大数据时代大学生个人信息保护分析
——以251 份调查问卷为文本的实证分析
2020-02-25方锦浩
●方锦浩
(中山大学新华学院法学院,广东 东莞523133)
一、大学生个人信息保护现状
(一)调研情况
本次调研通过调查问卷的形式展开,以此了解当代大学生对个人信息保护了解程度的现状。问卷共设32个问题,内容涵盖大学生个人信息防范程度、泄露情况、泄露原因与保护建议等。本次调查共回收251份有效问卷。其中男生107人(42.63%),女生144人(57.37%),比例相近。受访者年龄处于18—22岁者231人(91.64%),其中哲法文史等文科专业120人(47.81%),理工经济类学科(20.31%)、医学专业(4.78%)、其他(27.10%)。受访群体可代表一般大学生,具备一定的广泛性和客观性。
(二)大学生个人信息保护现状
个人信息受侵害的过程一般分三步:信息泄露、非法处理和非法使用。大学生个人信息保护最为可控的一环便是控制信息的去向,避免信息非法泄露。如今大学生个人信息泄露事件频发,大学生群体认为个人信息泄露的最主要的三个原因是“网络监管不力”(89.64%)、“网络运营者为了牟利售卖个人信息”(88.05%)、“相关法律法规不够完善”(81.67%)。此外他们对当代网络环境安全的信任度也不高,90.84%的受访者不完全信任当代网络环境,虽然大体环境良好,但是仍需时时警惕。同时有73.71%的受访者认为“社会对此问题不够重视”也是个人信息泄露的重要原因。这些结果表明大学生个人信息保护是需要多方重视并且共同努力的,而调研发现,作为信息主体的大学生,当下已经对个人信息保护有了一定的重视。
1.大学生具备基本的个人信息安全防范意识
调研结果表明,近八成受访大学生在日常生活中是具有一定程度的个人信息安全防范意识的。问卷中设计了若干个大学生日常生活经常遇到的可能涉及个人信息泄露的相关问题,如:“你是否会在信任度不高的小程序填写个人真实信息”“你是否会扫描来历不明的带奖励性质的二维码”“你是否会在社交平台发布消息时主动模糊其中可能涵盖的个人信息”等。结果统计分析显示,在遇到有可能涉及个人信息泄露的事件时,56.09%的受访者选择“总是”倾向于做出保护个人信息的行为,23.90%受访者选择“有时”会做出倾向于保护个人信息的行为。此外,对于“是否同意有偿转让个人信息给他人从而使自己获益”这一问题,分别有42%和32%的受访大学生表示“极不同意”和“不同意”有偿转让个人信息给他人从而使自己获益。这些数据都表明近八成受访大学生是具有基本的个人信息保护意识。
2.不同场合下大学生个人信息安全防范意识程度不同
调研发现,在不同的场合下,大学生个人信息安全防范程度高低不同。在问及是否会扫描传单或来历不明的二维码时,63.34%大学生表示几乎不会扫描;在问及是否会在朋友圈的趣味小游戏(星座、算命等小程序)填写真实信息时,80.29%大学生表示不会填写真实的个人信息;然而在大型社交或购物平台注册时,则有82.07%的大学生表示会使用个人真实信息。此外,涉及个人身体健康信息安全时,问及是否同意为了医学进步而讨论个人病例,仅21.91%的大学生表示不同意。这些数据可以看出,大学生是否愿意自己的个人信息被收集、个人信息安全防范意识强弱是基于个体对信息收集方的一定信任判断的,大学生更倾向在大型的有保障的平台提供个人真实信息,而对日常接触甚少的平台则会更审慎地决定是否使用真实的个人信息。有学者认为青少年信息披露感知风险水平决定他们的应对方式,感知到信息披露带来的风险感知程度越高对隐私的关注程度越高,而信息交换带来的利益感知程度越高,其对隐私的关注程度也就越低,而对隐私的关注水平似乎成为隐私保护行为的重要动机。[1]这种大学生在要求提供个人信息时对信息收集方的初步判断,无论评判结果本身是否客观准确,一定程度上判断本身也侧面反映了大学生群体有一定的个人信息安全防范意识。
3.个人信息泄露对大部分大学生造成的影响较小
尽管大多数大学生有一定的个人信息安全防范意识,然而仍是避免不了个人信息被泄露。调研发现,大学生因个人信息泄露所造成的不良影响往往是后知后觉的,只有收到“骚扰短信和电话”后才得知自己个人信息泄露。庆幸的是,超八成受访者表示因个人信息泄露而造成的生活困扰和不良影响大多局限在垃圾短信骚扰(82.87%)、培训机构的电话骚扰(62.55%)、冒充银行、网络客服人员的诈骗电话(51%)等方面,这些事件尚未对受访大学生群体造成大损失。大学生表示遭受个人信息泄露相关的“其他重大损失”者不足1%。
4.大学生应对个人信息泄露影响的措施多样
为进一步了解大学生遇到因个人信息泄露而造成的不良事件后受访者的应对态度和措施,笔者设置了相关问题。结果显示大学生应对个人信息泄露影响的措施多样,其中81.67%的大学生表示会将骚扰来电或信息的电话号码加入黑名单,73.71%的受访者表示会更加注重个人信息防护,55.78%的受访者表示会选择不理会此类骚扰电话或短信,以免上当受骗,20.72%的受访者选择回应电话或信息警告骚扰者,25.50%的受访大学生会选择找客服中心解决,14.34%的受访大学生表示必要时选择报警维权。大学生对于个人信息泄露影响的措施多样也是大学生群体尚未有大比例人群造成巨大损失的重要原因。
二、大数据时代大学生个人信息保护之不足
(一)个人信息安全保护法律体系尚不完善
在我国,公民的个人信息保护法律较为分散,相互之间未能起到相辅相成的作用,各项法律尚难以构成完整的体系。目前主要形成了以《刑法》和《民法总则》为基石,以《网络安全法》和《消费者权益保护法》等法律为辅的境况,[2]通过几项法律共同制约不法行为,形成了我国对公民个人信息保护的基本结构框架。通过对比条例可知,目前我国的个人信息安全保护法较为零散,主要由法律、行政法规及各类规范性文件组成,各条例间有所重叠,其亟待解决的问题和矛盾集中于以下几个方面:一是个人信息概念尚未明确厘清,个人信息安全保护的范畴及个人信息权的属性尚未规定明确。二是尚未具体明确信息收集企业对信息主体个人信息安全保护的义务和责任。三是对于侵权的类型和程度尚未有系统而具体分级的惩罚指示。四是目前尚无特设的专门管理个人信息安全的执法部门,多头执法的现状导致个人信息侵权纠纷出现时难以调和。个人信息保护法立法工作进程有待快速推进。
(二)大数据时代大学生个人信息保护范畴被拓宽
大数据时代下个人信息的含义和范围较传统意义上的个人信息有很大不同,大学生个人信息范畴难以界定,同时因为互联网技术的发展,可承载大学生个人信息的载体类型和数量激增导致可能泄露的途径广泛,个人信息保护范畴被拓宽。
首先,大数据是一种规模非常大的,在获取、存储、管理、分析方面大大超出了传统数据库软件工具能力范围的数据集合。[3]大数据下看似无关联的信息,在云计算等信息技术超强统筹分析能力下,可大程度地还原个体信息,即本不具有“可识别性”的信息,经过整合后形成可识别特定个体的个人信息,这使得大数据时代下个人信息的含义和范畴大大拓宽,表现为个人信息的范围内容增大。对大学生而言,以往个人信息可能涵盖以下内容:个人身份信息、家庭状况、工作情况、财产收支、健康指数、学籍档案、奖惩记录等,而如今助学贷款信息、消费偏好、即时位置信息、网络浏览痕迹、聊天内容等都可能成为不法分子非法利用的内容之一,同时使个人信息保护的范畴也难以界定。
其次,由于个人信息概念和含义的拓宽,承载个人信息的载体和数量激增导致大学生个人信息可能泄露的途径广泛。承载信息的载体类型和数量增多,信息流通的渠道大大增加,与此同时,个人信息泄露的途径也就变得更加广泛,保护工作也因此难度增大。调研发现59.36%的学生经常通过网络(包括电脑和手机等移动终端)获取、传递和共享信息。大学生日常生活中经常接触到各式社交网络平台,还有各类应用APP,如网盘类、网络购物类、外卖类、网约车类、笔记类等,这些软件的使用均需要“个人信息”注册作为使用其服务的前提,此时个人信息可能通过这些软件漏洞被非法收集利用,运用这些服务软件的人群也能获取一定程度上的他人信息,如朋友圈分享的定位、微博页面个人介绍或消息定位,这些看似碎杂的信息也可被有心人士利用。另外,高校大学生信息泄露也是一个不可忽视的领域。学校为方便管理常常需要每一名学生周全而详细的个人信息,倘若信息系统存在漏洞或遭受黑客攻击,抑或是信息掌握者利欲熏心倒卖学生个人信息,则存在大量信息泄露的可能。有学者认为倒卖个人信息的源头主要是掌握个人信息的机构。[4]2018年江苏某大学就曾经发生大学生个人信息泄露事件,学生的个人信息被企业非法利用。[5]再者在校大学生经常需要参与学校各式社会活动如参与问卷调查、参与公益活动、招聘会、讲座等,这些活动的报名往往需要填写真实的个人信息。同时,个人信息地下交易等暗网屡禁不止,其常绕过安全系统,难以检测,也难以一网打尽,有的大学生甚至参与校园贷“裸贷”等,其私密敏感的个人信息也可能因此被“明码标价”,给身心造成无穷危害。如今信息传播媒介广、传播速度快,一旦信息泄露,有可能以几倍数的速度增长,且传播难以即时切断,[6]这些都给个人信息保护工作带来困难。
(三)大学生个人信息安全防护和维权意识不强
《Privacy online:up,close and personal》一文认为大数据时代保障个人资料私隐的前提是资料当事人亲身参与保护其资料,[7]这也强调了个人信息安全防范意识在个人信息安全保护中的重要作用。调研结果表明虽近80%的受访大学生有一定的个人信息安全防范意识,然而仍有约20%的受访者在遇到日常有可能涉及个人信息泄露的事件时,“几乎没有”注重个人信息防护,此外有将近10%的受访者是“非常同意”或“同意”有偿转让个人信息从而使自己获益。将这个比例放到大的人群基数上,是一个亟待注意的问题。例如,有的大学生在使用笔记类的APP时,会将个人的银行卡号码、密码等私密信息记录在上,而安全保障的缺失如多数未设置账户登录和文件加密的措施可出现个人信息安全问题;[8]有的大学生在多个社交平台上登录的密码均为一致,导致其中一个密码泄露,多个平台的信息一并泄露。在调研结果中,47.41%的受访者在注册登记或者填写某些个人信息时,几乎不会仔细阅读相关的隐私条款、隐私政策;又如在社交平台上有17.53%的大学生在分享生活状态时没有将有关个人信息进行模糊化处理的意识;16.73%的大学生在收到快递盒子后并无意识将上面的个人信息撕毁……这些种种日常的“不注意”都给个人信息安全保护增加一定风险。
此外笔者发现大学生个人信息安全维权意识不够高。调研结果表明虽然大学生应对个人信息泄露影响的措施多样,但多以回避行为应对,仅有不到三成的受访者表示会采取维权相关的行为。采取不理会的原因可能与骚扰电话或短信带来的损失较小相关,然而也可能是学生群体的维权意识不足或是无从得知维权途径和方式。在探讨大学生个人信息保护措施时,大部分受访大学生强调了国家和政府在保护个人信息中的重要地位,但有12.86%和61.17%的受访者表示“非常不了解”和“不了解”其中相关的法律法规,只有10.16%的受访者表示“有所了解”。这项数据也从另一方面表明大学生的维权意识不高。
(四)大学生对个人信息泄露“后知后觉”
调研发现,大学生往往是在受到短信、电话骚扰,网络账号密码被盗取等不良影响之后才意识到自己的个人信息可能泄露并遭非法使用。这种对个人信息泄露的后知后觉也是大数据时代保护个人信息安全的难题之一。伤害结果已经发生的情况下才能知道伤害本身的存在,则难以从源头切断伤害,甚至对大学生而言很难阻止侵害的进一步发生。这是因为对于非专业出身、无多年丰富研究信息技术经验的普通群体(包括大学生)而言,其个人信息如何被收集、如何被处理整合分析的过程并不透明也难以做到完全透明,信息主体对于个人信息数据是几乎无法把控,信息主体所能掌控的仅仅是部分信息提交与否的权利,然而信息收集平台良莠不齐,对于大学生而言只能根据社会评价做出基础判断,很难辨别一个高比例人群使用的平台究竟是否存在信息泄露的风险。同时信息主体个人信息被收集之后的流通去向和渠道的不可知与不可控,使信息处理和使用者难以做到每个步骤均得到信息主体的同意。这种信息的不对称,,这使得人们在利益已经受到损害之后才意识到个人信息可能遭泄露与非法使用。对此国外学者Itzik Mazeh在《A personal data store approach for recommender systems: enhancing privacy without sacrificing accuracy》一文提出了一种新的系统构架,允许推荐系统利用收集到的关于用户的丰富数据来生成更准确的推荐,同时允许用户管理和控制自己的数据。[9]这可能是解决该难题的一种思路和方向。
(五)大数据时代查处个人信息相关犯罪工作困难
大数据时代,个人信息保护范畴的扩大、泄漏途径的广泛导致查处个人信息相关犯罪工作困难。被侵权人由于存在对个人信息泄露后知后觉的现象,导致事后举证或追溯泄露源工作困难。在网络个人信息侵权相关案件中,侵权人身份与其所在地点相对于其他案件不易追踪和确定,被侵权人往往不是一个个体而是一个群体,但被侵权人群具有一定的时间和空间分散性,被侵权个体之间的相似性确立往往需要跨立一定的时间跨度及较大的人力和来整合比对,这些情况均增加了实际的立案调查追踪工作难度,做到一网打尽更是难上加难。
三、大数据时代大学生个人信息保护的完善建议
(一)国家层面
1.建立系统的个人信息安全保护法
要从法律的角度讨论大学生群体乃至每一个公民的个人信息保护,做到有法可依是根本。相比于分散的立法模式,系统的个人信息安全保护法更具有权威和强制性,更能平衡当下飞速的个人信息工业发展和信息主体信息安全保护。立法模式建议兼顾德国统一立法模式与美国的行业自律模式。[10]个人信息安全保护法应确立个人信息权的性质和宪法地位,将分散于各法的细则归类综合再细化,使个人信息侵权案件再次发生时信息主体方能系统地从该法中找到维权的法律支撑点;同时明确个人信息保护范畴、信息收集方与信息主体需遵守的有关权利和义务等,并优化司法救济途径。[11]在数字化时代下,大学生群体对于新技术的接受和学习能力较其他群体强,是网络技术的高频使用人群,因此该人群可能面临的个人信息侵权案件概率更大。包小云在《大学生网购中个人信息安全问题的调查报告》指出大学生已经成为推动网络购物的一大主力军,而现有的电子商务法对个人信息保护尚不能形成完整的体系。[12]根据其特殊性,立法者有必要为大学生设定相应的保护措施。
2.成立个人信息安全监管部门
目前我国信息行业的监管部门众多,监管内容有所重叠又有所纰漏,在加大了不必要成本的同时还增加了监管工作的繁琐。加拿大为了保护个人信息安全,根据《隐私法》和《个人信息保护与电子文档》的规定成立了各级独立于政府、直接向国会汇报工作的隐私专员办公室,[13]对此我国也可参照这种模式,在中央及各级政府成立专门的个人信息安全监管部门,专门负责大数据时代下与个人信息相关的工作。中央的个人信息安全部门负责统筹规划,协调各地方级个人信息安全部门的工作,遵照法律法规制定相应的个人信息监管工作细则;地方各级个人信息安全部门则负责该区域个人信息安全监管,定期向上级汇报该区域监管工作结果,并受中央个人信息安全调配和管理。如此分级管理能有效促使信息收集和使用方在法律允许范围内使用个人信息并尽可能达到经济社会效益最大化,能切实有效地保护包括大学生群体在内的个人信息安全。
(二)企业层面
1.定期检测评估信息系统
企业通过对大数据的处理,能够更加清晰了解到顾客的消费习惯与消费需求。将此类信息整合归类分析,可以预估未来公司发展的重心在何处。因此而制定的经营策略不仅有利于公司的发展,更有利于提高自身的核心竞争力。[14]然而信息收集使用和信息保护需要齐头并进才能充分发挥个人信息的价值。因此各信息企业内部应成立企业信息数据监管部门,定期检测评估该企业信息系统,并定期上报结果和改进建议。各信息企业个人信息监管部门应有专业的技术人员主动进行个人信息安全风险评估,遇到高风险事件时应迅速采取相应的安全措施,预防风险发生,同时应加固信息系统,在无数次检测评估采取预防措施中提高应对风险的能力。
2.在产品与服务中注入个人信息安全保护理念
在信息企业设计产品和服务时,应当充分考虑到用户的个人信息安全。在程序设计或服务规划阶段,就应将个人信息安全保护的理念注入其中。[15]如面向大学生群体的产品或服务需要收集个人信息作为使用前提时,应有明显的同意框架,同时列出产品的隐私条例政策,该隐私条例应当一改以往的复杂和专业化,应明确告知用户收集个人信息的原因、信息可能的去向以及可能面临的风险。此外在产品设计时利用更新的技术或更周全的防漏洞系统,在产品面世前应有充分的模拟攻击测试以确保其安全性。并且要注意商品在分享推销的过程中,顾客是否能接受这样的方式,同样也需要为顾客提供建议和拒绝此类推荐方式的机制。[16]这样给包括大学生在内的受众有及时退出的选择,在一定程度上可作为大学生个人信息泄露后防止进一步损害形成的保护机制。
3.行业自律
参照美国对待个人信息安全的政策,我国也可建立有效的行业自律模式。信息企业主动加入该行业自律协会,而协会应向企业宣传个人信息开发利用和保护之间相辅相成、互相促进的重要性,同时协会内各企业之间可共享优质信息保护技术来增强本企业信息收集储存的安全性,此外协会应按法律要求制定个人信息收集和利用的基本原则,以允许或禁止等字眼规定信息处理的底线,并且对信息企业起到一定的监管作用。
(三)学校层面
1.将个人信息安全意识融入教学计划
学校作为大学生群体日常生活集中的区域,若学校有将个人信息安全意识融入教学计划的意识,可在一定程度上促进大学生个人信息保护。首先,学校可将从事信息技术研究、信息相关法学研究的优秀个人或群体纳进校教育团队,为大学生的信息保护教育提供一定的师资力量。其次,学校可通过设立选修课程,教师通过一学期的课时系统地向学生讲解个人信息的发展和保护知识,并结合具体案例分析。再次,学校还可定期邀请校内外专业人员举办个人信息安全讲座,扩大学生学习个人信息安全知识的接受面。最后,通过举办个人信息安全维权案例再现模拟法庭比赛也可让学生在准备比赛的过程中,汲取个人信息安全相关的知识。这些种种举措都能使在校大学生在耳濡目染之下了解并学习个人信息安全相关知识。
2.明确学校学生信息采集部门及职责
学校为了系统而周全地管理在校大学生的学习和工作,常常需要收集学生的个人信息。若这些信息遭非法使用,对于大学生个人信息安全保护也是一种重大隐患。对此,学校应成立专门的学生信息采集管理部门。加拿大多伦多大学不同院系都设有专门的信息自由与隐私保护办公室,可参考其做法,明确学校信息采集管理部门的职责,规范学生信息采集过程,明确学生信息使用和管理时限,明确信息流向,定期报告网络安全情况,负责学生信息的管理和保护。此外,学校应定期组织该部门的信息收集或管理人员进行集体培训,抑或是通过进修的方式提高他们的信息工作和管理素养。再者,学校应优化本校学生信息处理系统,纳入技术人员定期进行系统更新和漏洞修复,加强防火墙等系统,避免学生信息泄露。
(四)大学生层面
1.提高个人信息安全防范意识
大学生群体应从自身做起,从源头尽可能避免自己个人信息泄露。从小事做起,一步步提高自己个人信息安全的防范意识和维权意识。在使用网络时要注重个人信息保护,可使用电脑杀毒软件定期检测智能设备系统安全程度,在使用社交平台时,避免使用同一个密码,发布消息时尽可能隐蔽处理其中蕴含的自己和他人的个人信息,在使用APP时,不轻信需要个人信息做交换才能使用的服务,即使需要提供部分个人信息才能使用某项服务,也应在提交前确定相关的隐私条款和保护政策,同时尽可能使用大规模人群在使用的平台,不轻信来历不明的软件等等。
2.树立维权意识
大学生要树立维权意识,只有懂得保护自己,勇敢维护自己应有的权利,才能在预防侵权事件发生的同时降低被侵权所带来的利益损失。大学生平日应积极学习并明确与个人信息保护相关的法律法规,关注社会相关事件,留意维权部门和维权方式。此外,大学生还可多参与学校、社会、政府举办的个人信息安全讲座,在校生若有教学条件还可选听相关课程。作为新时代青年,一定要知道在个人信息受侵犯后,可以通过哪些方式维护自身利益,及时勇敢地通过向学校老师救助、法律手段等来维护自身权利,做到知法懂法,守法用法。
四、结语
随着数据网络智能化高效信息处理技术的兴起与信息设备的应用,大学生的个人信息成为针对大学生消费的商家发展的源动力。但大学生也面临着被非法泄露和使用其个人信息的危险。通过针对大学生个人信息保护的研究有利于让大学生增强个人信息保护意识和维权意识,减少因个人信息泄露而造成损失的同时,一定程度上保障大学生人格权。对于社会而言,做好大学生乃至每个公民的个人信息保护能促进时代发展,平衡个人信息的利用和保护,充分发挥个人信息所蕴含的价值。对于国家而言,针对大学生的个人信息保护措施研究能为个人信息保护立法提供思路,推进法治建设。加强大学生个人信息的保护,使其在法律允许的范围内合理运用和自由流通,有助于推动国家大学生信息工程的建设,维护社会的长治久安。