Rethinking Higher Education/ru/Chapter 3

From China Studies Wiki
Jump to navigation Jump to search

Язык: RU · EN · ZH · ← Книга

Previous◀ ru
Rethinking_Higher_Education
Nextru ▶

Защита данных студентов в цифровом университете: сравнение GDPR и китайского PIPL

Мартин Вёслер

Хунаньский педагогический университет

Аннотация

Цифровая трансформация высшего образования порождает беспрецедентные объёмы студенческих данных — от взаимодействий с системами управления обучением и записей об аттестации до биометрических данных прокторинга и профилей прогностической аналитики. Два наиболее значимых в мире режима защиты данных теперь регулируют, каким образом университеты собирают, обрабатывают и передают эти данные: Общий регламент Европейского союза по защите данных (GDPR, действует с 2018 года) и Закон Китайской Народной Республики о защите персональной информации (PIPL, действует с 2021 года). Однако, несмотря на поверхностное сходство — обе системы устанавливают индивидуальные права на персональные данные, обе предусматривают значительные штрафы за нарушения, обе ограничивают трансграничную передачу данных — эти два режима отражают принципиально различные философские ориентации: индивидуальную автономию и государственный суверенитет. В данной статье проводится систематическое сравнение GDPR и PIPL применительно к контексту высшего образования. Опираясь на данные правоприменения, согласно которым органы защиты данных ЕС наложили 270 штрафов на общую сумму более 29,3 млн евро на образовательные учреждения, и на исследования, документирующие несоответствие 81 процента университетов Великобритании стандартам GDPR, мы демонстрируем, что ни одна система не достигла удовлетворительной защиты данных на практике. Мы рассматриваем аналитику обучения, оценивание на основе ИИ, трансграничный набор студентов и совместные академические программы ЕС—Китай как четыре области, в которых нормативные системы проходят наиболее серьёзное испытание. Мы утверждаем, что университеты, действующие в обеих юрисдикциях, сталкиваются с проблемой двойного соответствия, которую существующие руководства решают недостаточно, и предлагаем систему ориентиров для навигации в этих пересекающихся обязательствах.

Ключевые слова: GDPR, PIPL, защита данных студентов, аналитика обучения, высшее образование, трансграничные потоки данных, конфиденциальность, сравнение ЕС и Китая, ИИ в образовании

1. Введение

Цифровой университет — это, по существу, учреждение, генерирующее данные. Каждое взаимодействие студента с системой управления обучением, каждая подача работы на автоматизированную платформу оценивания, каждый вход в кампусную сеть и каждое вовлечение в адаптивный обучающий инструмент производят данные, которые собираются, хранятся, анализируются и — всё чаще — передаются через институциональные и национальные границы. Пандемия COVID-19 резко ускорила этот процесс: стремительный переход к онлайн- и гибридному обучению нормализовал сбор потоков данных, которые были бы немыслимы десятилетие назад, включая видеозаписи с веб-камер систем дистанционного прокторинга, динамику нажатий клавиш для верификации личности и метрики вовлечённости, отслеживающие частоту и продолжительность взаимодействия студентов с учебными материалами.

Два всеобъемлющих режима защиты данных теперь регулируют, как университеты обращаются с этой информацией. Общий регламент Европейского союза по защите данных, вступивший в полную силу в мае 2018 года, установил первую в мире всеобъемлющую систему защиты персональных данных с конкретными последствиями для образовательных учреждений, обрабатывающих данные студентов. Закон Китая о защите персональной информации, действующий с ноября 2021 года, создал параллельную систему, которая, будучи структурно схожей с GDPR во многих отношениях, отражает принципиально иные представления о соотношении индивидов, учреждений и государства.

Для университетов, вовлечённых в международное сотрудничество — совместные программы получения степеней, студенческие обмены, совместные исследования, трансграничный набор студентов — эти два режима создают проблему двойного соответствия значительной сложности. Европейский университет, набирающий китайских студентов, должен соблюдать требования PIPL по обработке персональной информации резидентов Китая; китайский университет, участвующий в партнёрстве Erasmus+, должен понимать обязательства GDPR, которые могут распространяться на данные европейских студентов. Между тем две системы расходятся именно там, где проблемы соответствия наиболее остры: в подходах к трансграничной передаче данных, требованиям к согласию, механизмам правоприменения и обращению с несовершеннолетними.

В данной статье проводится систематическое сравнение GDPR и PIPL применительно к высшему образованию, организованное вокруг четырёх вопросов. Во-первых, как каждая система регулирует основные виды обработки данных университетов — зачисление, аттестацию, аналитику и коммуникацию? Во-вторых, где две системы сходятся и где расходятся в своих философских основаниях и практических требованиях? В-третьих, какие конкретные проблемы возникают для учреждений, одновременно работающих под обоими режимами? В-четвёртых, какие практические стратегии могут университеты использовать для достижения осмысленного соответствия обеим системам?

2. Система GDPR для образования

2.1 Правовые основания обработки данных студентов

GDPR (Регламент 2016/679) предусматривает шесть законных оснований для обработки персональных данных, из которых три наиболее релевантны для университетов: согласие (Статья 6(1)(a)), выполнение договора (Статья 6(1)(b)) и законные интересы (Статья 6(1)(f)). Европейские университеты, как правило, опираются на комбинацию этих оснований. Зачисление и академическое администрирование обычно обрабатываются на основе договорной необходимости — студент заключил образовательный договор с учреждением. Исследования с использованием данных студентов могут опираться на законные интересы или, если затрагиваются чувствительные категории данных, на явное согласие.

Применение этих правовых оснований к аналитике обучения оказалось особенно спорным. Лю и Халиль (2023) в систематическом обзоре 47 исследований, опубликованных в ведущих журналах по образовательным технологиям, выявляют фундаментальное напряжение: принцип ограничения цели GDPR — данные, собранные для одной цели, не должны перепрофилироваться без дополнительного правового основания — плохо согласуется с открытым, исследовательским характером аналитики обучения, где ценность данных часто выявляется лишь через анализ, не предвиденный в момент сбора. Принслу, Слейд и Халиль (2022) утверждают с позиции критических исследований данных, что чисто технологические решения этого напряжения недостаточны; асимметрия власти между учреждениями и студентами означает, что осмысленное согласие зачастую иллюзорно, особенно когда студенты чувствуют, что не могут отказаться от сбора данных без академических последствий.

2.2 Ландшафт правоприменения

Правоприменение GDPR в секторе образования было неравномерным, но всё более значимым. Согласно отчёту CMS GDPR Enforcement Tracker за 2024/2025 годы, органы защиты данных 25 государств — членов ЕС наложили в общей сложности 270 штрафов на школы, университеты и другие образовательные учреждения на сумму более 29,3 млн евро. Наиболее частыми нарушениями являются обработка без достаточного правового основания (90 штрафов) и недостаточные технические и организационные меры защиты данных (76 штрафов) (CMS, 2025).

Наиболее значимым отдельным делом для высшего образования стало решение итальянского органа по защите данных в 2021 году в отношении Университета Боккони, который был оштрафован на 200 000 евро за использование программного обеспечения для дистанционного прокторинга Respondus. Орган установил, что университет не получил действительного согласия, не провёл оценку влияния на защиту данных, предоставил недостаточную прозрачность в отношении обработки данных и не имел законного основания для обработки биометрических данных — нарушения, которые в совокупности иллюстрируют проблемы соответствия, с которыми университеты сталкиваются при развёртывании образовательных технологий, связанных с наблюдением (Garante, 2021).

Однако правоприменение отражает лишь часть картины. Исследование 2024 года, проведённое консалтинговой компанией 7DOTS, обследовало 335 университетов и колледжей Великобритании и выявило 81 процент несоответствия стандартам GDPR. Лишь 32 процента внедрили платформу управления согласием, а из них 66 процентов были неправильно настроены (7DOTS, 2024). Эти результаты свидетельствуют о том, что дефицит соответствия в образовательном секторе обусловлен не столько сознательными нарушениями, сколько институциональной ограниченностью: университетам не хватает ресурсов, экспертизы и организационных структур для эффективного выполнения требований GDPR.

2.3 Конфиденциальность студентов за пределами аудитории

Проблемы конфиденциальности, стоящие перед университетами, выходят далеко за рамки системы управления обучением. Джуффрида и Холл (2023) демонстрируют, что интеграция технологий в высшее образование создаёт риски для конфиденциальности на корпоративном уровне — институциональные информационные системы, кампусные сети и административные платформы, — которые отличаются от педагогического контекста. Блэкмон и Мейджор (2023) в систематическом обзоре на основе PRISMA о перспективах студентов в отношении конфиденциальности в технологически обогащённых курсах обнаруживают значительные пробелы в осведомлённости: студенты часто не понимают, какие данные о них собираются, как они используются и какие у них есть права. Эти результаты в совокупности свидетельствуют о том, что акцент GDPR на информированном согласии сталкивается с практическим препятствием: информационная асимметрия между учреждениями и студентами настолько велика, что подлинное информированное согласие может быть недостижимо для многих видов обработки данных.

3. PIPL Китая: структура и последствия для образования

3.1 Архитектурный обзор

Закон Китая о защите персональной информации, действующий с 1 ноября 2021 года, устанавливает всеобъемлющую систему защиты персональных данных, которая структурно параллельна GDPR во многих отношениях — экстерриториальная сфера действия, индивидуальные права (доступ, исправление, удаление, переносимость), требования к оценке влияния на защиту данных и значительные штрафы за нарушения, — одновременно отражая принципиально иные философские позиции (Li and Chen, 2024; Lim and Oh, 2025).

PIPL определяет «персональную информацию» широко — как любую информацию, относящуюся к идентифицированному или идентифицируемому физическому лицу, зафиксированную электронными или иными средствами (Статья 4). Как и GDPR, он устанавливает законные основания для обработки: согласие, договорная необходимость, правовое обязательство, чрезвычайные ситуации в области общественного здравоохранения, репортажи в общественных интересах и обоснованная обработка общедоступной информации (Статья 13). Однако, в отличие от GDPR, PIPL не включает «законные интересы» как самостоятельное правовое основание, что делает согласие основным механизмом законной обработки в большинстве образовательных контекстов (IAPP, 2021; Zhu, 2022).

3.2 Усиленная защита несовершеннолетних

Обращение PIPL с несовершеннолетними представляет одно из наиболее существенных его расхождений с GDPR. Статья 28 классифицирует всю персональную информацию лиц в возрасте до 14 лет как «чувствительную персональную информацию» вне зависимости от её характера, требуя родительского согласия на обработку и отдельной оценки влияния на конфиденциальность. Чжан и Коллниг (2024) в исследовании, опубликованном в International Data Privacy Law, прослеживают пять законодательных изменений, постепенно усиливших защиту детей в китайском праве, одновременно документируя значительные расхождения между правовыми требованиями и реальной практикой в китайских приложениях.

Для университетов последствия косвенные, но значимые. Хотя большинство студентов университетов старше 14 лет, мероприятия по набору в средние школы, летние программы для несовершеннолетних и программы двойного зачисления включают обработку данных лиц, которые могут попадать в эту защищённую категорию. Подход PIPL, вероятно, строже GDPR в этой конкретной области: GDPR устанавливает возраст цифрового согласия в 16 лет (с правом государств-членов снизить его до 13), но автоматически не классифицирует все данные несовершеннолетних как чувствительные.

3.3 Локализация данных и трансграничная передача

Требования PIPL к трансграничной передаче данных являются одними из наиболее практически значимых его положений для международных университетов. Статья 38 устанавливает три механизма передачи персональной информации за пределы Китая: прохождение оценки безопасности, организуемой Администрацией киберпространства Китая (CAC); получение сертификации защиты персональной информации от специализированного учреждения; или заключение стандартного контракта, составленного CAC, с зарубежным получателем. В октябре 2025 года CAC и Государственное управление рыночного регулирования совместно издали Меры по сертификации трансграничной передачи персональной информации, вступившие в силу 1 января 2026 года, завершив формирование этой трёхкомпонентной системы (CMS Law-Now, 2025).

Практические последствия для международного академического сотрудничества весьма значительны. Как отмечает Офис главного юрисконсульта MIT (2022), PIPL применяется всякий раз, когда учреждение получает заявления о приёме от граждан Китая, проживающих в Китае, проводит рекрутинговые мероприятия на его территории, предлагает онлайн-курсы, доступные для резидентов Китая, проводит исследования с участием людей с использованием данных резидентов Китая или сотрудничает с китайскими академическими учреждениями, обменивающимися данными студентов.

4. Систематическое сравнение

4.1 Философские основания

Наиболее фундаментальное различие между GDPR и PIPL заключается не в их технических положениях, а в философских ориентациях. GDPR вырастает из традиции защиты индивидуальных прав, коренящейся в Европейской конвенции о правах человека и Хартии основных прав ЕС. Его центральное допущение состоит в том, что защита персональных данных является основным правом индивида, которое может быть ограничено лишь при определённых условиях и при соблюдении принципа пропорциональности. Ли и Чэнь (2024) в своём анализе «Брюссельского эффекта» на китайское законодательство о защите данных вводят модель «гравитационного манёвра»: хотя структурное влияние GDPR на PIPL очевидно, адаптация Китая отражает не конвергенцию, а стратегическое приспособление к его особому политическому, культурному и правовому контексту.

PIPL, напротив, отражает то, что Лим и О (2025) описывают как ориентацию на «государственный суверенитет». Закон одновременно служит нескольким целям: защите индивидуальной конфиденциальности, безусловно, но также обеспечению национальной безопасности, содействию цифровой экономике и поддержанию социальной стабильности. Правоприменение закона сосредоточено в CAC, который одновременно отвечает за цензуру в интернете, кибербезопасность и управление данными — сочетание, которое было бы недопустимо в рамках требования GDPR о независимости надзорных органов (Статья 52).

4.2 Структурные различия

Несколько структурных различий имеют прямые последствия для университетов:

Согласие. GDPR признаёт шесть законных оснований для обработки; отсутствие в PIPL основания «законных интересов» делает согласие более центральным, особенно для обработки образовательных данных, выходящей за рамки договорной необходимости. PIPL дополнительно требует отдельного согласия на трансграничную передачу (Статья 39) и на обработку чувствительной персональной информации (Статья 29).

Штрафы. GDPR предусматривает максимальные штрафы в размере 20 млн евро или 4 процентов мирового годового оборота, в зависимости от того, что больше. PIPL предусматривает максимальные штрафы в размере 50 млн юаней (приблизительно 6,4 млн евро) или 5 процентов годового дохода за предыдущий год за грубые нарушения, плюс потенциальную персональную ответственность ответственных лиц — характеристика, не имеющая прямого эквивалента в GDPR (IAPP, 2021; DataGuidance, 2022).

Правоприменение. Правоприменение GDPR децентрализовано между национальными органами защиты данных с координацией через Европейский совет по защите данных. Правоприменение PIPL централизовано под управлением CAC, с дополнительным секторальным надзором со стороны Министерства образования для образовательных учреждений. GDPR требует независимости надзорных органов; PIPL такого требования не предъявляет.

Трансграничная передача. GDPR разрешает передачу в страны с «адекватным» уровнем защиты данных (решения об адекватности) или посредством стандартных договорных оговорок (SCC) и обязательных корпоративных правил (BCR). PIPL предлагает оценку безопасности, стандартные контракты и сертификацию, но не использует механизм адекватности — не существует списка «безопасных» стран, в которые данные могут свободно передаваться (Fernandez-Novel Escobar, 2025).

Права субъектов данных. Обе системы предоставляют в целом схожие индивидуальные права: доступ, исправление, удаление и переносимость. PIPL дополнительно предоставляет ближайшим родственникам право осуществлять права умершего лица в отношении данных — положение с потенциальной значимостью для университетов, управляющих записями умерших студентов (DataGuidance, 2022).

4.3 Конвергенция и дивергенция

Несмотря на эти различия, две системы сходятся в важных аспектах. Обе требуют оценки влияния на защиту данных при обработке с высоким риском. Обе налагают обязательства прозрачности, требующие ясных и доступных уведомлений о конфиденциальности. Обе предусматривают переносимость данных. Обе устанавливают экстерриториальную сферу действия. И обе налагают требования об уведомлении о нарушении данных, хотя с различными сроками: 72 часа по GDPR (Статья 33), по сравнению с неуточнённым, но оперативным сроком по PIPL.

Возникающая картина — это конвергенция на уровне принципов с существенной дивергенцией на уровне реализации, философского обоснования и культуры правоприменения. Как отмечает Солов (2022), PIPL часто описывают как «китайский GDPR», однако эта характеристика затушёвывает важные структурные различия с прямыми практическими последствиями для организаций, работающих под обоими режимами.

5. Аналитика обучения: критический тестовый случай

Аналитика обучения представляет собой область, где напряжение между защитой данных и образовательными инновациями наиболее остро. Университеты всё чаще применяют системы прогностической аналитики, использующие исторические данные студентов для выявления учащихся с риском неуспеваемости, рекомендации вмешательств и персонализации учебных траекторий. Эти системы требуют обработки больших объёмов данных студентов — часто агрегированных из множественных источников и анализируемых с помощью алгоритмов машинного обучения — способами, которые ставят под сомнение фундаментальные принципы как GDPR, так и PIPL.

По GDPR системы аналитики обучения сталкиваются с проблемами на нескольких фронтах. Ограничение цели (Статья 5(1)(b)) требует, чтобы данные собирались для определённых, явных целей и не обрабатывались далее несовместимым образом. Но ценность аналитики обучения зачастую зависит именно от такого перепрофилирования. Минимизация данных (Статья 5(1)(c)) требует обработки лишь адекватных, релевантных и ограниченных необходимым данных, однако прогностические модели, как правило, работают лучше с большим количеством данных. Прозрачность (Статьи 13-14) требует информирования лиц об автоматизированном принятии решений, но сложность моделей машинного обучения зачастую делает осмысленное объяснение затруднительным.

По PIPL аналитика обучения сталкивается с дополнительными проблемами. Отсутствие основания «законных интересов» означает, что университеты должны, как правило, опираться на согласие для аналитики, выходящей за рамки непосредственного предоставления образовательных услуг. Требование отдельного согласия на обработку чувствительной информации (Статья 29) может быть задействовано аналитикой, которая обрабатывает данные об академической успеваемости способами, раскрывающими защищённые характеристики. А требования локализации данных означают, что аналитические платформы, управляемые международными провайдерами, должны ориентироваться в сложных правилах трансграничной передачи.

6. Оценивание и прокторинг на основе ИИ

Закон ЕС об ИИ (Регламент 2024/1689), вступивший в силу 1 августа 2024 года, добавляет дополнительный нормативный уровень для европейских университетов. Закон классифицирует ИИ-системы для образовательного оценивания и прокторинга как «высокорисковые» по Приложению III, Раздел 3, требуя оценки соответствия, человеческого контроля и технической документации. Статья 5(1)(f) запрещает системы распознавания эмоций в образовательных учреждениях.

Взаимодействие Закона об ИИ и GDPR создаёт многоуровневое обязательство по соответствию: университеты, развёртывающие инструменты оценивания на основе ИИ, должны удовлетворять как требованиям Закона об ИИ для высокорисковых систем, так и требованиям GDPR для законной обработки данных. Дело Университета Боккони демонстрирует последствия несоблюдения последнего; Закон об ИИ добавит дополнительные требования начиная с августа 2026 года.

Подход Китая к ИИ в образовательном оценивании отражает его секторальную нормативную философию. Вместо единого всеобъемлющего закона об ИИ Китай регулирует образовательный ИИ посредством комбинации Временных мер по управлению генеративными ИИ-сервисами 2023 года, положений PIPL об автоматизированном принятии решений и директив Министерства образования. Эта нормативная асимметрия имеет практические последствия для технологических компаний, разрабатывающих инструменты образовательного оценивания для обоих рынков: системы, разработанные для Китая, могут включать функции, запрещённые в ЕС, и наоборот.

7. Совместные программы ЕС—Китай: двойное соответствие на практике

Наиболее острые проблемы соответствия возникают в совместных академических программах ЕС—Китай, где данные студентов регулярно пересекают юрисдикционные границы. Европейский университет, предлагающий совместную степень с китайским партнёрским учреждением, должен передавать данные о зачислении, академические записи и, возможно, данные аналитики обучения между двумя учреждениями — передачи, которые должны одновременно соответствовать требованиям GDPR к международной передаче данных и положениям PIPL о трансграничной передаче.

Практические трудности значительны. Передача данных из ЕС в Китай по GDPR не может в настоящее время опираться на решение об адекватности (Европейская комиссия не признала Китай как обеспечивающий адекватную защиту данных). Стандартные договорные оговорки могут использоваться, но должны быть дополнены оценкой влияния передачи, учитывающей законы Китая о наблюдении и доступе правительства к данным — оценкой, выводы которой могут быть неблагоприятными. В обратном направлении передача по PIPL в Европу требует одного из трёх описанных выше механизмов: оценки безопасности CAC, стандартного контракта или сертификации.

Для университетов, вовлечённых в сотрудничество ЕС—Китай, мы определяем четыре практические стратегии управления двойным соответствием. Во-первых, минимизация данных в точке передачи: обмен лишь минимально необходимыми данными, с использованием анонимизированных или псевдонимизированных данных, где это возможно. Во-вторых, архитектурное разделение: ведение раздельных информационных систем для операций в ЕС и Китае с контролируемыми интерфейсами для необходимого обмена данными. В-третьих, договорные рамки: разработка двусторонних соглашений об обмене данными, явно учитывающих требования как GDPR, так и PIPL. В-четвёртых, развитие институционального потенциала: инвестирование в обучение персонала и экспертизу в области защиты данных, охватывающую обе нормативные системы.

8. Разрыв готовности

Несмотря на значимость этих нормативных рамок, эмпирические данные свидетельствуют о том, что университеты в обеих юрисдикциях сталкиваются со значительным разрывом готовности. В европейском контексте выводы 7DOTS (2024) о том, что 81 процент университетов Великобритании не соответствуют стандартам GDPR, согласуются с данными CMS Enforcement Tracker, документирующими устойчивые нарушения в 25 государствах-членах.

В китайском контексте разрыв готовности проявляется иначе. Хотя PIPL действует с ноября 2021 года, правоприменение в секторе образования было менее заметным, чем в технологическом и финансовом секторах. Акцент делался на платформенных компаниях, обрабатывающих данные в масштабе, а не на отдельных образовательных учреждениях. Однако Положения об управлении безопасностью сетевых данных (вступили в силу в январе 2025 года) и Меры по сертификации трансграничной передачи (вступили в силу в январе 2026 года) сигнализируют о возрастающем нормативном внимании к практикам управления данными во всех секторах, включая образование.

9. Рекомендации для университетов

На основе нашего сравнительного анализа мы предлагаем семь рекомендаций для университетов, стремящихся ориентироваться в пересекающихся требованиях GDPR и PIPL:

Во-первых, провести всестороннее картирование данных, охватывающее все виды обработки персональных данных, их правовые основания по обоим режимам и все трансграничные потоки данных.

Во-вторых, создать единую систему управления данными, учитывающую требования как GDPR, так и PIPL. Система, разработанная для соответствия более строгому из двух требований в каждой области, как правило, обеспечит соответствие обоим.

В-третьих, принять модель «согласие-плюс» для аналитики обучения, строя механизмы согласия, соответствующие стандартам PIPL, которые, как правило, превосходят требования GDPR.

В-четвёртых, внедрить принцип конфиденциальности по замыслу в закупки и разработку образовательных технологий.

В-пятых, инвестировать в институциональный потенциал, назначив специалистов по защите данных с конкретной экспертизой в области образовательных данных и международных потоков данных.

В-шестых, разработать двусторонние соглашения об обмене данными для совместных программ с китайскими (или европейскими) партнёрскими учреждениями.

В-седьмых, активно отслеживать нормативные изменения. Обе системы быстро эволюционируют. Университеты, рассматривающие защиту данных как разовое мероприятие по соответствию, а не как постоянную управленческую функцию, неизбежно отстанут.

10. Заключение

Сравнение GDPR и PIPL в образовательном контексте выявляет парадокс: два наиболее всеобъемлющих в мире режима защиты данных, оба заявляющие о защите индивидов от злоупотреблений их персональными данными, расходятся настолько фундаментально в своих философских предпосылках, что соответствие одному не гарантирует соответствия другому. Акцент GDPR на индивидуальной автономии, независимом надзоре и ограничении цели отражает европейские демократические традиции; акцент PIPL на государственном суверенитете, централизованном правоприменении и национальной безопасности отражает самобытную управленческую модель Китая. Ни одна система не продемонстрировала адекватной защиты данных на практике.

Для университетов практическая задача заключается в том, чтобы ориентироваться в этих пересекающихся и порой противоречащих требованиях, сохраняя международное сотрудничество, необходимое для современного высшего образования. Защита данных студентов в конечном счёте связана с доверием: студенты должны верить, что их университеты будут обращаться с их персональной информацией ответственно. Когда университеты не оправдывают этих ожиданий, они подрывают доверие, лежащее в основе образовательных отношений.

Мы утверждали, что ни европейский, ни китайский подход сам по себе не предоставляет адекватной модели. Синтез, сочетающий европейские правозащитные принципы с китайской эффективностью регулирования, остаётся наиболее перспективным путём вперёд. Рекомендации, предложенные в данной статье, представляют собой начальный вклад в этот синтез, основанный на конкретных проблемах защиты данных, с которыми университеты сталкиваются в эпоху цифрового образования.

Благодарности

Данное исследование выполнено в рамках Центра передового опыта Жана Монне «EUSC-DEC» (Грант ЕС 101126782, 2023–2026).

Литература

7DOTS. (2024). Report: 81% of Universities at Risk of Fines Due to Failure to Safeguard Student Data.

CMS Law. (2025). GDPR Enforcement Tracker Report 2024/2025: Public Sector and Education.

CMS Law-Now. (2025). China issues Measures for the Certification of the Cross-Border Transfer of Personal Information.

DataGuidance. (2022). Comparing Privacy Laws: GDPR v. PIPL.

European Parliament and Council. (2024). Regulation (EU) 2024/1689 (Artificial Intelligence Act).

Fernandez-Novel Escobar, E. (2025). How do the European Union's GDPR and China's PIPL regulate cross-border data flows?

Garante per la protezione dei dati personali. (2021). Decision 9703988 — Fine against Università Commerciale Luigi Bocconi.

IAPP. (2021). Analyzing China's PIPL and how it compares to the EU's GDPR.

Li, W. & Chen, J. (2024). From Brussels Effect to Gravity Assists. Computer Law and Security Review, 54, 105994.

Lim, S. & Oh, J. (2025). Navigating Privacy: A Global Comparative Analysis of Data Protection Laws.

Liu, Q. & Khalil, M. (2023). Understanding privacy and data protection issues in learning analytics. British Journal of Educational Technology, 54(6), 1466–1485.

MIT Office of General Counsel. (2022). China and the PIPL.

Prinsloo, P., Slade, S. & Khalil, M. (2022). The answer is (not only) technological. British Journal of Educational Technology, 53(4), 876–893.

Solove, D. J. (2022). The Personal Information Protection Law: China's Version of the GDPR?

Xue, Y., Chinapah, V., & Zhu, C. (2025). A Comparative Analysis of AI Privacy Concerns in Higher Education. Education Sciences, 15(6), 650.

Zhang, L. & Kollnig, K. (2024). Theory and practice: the protection of children's personal information in China. International Data Privacy Law, 14(1), 37–52.

Zhu, J. (2022). The Personal Information Protection Law: China's Version of the GDPR? Columbia Journal of Transnational Law.


Retrieved from "https://bou.de/u/index.php?title=Rethinking_Higher_Education/ru/Chapter_3&oldid=176000"