学生毕业申请删除数据后,预警工单还留不留痕迹

毕业生提删除申请,指向的是能识别本人的个人信息;预警工单里学校的履职痕迹该做去标识化保留,而不是整条抹掉。

一名学生毕业离校,按个人信息保护规定提交删除申请,要求平台删掉自己在校期间的心理测评数据。经办老师打开后台却卡住了:这名学生大三那年触发过一次心理预警,学校据此建了工单、约谈、记录并跟进结案。现在人要走、数据要删,那条预警工单连同处置痕迹,是跟着一起抹掉,还是得留下来。

删除权删的是个人信息,不是履职记录

个人信息保护法给的是删除个人信息的权利,指向能识别到这名学生本人的那部分数据——姓名、学号、答题原文、可回溯到个人的报告。它不等于要求机构把自己做过什么、怎么处置的履职过程也一并销毁。这两件事经常被混在一起,结果要么该删的没删干净,要么不该留的也删没了。

预警工单的特殊之处,在于它同时记录了两类信息。一类是学生的个人数据:是谁、当时的测评结果、风险等级;另一类是机构的处置行为:谁在什么时间介入、约谈没约谈、有没有转介、结案结论是什么。前者属于学生本人,是删除申请指向的对象;后者是学校尽到管理与保护责任的证据,一旦出现事后追责或纠纷,这条痕迹就是校方履职的凭据,不该因为一纸删除申请就凭空消失。

用去标识化拆开身份层和行为层

可行的做法是去标识化,而不是整条抹除。把工单里能指向这名学生的字段清掉或做不可逆处理,让记录里不再有人能对上号,同时保留工单存在过、被及时处置过这一事实骨架。去标识化不是把姓名改成星号那么简单:学号、班级、家长联系方式这些准标识符组合起来也能反推到人,得一并处理;关联表里指向学生主键的外键,要断开或替换成不可回溯的随机编号,避免顺着某张表又把人拼回来。

橙星云在处理这类删除请求时,就是把个人身份数据和处置留痕拆成两层:身份层按申请清除,行为留痕层做匿名保留,并把这次删除操作本身也记进日志,谁在什么时候删的、删了哪些范围、依据哪条申请,都留有据可查。这条删除日志本身不含被删的个人信息,只记录操作事实,因此不与删除权冲突,反而是机构证明自己确实执行过删除的凭证。

别漏掉备份、导出和历史副本

删除不是把某张表里的一行删掉就完事。心理数据常常散落在答卷库、报告、预警、导出记录、备份里,只清主库、忘了备份和历史导出,等于没删干净。真正执行删除权,得先盘清这名学生的数据到底躺在哪几处,逐一处理。备份通常无法逐条改写,可行的办法是记下这条删除请求,等备份按周期轮转覆盖时自然失效,并在此期间禁止用旧备份还原出已删数据。处理完再回头验证:去标识化后的工单里确实找不回这个人,导出过的历史文件也已回收或失效。把删和留的边界一次划清楚,比事后为一条没删干净的记录反复解释要稳妥得多。

Leave a Reply

Your email address will not be published. Required fields are marked *