则，并应当对个人信息按照其敏感程度进行分级管理制度，例如涉及用户的身份证信息、金融财产信息、个人肖像和影像等敏感的信息应当设置最严格的使用权限制度。
（四）使用用户信息发送服务推广信息等
与其他行业相同，互联网教育平台有向用户发送产品和活动推广信息的需求。互联网教育平台通过用户预留的电话号码、电子邮箱等发送的此类推广信息属于商业性电子信息，一方面需要事先取得用户授权，另一方面在实际发送时需要为用户预留并告知用户拒绝接收、退订的途径。   
（五）委托第三方服务商为用户提供服务
互联网教育平台为用户提供服务时，可能将物流、客服等部分服务委托给第三方服务商。例如，互联网教育平台经营者委托第三方物流服务商向用户配送纸质版教材、教程和资料，需要向第三方服务商提供用户收货信息；又如，互联网教育平台经营者委托第三方客户服务中心负责提供相应产品咨询、投诉等服务。对此一般在隐私政策中集中告知用户取得授权，并需要对受托的第三方服务商的数据保护义务提出要求、进行管理，避免因此导致用户数据的泄露、遗失。
三、信息内容合规管理要点
互联网教育平台上涉及多种主体发布信息的场景（例如教师授课环节讲授；用户之间在平台讨论区或论坛或聊天区交流；用户在个性化签名档发布信息）。
根据《网络安全法》等相关法律规定，任何个人和组织使用网络应当遵守宪法法律，遵守公共秩序，尊重社会公德，不得危害网络安全，不得利用网络从事危害国家安全、荣誉和利益，煽动颠覆国家政权、推翻社会主义制度，煽动分裂国家、破坏国家统一，宣扬恐怖主义、极端主义，宣扬民族仇恨、民族歧视，传播暴力、淫秽色情信息，编造、传播虚假信息扰乱经济秩序和社会秩序，以及侵害他人名誉、隐私、知识产权和其他合法权益等活动。
互联网平台经营者应当加强对其用户发布的信息的管理，包括相关的用户协议中要求用户遵守相关法律规定；当互联网教育平台经营者发现法律、行政法规禁止发布或者传输的信息的，应当立即停止传输该信息，采取消除等处置措施，防止信息扩散，保存有关记录，并向有关主管部门报告。   
天元数据合规服务
天元团队连续二十余年为TMT行业提供法律服务，对通信及互联网产业政策、行业发展和变迁历程、以及业务有着深刻的理解和感受。从2012年底全国人大常委会关于公民个人信息保护的第一个专门性法律颁布至今，天元持续为行业内领先的企业客户提供数据合规、用户个人信息保护、网络和信息安全方面的法律服务。天元数据合规服务包括：对企业的业务模式、业务规则、业务流程以及业务方案中涉及的用户个人信息保护、数据使用与安全、数据跨境等问题进行合规性审查和论证；为企业审查和起草用户个人信息协议、授权文件、隐私政策等文件；协助企业搭建数据业务合规体系，制订相关文件；以及数据合规培训。天元数据合规服务涵盖数据及个人信息的收集、使用、存储、管理、合作、经营以及数据跨境等业务及安全管理的全链条。