侵犯大學生個人信息犯罪被害調查
——基于問卷調查、跟蹤訪談和內容分析法的實證研究

葉小琴 王肅之 趙忠東

內容提要：公民個人信息被害呈現與網絡的高度相關性，大學生已經成為被害的主要群體之一。針對大學生個人信息被害這一主題，通過對1844份問卷、17例跟蹤訪談、650份刑事判決書進行的定性與定量分析發(fā)現，大學生個人信息犯罪被害呈現被害率高、被害后果多重、被害性顯著和被害救濟不足的現狀；被害原因貫穿于國家、社會和個人等多個層面。應通過制定 《個人信息保護法》、出臺行政規(guī)章 《普通高等院校學生個人信息安全保護辦法》、充分發(fā)揮 《信息安全技術個人信息安全規(guī)范》的作用、暢通私力救濟渠道等方式強化大學生個人信息安全的保護。

一、問題的提出

在無形數據 “托拉斯”的籠罩下，“0”和 “1”的數字表達在承載了網絡社會發(fā)展的同時，也衍生了巨大的個人信息風險，個人信息被竊取、提供與利用似乎已經成為不可避免的現實，“我們都是透明人”正成為這個時代中無法辯駁的現實。九十年代出生的一代大學生是伴隨著我國互聯網接入、發(fā)展而成長的，其在享受信息技術所帶來的便利的同時，也遭遇了前所未有的個人信息風險。

在個人信息犯罪被害方面，大學生是個人信息犯罪被害的主要群體之一。我國大學生群體數量龐大，根據2016年4月7日教育部發(fā)布的 《2016中國高等教育質量報告》統計，2015年我國在校大學生數量達到3700萬，居世界第一。此外，中國網民學歷結構中大專及以上學歷的網民約占20%，①參見 《中國互聯網絡發(fā)展狀況統計報告》(2016年7月)第15頁。并且在網絡中的社交、購物、游戲、教育、貸款等多個領域也是主要用戶群體。大學生的個人信息被這些領域的服務提供者收集，也存在極大的泄露風險。大學生個人信息泄露的案件頻頻發(fā)生，如徐玉玉案、女大學生 “裸條案”均是侵犯大學生個人信息犯罪的典型案例，因此大學生被害人正是侵犯個人信息犯罪被害人的一個縮影和典型代表。大學生已經成為個人信息犯罪的主要被害對象，亟待對以下問題進行實證研究，為進一步的理論研究和犯罪防控策略提供具體指導：第一，被害現狀：侵犯大學生個人信息犯罪被害率、被害形式、損害后果是什么？第二，被害原因：從犯罪被害人學角度看，犯罪是犯罪行為人與被害人交互作用的結果，那么大學生具備何種被害傾向？

二、文獻回顧

被害調查的相關研究起源于二十世紀六十年代中期的美國，幾十年來，犯罪被害調查的研究已經獲得了長足的發(fā)展，并且在全世界范圍內普遍展開，其所帶來的價值主要體現在以下幾個方面：（1）犯罪被害調查可以彌補刑事司法機關犯罪統計的不足，揭示犯罪黑數；（2）犯罪被害調查揭示犯罪原因及規(guī)律，為犯罪預防及被害人保護政策的制定提供全面的素材；（3）犯罪被害調查為學術研究提供可靠的實證數據。

我國犯罪被害調查處于起步階段，文獻數量較少且較為集中。從被害調查的類型上看，調查焦點主要集中于傳統犯罪類型，如盜竊犯罪、②盧建平、王麗華：《大學生盜竊犯罪被害調查報告》，載 《青少年犯罪問題》2008年第3期。劉行星、李希龍：《侵犯公民個人信息犯罪研究》，載 《江蘇警官學院學報》2013年第3期。搶劫犯罪、性犯罪，③張遠煌、趙軍、林思婷、王尚飛、操宏均、張逸：《中國本土性犯罪被害人調查報告——以某省會城市的抽樣調查為基礎》，載 《刑法論叢》2013年第4卷。莊曉晶、林潔、白磊：《非法獲取公民個人信息犯罪區(qū)域性實證分析》，載 《人民檢察》2011年第9期。較少關注信息網絡犯罪等新型犯罪類型；在關注信息網絡犯罪被害問題的既有文獻中，趙國玲教授認為網絡犯罪既產生物質性被害，又產生精神性被害，并從家庭和學校兩個層面分析了被害原因，④趙國玲、傅建?。骸肚嗌倌昃W絡被害調查及教育對策研究》，載 《青少年犯罪問題》2009年第1期。但其并沒有完全脫離傳統犯罪類型的被害狀況調查。從被害調查對象上看，調查焦點主要集中于特定人群，如性犯罪被害人、⑤張德江、范暉輝：《強奸犯罪案件中未成年女性被害情況實證研究——以重慶市2007年1月—2008年4月發(fā)生的相關案件為依據》，載 《西南政法大學學報》2008年第6期。未成年人被害人、⑥李豫琦、單舒平、崔夢社、褚宸舸、郝鵬濤：《未成年人刑事被害的特征研究——以S省的統計為例》，載《中國青年研究》2014年第4期。流動人口被害人，⑦張應立：《流動人口被害問題調查》，載 《預防青少年犯罪研究》2012年第11期。缺乏對大學生這一特殊群體的研究。

專門對侵犯個人信息犯罪進行被害調查的文獻尚未發(fā)現，但個人信息安全相關文獻有所涉及。從侵犯個人信息犯罪被害人特征上看，國內一項調查發(fā)現有28%的參與調查者認為 “沒有感覺”，43%的參與調查者認為 “嚴重”，認為 “非常嚴重”的參與調查者占比達29%。⑧參見中國青年政治學院互聯網法治研究中心：《中國個人信息安全和隱私保護報告》?？梢?，我國的個人信息安全問題已經成為大多數人的共識。從侵犯個人信息犯罪被害特征上看，非法獲取個人信息的手段多樣、獲取個人信息后的用途多元；被侵犯的個人信息種類繁多且數量巨大、多數案件通過互聯網實施、自然人仍是主要的犯罪主體但有單位犯罪趨勢、犯罪成本低等特征；⑨楊玉心：《侵犯公民個人信息犯罪案件的實證考察》，載 《人民檢察》2015年第20期。從侵犯個人信息犯罪治理上看，現有的司法實踐在 “個人信息范圍”“案件管轄”“維權路徑”“情節(jié)嚴重”“定罪和量刑的標準”等問題上存在巨大爭議；⑩張作林：《侵犯公民個人信息犯罪案件實證研究》，載 《中國檢察官》2015年第17期。刑罰處罰幅度總體較輕，個人信息保護立法體系不完善。①李鵬：《侵犯公民個人信息犯罪的實證研究》，載 《檢察風云》2016年第18期。從侵犯個人信息犯罪被害原因上看，有學者認為成因是行業(yè)監(jiān)管不力、個人信息保護意識薄弱和缺乏全面并具有可操作性的法律保護；②有學者認為是信息技術發(fā)展及商業(yè)利益驅動；③也有學者認為是侵犯個人信息犯罪是犯罪風險低且犯罪收益高與司法實踐存在源頭性行為打擊不足、處罰力度不夠共同作用的結果。④葉小琴、趙忠東：《侵犯個人信息犯罪的生成機制與防控對策研究——以2014—2016年的650份刑事判決書為樣本》，載《太原理工大學學報 (社會科學版)》2017年第2期。

個人信息是與個人相關的所有能夠識別自然人身份的信息，涉及到個人的隱私、名譽等重要權利。隨著經濟與科技的發(fā)展，個人信息被泄露、惡意利用的風險增加，人肉搜索、騷擾短信、電信詐騙等嚴重侵害了人們的人身權、民主權與財產權，有的甚至威脅到生命安全。2009年 《刑法修正案 （七）》將個人信息納入保護范圍，規(guī)定了侵犯公民個人信息罪；2015年 《刑法修正案 （九）》進一步修正完善。到目前為止，侵犯公民個人信息進入司法程序的案件有幾百件，但事實上個人信息犯罪黑數遠大于此，個人信息受到侵害的被害人數量更是巨大。但無論是國內還是國外，針對大學生個人信息犯罪被害的調查研究寥寥無幾，且沒有全面調查大學生被害的特點和現狀，分析大學生被害的原因。

三、研究設計

為較為客觀和全面地完成大學生個人信息犯罪的被害調查，⑤在此我們采犯罪學意義上的犯罪被害 （事實層面發(fā)生的犯罪被害），而不僅僅局限于刑法學意義上的被害 （規(guī)范層面規(guī)制的犯罪被害）。本研究采用了如下研究方法以全方位收集數據。

（一）問卷調查法

本文選取武漢這一擁有最多大學生的城市作為問卷發(fā)放地。首先，設計問卷題目。其次，對武漢98所高校進行分層抽樣，共抽取20所高校，隨機發(fā)放問卷2000份。最終回收有效問卷1844份，有效率高達92.2%。最后，利用SPSS 21.0中文版軟件對單選題進行描述統計分析，對多選題進行交叉分析，并對其中某些變量進行相關性分析，最終分析出武漢地區(qū)大學生個人信息被害的現狀。

（二）跟蹤訪談

為彌補問卷調查的局限性，論文采用跟蹤訪談法。在武漢高校中選取17名學生作為訪談對象，進行縱向研究。17名受訪對象分別來自武漢大學、華中科技大學、華中師范大學、中南財經政法大學、中南民族大學、武漢理工大學、湖北第二師范、武漢東湖學院、湖北交通職業(yè)技術學院和武漢鐵路職業(yè)技術學院，其中包含5名碩士研究生，11名本科生，2名?？粕?，學校范圍囊括 “985工程”院校、“211工程”院校、第二批本科和職業(yè)技術學校。通過長時間的跟蹤訪談，與訪談對象建立了信任關系，在尊重和保護訪談對象隱私的前提下，全面了解到受訪對象對關于個人信息及其保護意識的狀態(tài)和變化過程。

（三）內容分析法

以北大法寶司法案例數據庫⑥北大法寶：http://www.pkulaw.cn/Case/，2016年11年11日訪問。為平臺，檢索到2014-2016年侵犯個人信息犯罪的650份刑事判決書。⑦以 “個人信息”為標題關鍵詞進行精確檢索，并且將篩選條件設定為 “一審”“判決書”“普通案例”和 “刑事案由”。檢索的判決書總數是782份，2014至2016年的判決書總數是654份。將重復、內容缺失和無關的判決書予以剔除后，得到650份有效判決書。對判決書的內容進行梳理，提煉出案發(fā)地、罪名、宣告刑、涉案人數、作案時間、動機、手段、涉案金額、侵犯次數、侵犯信息種類和數量以及用途、是否利用網絡等17個變量并賦值，接著將650份判決書中相關內容提煉出來作為分析基礎，再利用SPSS 21.0中文版軟件對數據進行整理，并進行定量分析，最終總結出侵犯個人信息犯罪的特點和被害規(guī)律。

四、侵犯大學生個人信息犯罪被害狀況的定量分析

（一）大學生個人信息犯罪被害率極高

第一，問卷調查發(fā)現，大學生遭受侵犯個人信息犯罪被害⑧非個人信息授權主體聯系問卷調查對象。的情況極為普遍，被害率極高。從表1可知，在1844份問卷中，在未提供個人信息的情況下接受過推銷信息的有1523人，占比83%；有51.9%的調查對象無故被騷擾，高達55.8%的調查對象曾接到過詐騙電話。數據表明，幾乎所有的大學生都因個人信息泄露而遭受過推銷、騷擾乃至詐騙，被害率高達97.2%。

表1：非個人信息授權主體聯系問卷調查對象的情況

第二，問卷調查發(fā)現，被侵犯的大學生個人信息類型多，被害信息范圍廣泛。如表2顯示，身份信息被泄露的比例最高，占總數的60.8%；其次是通訊信息 （60.6%）、考生信息 （25.9%）、交易信息 （24.6%）、行蹤信息 （13.5%）、財產信息 （6.6%）。訪談對象普遍認為，個人信息可能是通過“快遞單、外賣單和通訊公司”這三種方式泄露。

第三，被害暗數較大。在650份侵犯個人信息犯罪刑事判決書中以學生個人信息作為犯罪對象的案件僅有27例，占總判決數量的4.2%，比例較??；其中，有關大學生個人信息泄露的案件只有2件，案件數量極少。司法實踐中的這一情況與調查組訪談與問卷反映的情況形成鮮明對比，基本可以推論出大學生個人信息犯罪被害后發(fā)案率低，進入司法程序的案件數量較少，犯罪黑數大。

（二）大學生個人信息犯罪被害后果多重

第一，從被害后果上看，侵犯大學生個人信息犯罪不僅侵害個人隱私與生活安寧，還可能損害人身或財產安全。問卷調查發(fā)現 （見表3），個人信息泄露造成精神損害的比重最高，達62.9%；造成財產損失的占總數的25.8%，造成人身傷害的占總數的14.7%?？梢姡髮W生因個人信息被害而造成財產或人身損害的比例高達31.2%，但個人信息泄露給大學生造成損害主要是精神、心理層面的損害。

第三， 不同的個人信息類型所造成的困擾程度也存在差異。從表4可知，身份信息的泄露會給個體造成最大困擾 （70.2%），其次是考生信息 （64.7%），其他信息相對困擾程度較輕。因此，不同個人信息類型的保護緊迫性和保護程度存在差異，保護身份信息、考生信息是當前保護大學生個人信息安全的最緊迫的任務。

表4：個人信息泄露給問卷調查對象帶來的困擾程度

（三）大學生個人信息犯罪被害性顯著

調查發(fā)現，大學生被害性強，極易成為侵犯個人信息犯罪的被害人。

第一， 大學生個人信息犯罪被害的誘發(fā)性很強。大學生為換取教學、輔導、考試和網購等服務，不斷向外界提供個人信息，大學生個人信息收集主體呈現多元化的趨勢，極大地增加了遭受個人信息犯罪被害的可能性。問卷調查顯示，持有被調查對象個人信息的機構繁多，高達十余個類別。從表5可知，有75.7%的人曾在考試系統中留下個人信息，有73.4%的人在購物網站上留下個人信息，58.6%的人向高校管理機構提供個人信息。這些機構成為侵犯大學生個人信息犯罪的風險源。

表5：問卷調查對象留有個人信息的機構⑨在前期調查中我們也針對大學生求職就業(yè)中的個人信息犯罪被害情況進行了調查，發(fā)現可能由于畢業(yè)生在大學生群體中的比重較低，數據并不顯著，因此在正式調查中并未設置此問題。

第二，通過將調查對象已泄露信息類型與持有個人信息的機構進行交叉列表分析 （見下頁表6）發(fā)現，十類持有大學生個人信息的機構中，購物網站、考試系統、高等院校成為大學生個人信息泄露的三大源頭，考試系統泄露大學生個人信息尤為嚴重。調查對象在考試系統、購物網站、高等院校等機構留有大量的個人信息，而調查對象在考試系統、購物網站、高等院校留有個人信息的往往易于被非個人信息授權主體聯系，二者具有正相關性，表明了大學生個人信息的聚集區(qū)域也是其個人信息犯罪被害的高發(fā)區(qū)域?？荚囅到y、購物網站、高等院校系統是大學生考試、生活和學習不可或缺的工具，從這個意義上講，大學生個人信息犯罪被害的土壤是一直存在的。

第三，大學生個人信息犯罪被害的易感性極強。問卷調查發(fā)現 （見表7），在大學生保護個人信息安全所采取的措施中，慎重授權所占比重最大，占71.6%；其次是隱匿信息 （58.7%）、安裝保護軟件 （52.1%）和模糊處理 （42.6%）。可見，大學生保護個人信息安全的措施極為有限，幾乎無人選擇要求信息利用者為特定行為來保護個人信息安全。在跟蹤訪談中也發(fā)現，受訪對象一般會采取“匿名社交”“慎重授權app”“安裝保護軟件”和 “涂抹快遞單信息”中的某一種措施來保護自己的個人信息?？梢?，大學生在預防個人信息泄露時傾向于采取對信息本身進行處理或者依賴保護軟件等消極防御措施，大學生自我保護措施較少并且有明顯的群體偏好。

表7：問卷調查對象預防個人信息泄露措施的情況

研究發(fā)現，大學生往往缺乏對于個人信息犯罪被害的充分認識和防范，易于招致個人信息犯罪被害的發(fā)生。問卷以大學生對相關術語的了解情況進行認識程度的測量。數據顯示 （見下頁表8），大學生對人肉搜索 （27.2%）、木馬程序 （26.5%）、釣魚網站 （24%）等熱詞較為了解，但比例依然偏低；對于偽基站 （10.4%）、廣告聯盟 （9%）、社工庫 （2.8%）等專業(yè)詞匯了解較少。這表明大學生對于侵犯個人信息犯罪的基礎術語有一定的認識，但是缺乏對于專業(yè)術語的了解，大學生對侵犯個人信息犯罪的整體認識程度偏低。

表8：問卷調查對象對相關術語的了解情況

（四）大學生個人信息犯罪被害救濟不足

我們發(fā)現，大學生在遭遇個人信息犯罪被害之后，往往難以采取有效的救濟措施維護其信息權利。

問卷調查發(fā)現，被害后大多數人選擇采取防御性的補救措施。如表9顯示，拉黑的比例最高，占比為32.6%；其次是隱匿個人信息 （26%）、置之不理 （14.4%）。相比之下，選擇報警或訴訟等進攻性補救措施的占比較低，選擇訴訟維權的僅有3.8%。這表明，在個人信息泄露后，大學生多選擇自力方式進行消極保護，較少通過公力方式進行積極維權。

表9：問卷調查對象個人信息泄露后的補救措施情況

如表10顯示，在完善個人信息保護建議的選項中選擇比例從高到低分別為 “建立健全國家個人信息保護法律體系”（74.2%）、“司法機關提升打擊個人信息違法犯罪力度”（71.6%）、“強化對公民個人信息保護的宣傳教育”（62.5%）、“建立保護個人信息的社會公益組織”（48.4%）。這表明，大學生更期待依靠公權力機關保護個人信息。問卷調查對象對公力救濟的高訴求與選擇公權力救濟的比例低形成鮮明反差，側面反映出公力救濟不足的現狀。

表10：問卷調查對象對我國個人信息保護的建議

五、大學生個人信息犯罪被害原因的分析

我國侵犯大學生個人信息犯罪呈現被害數量大、被害率高、犯罪黑數大、被害后果多重、公權力救濟不足等特征，可以從國家層面、社會層面和個人層面等多個層面中尋找原因。

（一）國家層面：立法缺失與司法缺位

第一，大學生個人信息立法保護缺失。研究發(fā)現，目前我國有關個人信息保護立法不夠充分，“這些規(guī)定零散，幾乎沒有發(fā)揮法律效力”。⑩王秀哲：《我國個人信息立法保護實證研究》，載 《東方法學》2016年第3期。立法難以對個人信息提供全面的保護是導致大學生個人信息犯罪被害的屢屢發(fā)生的重大制度原因。在刑法層面，《刑法》第二百五十三條規(guī)定了侵犯公民個人信息罪，雖然 《刑法修正案 （九）》將該罪的主體范圍擴大到一般主體，但是其 “情節(jié)嚴重”的標準顯然對于大學生個人信息保護而言門檻過高。在行政法層面，《網絡安全法》第四十一條第一款規(guī)定了個人信息的收集與使用規(guī)則，第四十一條第二款、第四十二條規(guī)定了個人信息的保管規(guī)則，但是這些規(guī)定主要針對網絡運營者、網絡產品或者服務的提供者、關鍵信息基礎設施的運營者、電子信息發(fā)送服務提供者、應用軟件下載服務提供者，難以對考試系統等領域的大學生個人信息提供全面保護。在民法層面，《民法總則》第一百一十一條雖然明確規(guī)定了個人信息權，但在具體制度構建上依然是空白。更為重要的是，我國不僅個人信息保護法律體系欠完善，更是缺乏對于大學生群體予以專門保護的法規(guī)或規(guī)章，降低信息保護的針對性。

第二，大學生個人信息司法保護缺失。在司法實踐中，不存在以侵犯個人信息為由而提起的民事訴訟案件，而刑事審判實踐中查處侵犯大學生個人信息犯罪的案件也僅有2例，可見侵犯個人信息行為進入司法程序的案例極少，司法保護缺失。但從表1可知，幾乎每個大學生均成為侵犯個人信息行為的被害人并且大學生要求公權力提供救濟的訴求極高 （見表10）。二者形成鮮明反差的唯一合理的解釋是，司法維權渠道堵塞，大學生不愿通過司法方式維護個人信息權益。

司法維權渠道堵塞的原因可能在于：第一，侵犯個人信息行為給被害人造成的損害主要為精神損害 （見表3），而精神損害很難量化，法院很難支持其損害賠償請求；第二，從刑事案件角度上看（見表11），侵犯個人信息犯罪手段較為隱蔽，犯罪行為不易被感知而案發(fā)；并且案件侵犯個人信息數量巨大，刑事立案必須達到一定的數量標準，單個被害人報案由于未達立案標準而很難立案偵查。

表11：侵犯大學生個人信息犯罪的個案分析

（二）社會層面：個人信息利用主體未全面履行保護義務

在大數據環(huán)境下，公私領域對于數據利用的需求也比以往任何一個時代更加迫切。①張新寶：《從隱私到個人信息：利益再衡量的理論與制度安排》，載 《中國法學》2015年第3期。調查發(fā)現，個人信息利用主體義務履行缺位也是大學生個人信息犯罪被害頻發(fā)的重要原因：

第一，高等院校與相關教育部門未全面履行保護義務。比如有學生指出公開張貼學生的學業(yè)成績，公開申請資助學生的個人信息，在心理咨詢中不注意保護咨詢學生的隱私，在宿舍管理中未告知或未經學生同意擅自進入學生私人空間等行為，都在不同程度上侵犯了大學生的隱私權。②陳廷根、賴嫦媛：《高校管理中大學生隱私權的保護》，載 《高校探素》2011年第5期?；蛘哒J為，高校管理中，侵犯大學生 “私的權利”集中體現于校方在未經授權的情況下，非法干涉甚至公開大學生的隱私信息。③劉磊、彭云杰：《高校管理中大學生隱私保護的法律思考》，載 《教育科學》2012年第4期。就大學生而言，存儲在教育考試系統中的個人信息泄露是最具特色也是最具危害的泄露方式。表11所示，報名考試網站、學籍管理系統由于安全系數較低而成為黑客頻繁攻擊的對象、管理大學生個人信息數據庫的機構及其工作人員利用工作便利泄露個人信息的案例也較為多見。此外，各類由教育部門開辦或授權的考試機構也是持有大學生個人信息的重要主體，由考試報名導致信息泄露的情況并不鮮見。徐玉玉案中的個人信息也是從教育考試系統中泄露。基本可以認為，高等院校、教育考試部門未盡到必要的謹慎與勤勉管理義務。

第二，網絡服務提供者未全面履行保護義務?！按髷祿暮诵囊源鎯蛡鬏斶^渡為數據的挖掘和利用?！雹苡谥緞偂⒗钤戳＃骸洞髷祿r代數據犯罪的制裁思路》，載 《中國社會科學》2014年第10期。大數據交易公司在利用個人數據過程中可能存在著各式各樣的問題，比如個人數據收集過度、個人數據收集未經許可、數據匿名化處理失敗、數據模糊化處理失敗、交易范圍不明確、交易規(guī)則不完善等等。而各個數據交易公司為應對上述問題，除了致力于提高自身的數據處理技術以及安全保障技術之外，也積極地推動大數據行業(yè)相關規(guī)章制度的制定實施。例如我們走訪的多家企業(yè)都加入了 《數據流通行業(yè)自律公約》，長江大數據交易所更是成立了自己的大數據研究院，為有關部門的立法提供案例參考或意見指導。我國的大數據產業(yè)尚處于起步階段，還未常態(tài)化、規(guī)范化。這種買賣雙方直接交易，缺乏統一的法律監(jiān)制或行業(yè)規(guī)范，交易過程的安全與否取決于賣方的商業(yè)道德，加之大量的灰色、黑色產業(yè)鏈的存在，在商業(yè)利益的驅使下極易出現非法利用個人數據的情況。比如人們 “日常生活中司空見慣的各類商品推銷電話，正是 ‘下家’非法使用公民個人信息的一種方式。”⑤劉憲權主編：《刑法學研究：〈刑法修正案 （九）〉立法與司法研究專員》，上海人民出版社2016年版，第122頁。此外，“實踐中侵犯個人信息還可能是合法獲取但非法利用個人信息的情形?！雹拗芰直蛑骶帲骸睹裆谭ǖ姆蛇m用：人格權法與商法制度的完善》，暨南大學出版社2013年版，第344頁。

（三）個人層面：大學生個人信息安全意識與能力缺乏

調查發(fā)現，大學生個人信息保護意識與能力有待加強。

第一，大學生個人信息保護意識薄弱。訪談發(fā)現，一些大學生由于防備心理不足或者貪圖小利，沒有認識到個人信息權利的重要性，出于善意或者參加 “掃碼抽獎”等活動將個人信息提供給他人從而導致被害。在侵犯個人信息違法犯罪行為的相關術語中，問卷調查對象僅是對于人肉搜索、木馬程序、釣魚網站三個術語較為熟悉，對于偽基站、廣告聯盟、社工庫等術語缺乏了解 （見表8），從一個側面反映出大學生對于侵犯個人信息的違法犯罪行為缺乏足夠了解。從圖1可知，對術語的了解與個人信息泄露嚴重性呈反比，“了解六個術語”的人遭受個人信息泄露情況最小。因此，提高大學生對個人信息違法犯罪的了解有利于提高個人信息安全。

圖1：了解術語程度與個人信息泄漏情況交叉列表

第二，大學生個人信息保護能力不足。首先，大學生自力救濟能力缺乏。大學生預防個人信息泄露的措施有限 （見表7）致使大學生欠缺個人保護能力；加之該類犯罪被害人多、行為人不易查找，使得大學生通過自己的能力維護個人信息安全的路徑難以實現。其次，公力救濟渠道不完善以及大學生群體偏好導致公力救濟虛化。問卷調查發(fā)現，個人信息泄露后選擇舉報或報警的僅有36.6% （見表9），比例偏低；而選擇訴訟的更是低至7.5%，為各種維權方式選擇比例之最低。

六、結論與建議

第一，制定專門的 《個人信息保護法》。從立法角度上看，研究發(fā)現立法不完善是導致侵犯個人信息的違法犯罪多發(fā)的重要原因。至今，我國尚未出臺 《個人信息保護法》，我國在保護個人信息方面已經形成了35部規(guī)范性文件的分散立法格局，但法律實施效果不佳使國家治理現代化面臨挑戰(zhàn)，買賣個人信息黑色產業(yè)鏈使社會治理精細化陷入困境，個人信息泄露泛濫使公民基本人權保護遭遇危機。因此，亟需制定綜合性的法律 《個人信息保護法》以實現源頭治理。曾有學者提出《中華人民共和國個人信息保護法示范法草案學者建議稿》認為應 “取法德國模式進行統一立法，較好地為個人信息的保護和利用提供統一的行為規(guī)范”。⑦齊愛民：《中華人民共和國個人信息保護法示范法草案學者建議稿》，載 《河北法學》2005年第6期。我們認為，在立法過程中應以保障人權作為價值定位，堅持人權、合法、正當和安全以及平衡的基本法律原則，通過國家互聯網信息辦公室為首的協同化治理模式以及多層次法律責任體系，有效規(guī)范公民個人信息的收集、處理、傳輸和利用諸環(huán)節(jié)的權利義務關系。

第二，教育部應制定行政規(guī)章如 《普通高等院校學生個人信息安全保護辦法》。研究發(fā)現，大學生個人信息被害的危險源、被害原因和被害特征均具有明顯特殊性，如大學生個人信息泄露源主要是學校、培訓機構、考試機構等教育機構 （見表6）。因此，未來在完善個人信息保護立法中，教育行政部門制定專門保護大學生個人信息安全的行政規(guī)章也具有一定的必要性和可行性。以臺灣地區(qū)為例，“個人資料保護法”是保護個人資料的基礎性法律，除此之外，還有 “私立?？埔陨蠈W校及私立學術研究機構個人資料檔案安全維護實施辦法”“短期補習班個人資料檔案安全維護計劃實施辦法”“私立職業(yè)訓練機構個人資料檔案安全維護計劃及處理辦法”等單行條例保護在校學生的個人信息。大陸可以借鑒臺灣地區(qū)的立法經驗，由教育部牽頭制定以保護大學生個人信息安全為主要內容的 《普通高等院校學生個人信息安全保護辦法》。

第三，充分發(fā)揮 《信息安全技術個人信息安全規(guī)范》的作用。從個人信息安全保護上看，研究發(fā)現信息利用主體未全面履行安全保護義務是大學生個人信息犯罪被害的重要原因。從美國個人信息保護的經驗上看，促使信息利用者全面履行安全義務可以從法律和行業(yè)自律兩個方面展開。我國個人信息保護立法相對滯后，因此應利用行業(yè)組織等社會團體的力量，以行業(yè)標準或者行業(yè)規(guī)范來約束個人信息利用主體履行安全保護義務。全國信息安全標準化技術委員會組織制定和歸口管理的國家標準GB/T 35273-2017《信息安全技術個人信息安全規(guī)范》已經于2018年5月1日生效，應積極進一步研究大學生各種生活場景中個人信息安全的風險點，為標準的改善積累經驗。

第四，暢通私力救濟渠道。從維權角度上來看，侵犯個人信息行為的損害結果大多是精神層面的損害 （見表3），而精神層面的損失很難具體化，導致公力救濟渠道堵塞進而導致大學生被害后尋求公力救濟不足。我國臺灣地區(qū) “個人資料保護法”第二十八條規(guī)定，個人有權請求賠償實際損失，但如被害人不易或不能證明其實際損害額時，得請求法院依侵害情節(jié)，以每人每一事件新臺幣五百元以上二萬元以下計算。該立法模式降低了原告的證明責任，解決了侵犯個人信息行為損害后果難以計算的維權困境，值得借鑒。