尹馨曼 叶丽丽

一、引言

互联网的发展和大数据时代的到来影响了人们的社交方式，以网络为媒介的社交行为的简易性和便捷性吸引了数量庞大的社交网络用户。然而，随着网络社交活动产生的数据被大量收集与传播，对这些个人信息的不当使用和处理也将违法犯罪扩展到了网络空间,以电信诈骗为代表频发的社交网络受害案件引发了各界关注，网络安全和个人信息保护已成为重要议题。

2021年11月正式实施的《个人信息保护法》再次引发了各界对于个人信息保护的讨论。以往的研究已经从权利与义务的角度对网络服务提供者在获取和保存公民个人信息时所应承担的义务与侵权责任或个人信息侵权案件中受害者的救济进行阐述[1][2]，这些研究关注的主体主要是信息处理者和主管部门。但是，站在信息使用者的角度，犯罪学领域认为被害人的人口统计学特征、参与社会活动的行为习惯等因素同样也会对犯罪被害经历影响。受此启发，本文在先前研究的基础上，从被害人的角度出发,以日常生活理论为理论框架，通过对社交用户个人信息的使用行为分析对应网络被害经历的成因，验证二者之间的相关关系，并为预防和遏制社交网络中存在的违法犯罪行为提供合理建议。

二、个人信息网络被害行为概述

（一）个人信息网络被害的现象

近年来，个人信息网络被害总体呈现象普遍、危害严重的特点。首先，遭受个人信息网络被害的使用者非常普遍，据《第47次中国互联网络发展状况统计报告》[3]，截至2020年12月，我国网民规模已经达到9.89亿，其中，有近40%的网民在过去半年遭遇过网络安全问题，以个人信息泄露，网络诈骗，设备中病毒或木马，账号或密码被盗用为主要受害类型。中国消费者协会发布的《APP个人信息泄露情况调查报告》也显示了类似的结果[4]：超过百分之六十的受访者表示自己的个人信息被泄露、曾收到推销电话或短信、曾接到诈骗电话或遭受来自垃圾邮件的骚扰。其次，因个人信息泄露而引发的犯罪对使用者带来了严重的人身损失和精神伤害。一项针对在校大学生的关于侵害个人信息犯罪的被害调查结果表明60%以上的受访者因个人信息泄露而遭受精神损害，而因个人信息泄露遭受物质损失和人身伤害的受访者则占到了20%[5]。此外，社交网络受害行为的泛滥还会打击受害者参与网络社交的积极性[6]。

（二）个人信息网络被害研究概念的界定

由于我国当前对与个人信息相关的网络受害行为的惩治和预防尚不成熟，先前研究对基于社交网络的犯罪行为和受害行为的研究也以参考西方主流观点为主[7]，因此本文在参考西方学者对基于社交网络的加害行为的分类和定义的基础上，结合我国自身的网络被害现象，选取“垃圾信息”、“盗号”和“网络暴力”为主要研究对象。其中，社交用户频繁收取垃圾信息是一种网络骚扰被害，具体表现为在社交网络上频繁接收到不想要信息如推销广告，钓鱼链接等。盗号指的是用户的社交帐号被盗取或改密的现象。当前司法实践从虚拟财产的保护角度对盗号行为进行规制，但在具体罪名的适用上有所不同，侵犯通信自由罪、盗窃罪、计算机类犯罪为主要罪名。然而实践中对盗号行为的处置与被盗取的社交帐号的稀缺性，数量和财产价值有关，日常生活中大多数被盗号的受害者并不寻求公权力机关的帮助。网络暴力属于网络欺凌的范畴，指的是受害者在网络虚拟空间中遭受的辱骂、贬损等歧视性语言，以及人肉搜索等被曝光隐私的行为，如社交网络中的恶意评论。

三、个人信息网络被害分析的理论框架

日常活动理论（routine activity theory）最早由美国学者Cohen和Felson提出用来解释机会（opportunity）作为犯罪发生的重要条件，是犯罪实证主义学派重要的理论之一[8]。该理论阐述了有犯罪动机的犯罪人（motivated offender）、合适的犯罪目标（suitable target）和缺乏有效的防护（lack of capable guardian）这三要素为犯罪行为的发生提供的机会。随着在不同的犯罪类型和场景下得到检验和支持，这三要素也开始被调整并用来解释以受害人为主体的犯罪发生的可能性；即当受害人暴露给有犯罪动机的犯罪人、成为合适的犯罪目标并缺乏有效的防护时，就会出现被害的机会。近年来，日常活动理论对中国背景下传统被害行为的解释力得到了不断的证实。例如，张乐宁和罗瑞芳通过一项对天津市居民开展的被害调查研究发现，受害者的防御力、吸引力和暴露在盗窃空间的可能性都与城市居民自行车的被盗风险有显著关系[9]；张小华和项宗右从一项关于中学生校园欺凌的调查数据中，总结出日常活动理论可以用来解释校园欺凌的被害行为[10]；王薇和许博洋通过对中国青少年性侵被害的分析发现，青少年的日常风险行为会增加其性侵被害的可能性[11]。

发展之初，日常活动理论主要用于解释实体空间下的犯罪被害机会的获得,但其在虚拟场域中的解释力也逐渐被新型非接触犯罪被害行为证实。Reyns和其同事认为尽管网络空间的虚拟性似乎不能用来解释日常活动理论这类基于地点的理论，但实际上，网络犯罪并不需要犯罪人与受害人同时交互在一个物理空间。相反，网络的代理作用可以解决场域的交融性，并允许犯罪人与受害人的交互产生滞后[12]。基于这一观点，日常活动理论在网络空间的适用性已经在网络诈骗、恶意软件感染、身份盗窃和网络骚扰等犯罪受害行为中得到证实。作为网络犯罪的一部分，与个人信息有关的网络犯罪在现有的研究中已经被作为因变量来测定日常活动对其的影响（如身份盗窃和骚扰等），但还未有专门的研究对与特定的个人信息有关的日常活动理论自变量要素进行梳理和分析。鉴于此，为研究社交网络中涉及个人信息的受害经历与日常活动理论的关系，本文基于日常活动理论的理论框架及其在网络犯罪中的特点，提出以下假设：

假设1：如果社交网络用户在网络活动中将个人信息暴露给有犯罪动机的犯罪人，其将更有可能成为个人信息网络被害者。

假设2：如果社交网络用户在网络活动中使个人信息更容易被获取，其将更有可能成为个人信息网络被害者。

假设3：如果社交网络用户在网络活动中的个人信息得到防护，其将更不可能成为个人信息网络被害者。

本文的目的是为了检验日常活动理论是否能够解释社交网络用户与个人信息相关的网络受害行为，通过分析影响社交网络用户被害的个人信息使用行为，本文主要填充了两个研究空白。第一，不同于现有文献对于中国传统犯罪类型的分析，本文主要关注的是网络背景下与新型犯罪相关的一些轻微被害行为；第二，以往的文献已经包含了一些网络用户的个人信息使用习惯，在此基础上，本文对这些测量方法进行了整合分类，形成专门针对在线个人信息使用活动的分析模型，有助于充分地了解影响网络被害的信息使用行为。

四、研究方法

（一）数据收集与抽样方法

本研究使用的数据来自一项面向社交网络用户开展的在线被害调查。2021年4月，笔者借助“问卷星平台”设计了一份包含60个题目的在线被害调查问卷。为保证作答者为社交网络的使用者，研究通过滚雪球的方式在微信、QQ等群聊平台中发放了问卷。相较于概率抽样方法，滚雪球抽样更加方便易行；此外，由于调查形式为在线问卷，基于熟人展开的滚雪球发放使得作答样本更加可靠。最终，该调查收集了来自澳门、广东、江苏、云南、湖南、湖北、安徽、北京和河南等地一共387份问卷，经过设定最低作答时间等条件的筛选，共获得有效问卷353份，有效率为91.21%。

（二）变量测量

1.因变量：网络被害经历

通过整理以往文献中与个人信息使用习惯相关的网络被害行为，并参考Reyns等人的提问方法[13]，本文将3种不同的网络被害行为作为因变量，以分析日常活动理论对其的影响。其中，“垃圾短信”主要询问作答者“是否曾在社交网络上收到过他人发送的，但您不想接收的垃圾信息，如非法网站链接、微商广告等”；“盗号”询问的是作答者“是否曾经历过社交账号被他人盗用的情况”；“网络暴力”则询问作答者“是否在社交网络上经历过来自陌生网友的网络暴力？如贬损、谩骂（包括谐音与缩写）、污蔑、威胁、恶搞、“炸号”、公开个人隐私（人肉搜索）等”。测量结果采取二分编码的方式进行记录，即“是”记为1，“否”记为0。表一展示了每个变量的描述性统计结果。在所有的受访者中，94%的受访者曾在社交网络上收到过垃圾短信，49%的受访者曾经历社交帐号被盗的情况，27%的受访者曾在社交网络上经历过网络暴力。

2.自变量

（1）个人信息暴露

由于网络空间的特殊性，个人信息在社交网络中的暴露主要通过用户在社交网络上公开信息来实现。Marcum曾以发布在社交网络的信息类型作为指标进行测量，用户选择发布的信息越多，其越容易暴露在网络空间中[14]。本研究对该指标进行细化，将个人信息暴露分为信息类型与信息数量两个维度。其中，信息类型要求受访者对其在社交网络中公开的个人信息类型进行选择，包括“性别”、“年龄”、“照片”、“电话号码”、“兴趣爱好”和“情感状态”六种类型；信息数量指的是受访者在该六种信息中选择公开的信息类型总数，如，某人选择发布其性别、照片和兴趣爱好三类信息，则该项指标记为“3”。根据描述性统计的结果，本研究样本中选择公开个人信息的平均数量为2.46项，“性别”是最多人选择公开的信息（82.7%），其次是“年龄”（59.5%）、“兴趣爱好”（59.2%）、“照片”（28.3%）、“电话号码”（12.7%）和“情感状态”（3.7%）。

（2）个人信息易获取

个人信息的获取在以往文献中主要表现在用户个人信息的使用习惯上，如Reyns曾以一系列关于隐私信息保护的问题作为合适目标（suitable target）的测量指标[15]。本研究结合我国常用社交软件的特点，对用户“和陌生网友聊天时，是否会如实告诉对方自己的个人信息”、“是否会把自己的社交账号设置成私密，只对自己指定的好友开放，如限制他人通过电话或群聊添加自己为好友、发布只对自己或特定人可见的帖子”和“是否在自己社交帐号的简介中添加误导/错误信息以保护自己的隐私”的使用习惯进行询问，测量结果采取二分编码的方式进行记录，“是”记为1，“否”记为0。统计结果显示，9.9%的受访者会向陌生人如实告知自己的信息，73.7%的受访者选择将自己的社交帐号设置为私密，59.5%的受访者会在账号简介中添加误导信息。

（3）个人信息防护

此前大量网络被害研究中关于防护性的测量指标主要参考的是传统的日常活动理论，即实体场景中的防护功能。只有少数针对黑客病毒、恶意软件的虚拟空间被害采用了虚拟测量指标，如Holt和Bossler使用了安全软件来研究用户日常防护对于黑客病毒或恶意软件入侵被害的影响[16]。本文通过借鉴此类指标，结合我国信息安全软件的实际情况，以是否使用信息安全软件作为衡量个人信息防护能力的测量指标。受访者通过回答“是否使用具有检测、拦截和防护功能的信息安全软件”来记录其个人信息防护的行为，统计结果显示，受访者中共有40%的用户使用过此类安全软件。

（3）控制变量

最后，本研究模型中也加入两类控制变量，分别为人口统计学变量和在线活动变量（详见表一）。人口统计学变量包括性别、年龄、婚姻状况和最高学历，其中，性别（男/女）、婚姻状况（已婚/未婚）和学历（本科以下/本科及以上）都被编码为二分变量纳入统计。受访者也被询问其“平均每天花费多长时间使用社交网络”（社交网络使用时间），“每天都使用的社交帐号有哪些”（社交帐号数）和“主要使用社交网络进行哪些活动”（在线活动类型）。其中，社交帐号数和在线活动类型的选项设置选取了中国网民最常使用的七类社交软件和在线活动，并以其选择类型的总和作为最终计数。例如，一人选择微信和微博作为他每天都使用的社交帐号，则其社交帐号数记为2。

表1 描述性统计

（三）分析策略

由于因变量为二分变量（经历过被害=1，未经历过被害=0），本研究的最佳分析方法为二元逻辑回归（binary logistic regression）[17]，一共有三个模型来用于测算日常活动理论中三个要素对与个人信息有关的三种网络被害经历（垃圾短信、盗号和网络暴力）的影响。在进行回归之前，研究对多重共线性的可能性进行了测算，回归模型中所有变量的方差膨胀因子（VIF）均小于10，说明回归模型不存在多重共线性的问题，满足二元逻辑回归的假定条件。回归结果将在下一部分进行讨论。

五、研究结果

表2 回归统计

（一）垃圾短信

回归模型一以收到垃圾短信的受害经历为因变量，对日常活动理论三要素和其他控制变量的影响进行了分析。结果显示，模型中的几个指标是影响垃圾短信受害的主要因素。其中，个人信息暴露要素的两个不同维度都会不同程度地影响垃圾短信的被害经历。一方面，将自己的性别信息发布在社交网络上的受访者收到垃圾短信的可能性比其他受访者多出3倍，Exp(B)=3.894;另一方面，公开自己的个人信息数量越多的受访者越可能收到过垃圾短信，Exp(B)=1.003。因此，用户将自己的个人信息暴露在社交网络中会增加其收到垃圾短信的风险。此外，用户在线活动的类型也是影响其受害经历的因素之一，即受访者每天使用社交网络进行的活动每增加一项，其经历过垃圾短信被害行为的可能性就会增加50%，Exp(B)=1.514。

（二）盗号

模型二展示了与盗号被害经历相关的统计结果。与模型一类似，因变量中的几个指标能够显著地影响受访者的被盗号经历。在三要素的测量方面，对个人信息进行防护能积极显著的影响被盗号的经历；即使用安全软件的社交网络用户不但不能减少社交帐号被盗的风险，反而比不使用信息安全软件的用户多出50%的可能性面临账号被盗风险，Exp(B)=1.511。除此之外，受访者的年龄也是影响其被盗号经历的主要因素。回归结果显示，年龄每增加一岁，社交网络用户账号被盗的可能性将减少将近10%，Exp(B)=0.938.。

（三）网络暴力

模型三为各变量与网络暴力被害经历的回归结果。在该模型中，网络暴力的被害经历主要与个人信息暴露与个人信息易获取这两个要素相关。首先，与模型一类似，个人信息暴露中的公开信息的类型与数量都会显著地影响受访者被网络暴力的经历。与预计不同的是，在网络暴力经历中，如果受访者选择公开年龄，则其经历网络暴力的可能性将减少大约40%，Exp(B)=0.572。而受访者每多公开一项个人信息，其经历网络暴力的可能性将增加将近30%，Exp(B)=1.297。其次，在个人信息易获取要素中，两类个人信息使用习惯都有显著影响：在与陌生网友交流时如实告诉对方自己信息的用户，其遭受网络暴力的可能性比不如实告诉的受访者多2.7倍，Exp(B)=2.761；会在自己的社交帐号中添加误导信息的受访者，其经历网络暴力的可能性比不添加误导信息的受访者多2倍，Exp(B)=2.052。

六、结论与反思

本文结合日常活动理论对影响社交网络用户被害风险的个人信息使用行为进行了分析，整体上来讲，分析结果与研究假设是一致的，即社交网络用户将更多的个人信息暴露在网络上或使他人更容易在网络上获取自己的个人信息都将不同程度地增加用户的网络被害风险。在个人信息暴露要素中，公开部分类型的个人信息（性别）、个人信息公开的数量与收到垃圾短信或受到网络暴力的风险呈正相关的关系；在个人信息易获取要素中，如实告诉陌生网友其个人信息会增加社交媒网络用户被网络暴力的可能性。

然而，分析结果也有与假设不一致的部分。除了公开上述的个人信息（性别）之外，社交网络用户公开其他类型（年龄）的个人信息也会对其遭受网络暴力的风险产生消极影响，这也说明了在社交网络中公开个人信息不总意味着负面的后果，合理地、部分地公开个人信息也能抵御一些网络违法犯罪行为。此外，在社交帐号中添加误导信息也会增加用户被网络暴力的可能性，这也再次说明了选择性发布信息的重要性，公开不同类型的信息会对社交网络用户产生或好或坏的影响。另一个与假设不一致的结果是关于个人信息防护的影响，我们的结果表明使用信息安全软件反而会增加社交媒体用户账号被盗的概率。这可能是因为现在信息安全软件的质量参差不齐，不仅不能抵御网络风险，反而会因用户操作不当或功能不完善而增加其受害的可能性。

本研究证实了社交网络用户的个人信息使用习惯确实与网络被害风险存在联系，因此在加强个人信息保护，营造良好的网络生态环境的过程中，除了强调信息处理者的责任与义务之外，也应对用户的行为进行规范和引导。因此，鉴于日常活动理论与网络受害的相关关系，有关部门可以引入情境预防策略来开展对于网络用户个人信息使用的引导，例如：一、减少个人信息在社交网络中的暴露，社交网络用户可以通过选择性地公开个人资料、减少公开信息的数量来降低网络受害的风险；二、增加个人信息在网上的获取难度，用户可以使用不同的信息公开策略，如设置私密账号、添加误导信息等方法使他人难以获取自己的个人资料，同时，用户也应避免向网络上的陌生人透露自己的真实信息；三、加强个人信息防护，用户可以选择使用安装安全效果较好的硬件或软件来帮助抵御潜在的网络风险。