侵犯大学生个人信息犯罪被害调查
——基于问卷调查、跟踪访谈和内容分析法的实证研究

叶小琴 王肃之 赵忠东

内容提要：公民个人信息被害呈现与网络的高度相关性，大学生已经成为被害的主要群体之一。针对大学生个人信息被害这一主题，通过对1844份问卷、17例跟踪访谈、650份刑事判决书进行的定性与定量分析发现，大学生个人信息犯罪被害呈现被害率高、被害后果多重、被害性显著和被害救济不足的现状；被害原因贯穿于国家、社会和个人等多个层面。应通过制定 《个人信息保护法》、出台行政规章 《普通高等院校学生个人信息安全保护办法》、充分发挥 《信息安全技术个人信息安全规范》的作用、畅通私力救济渠道等方式强化大学生个人信息安全的保护。

一、问题的提出

在无形数据 “托拉斯”的笼罩下，“0”和 “1”的数字表达在承载了网络社会发展的同时，也衍生了巨大的个人信息风险，个人信息被窃取、提供与利用似乎已经成为不可避免的现实，“我们都是透明人”正成为这个时代中无法辩驳的现实。九十年代出生的一代大学生是伴随着我国互联网接入、发展而成长的，其在享受信息技术所带来的便利的同时，也遭遇了前所未有的个人信息风险。

在个人信息犯罪被害方面，大学生是个人信息犯罪被害的主要群体之一。我国大学生群体数量庞大，根据2016年4月7日教育部发布的 《2016中国高等教育质量报告》统计，2015年我国在校大学生数量达到3700万，居世界第一。此外，中国网民学历结构中大专及以上学历的网民约占20%，①参见 《中国互联网络发展状况统计报告》(2016年7月)第15页。并且在网络中的社交、购物、游戏、教育、贷款等多个领域也是主要用户群体。大学生的个人信息被这些领域的服务提供者收集，也存在极大的泄露风险。大学生个人信息泄露的案件频频发生，如徐玉玉案、女大学生 “裸条案”均是侵犯大学生个人信息犯罪的典型案例，因此大学生被害人正是侵犯个人信息犯罪被害人的一个缩影和典型代表。大学生已经成为个人信息犯罪的主要被害对象，亟待对以下问题进行实证研究，为进一步的理论研究和犯罪防控策略提供具体指导：第一，被害现状：侵犯大学生个人信息犯罪被害率、被害形式、损害后果是什么？第二，被害原因：从犯罪被害人学角度看，犯罪是犯罪行为人与被害人交互作用的结果，那么大学生具备何种被害倾向？

二、文献回顾

被害调查的相关研究起源于二十世纪六十年代中期的美国，几十年来，犯罪被害调查的研究已经获得了长足的发展，并且在全世界范围内普遍展开，其所带来的价值主要体现在以下几个方面：（1）犯罪被害调查可以弥补刑事司法机关犯罪统计的不足，揭示犯罪黑数；（2）犯罪被害调查揭示犯罪原因及规律，为犯罪预防及被害人保护政策的制定提供全面的素材；（3）犯罪被害调查为学术研究提供可靠的实证数据。

我国犯罪被害调查处于起步阶段，文献数量较少且较为集中。从被害调查的类型上看，调查焦点主要集中于传统犯罪类型，如盗窃犯罪、②卢建平、王丽华：《大学生盗窃犯罪被害调查报告》，载 《青少年犯罪问题》2008年第3期。刘行星、李希龙：《侵犯公民个人信息犯罪研究》，载 《江苏警官学院学报》2013年第3期。抢劫犯罪、性犯罪，③张远煌、赵军、林思婷、王尚飞、操宏均、张逸：《中国本土性犯罪被害人调查报告——以某省会城市的抽样调查为基础》，载 《刑法论丛》2013年第4卷。庄晓晶、林洁、白磊：《非法获取公民个人信息犯罪区域性实证分析》，载 《人民检察》2011年第9期。较少关注信息网络犯罪等新型犯罪类型；在关注信息网络犯罪被害问题的既有文献中，赵国玲教授认为网络犯罪既产生物质性被害，又产生精神性被害，并从家庭和学校两个层面分析了被害原因，④赵国玲、傅建省：《青少年网络被害调查及教育对策研究》，载 《青少年犯罪问题》2009年第1期。但其并没有完全脱离传统犯罪类型的被害状况调查。从被害调查对象上看，调查焦点主要集中于特定人群，如性犯罪被害人、⑤张德江、范晖辉：《强奸犯罪案件中未成年女性被害情况实证研究——以重庆市2007年1月—2008年4月发生的相关案件为依据》，载 《西南政法大学学报》2008年第6期。未成年人被害人、⑥李豫琦、单舒平、崔梦社、褚宸舸、郝鹏涛：《未成年人刑事被害的特征研究——以S省的统计为例》，载《中国青年研究》2014年第4期。流动人口被害人，⑦张应立：《流动人口被害问题调查》，载 《预防青少年犯罪研究》2012年第11期。缺乏对大学生这一特殊群体的研究。

专门对侵犯个人信息犯罪进行被害调查的文献尚未发现，但个人信息安全相关文献有所涉及。从侵犯个人信息犯罪被害人特征上看，国内一项调查发现有28%的参与调查者认为 “没有感觉”，43%的参与调查者认为 “严重”，认为 “非常严重”的参与调查者占比达29%。⑧参见中国青年政治学院互联网法治研究中心：《中国个人信息安全和隐私保护报告》。可见，我国的个人信息安全问题已经成为大多数人的共识。从侵犯个人信息犯罪被害特征上看，非法获取个人信息的手段多样、获取个人信息后的用途多元；被侵犯的个人信息种类繁多且数量巨大、多数案件通过互联网实施、自然人仍是主要的犯罪主体但有单位犯罪趋势、犯罪成本低等特征；⑨杨玉心：《侵犯公民个人信息犯罪案件的实证考察》，载 《人民检察》2015年第20期。从侵犯个人信息犯罪治理上看，现有的司法实践在 “个人信息范围”“案件管辖”“维权路径”“情节严重”“定罪和量刑的标准”等问题上存在巨大争议；⑩张作林：《侵犯公民个人信息犯罪案件实证研究》，载 《中国检察官》2015年第17期。刑罚处罚幅度总体较轻，个人信息保护立法体系不完善。①李鹏：《侵犯公民个人信息犯罪的实证研究》，载 《检察风云》2016年第18期。从侵犯个人信息犯罪被害原因上看，有学者认为成因是行业监管不力、个人信息保护意识薄弱和缺乏全面并具有可操作性的法律保护；②有学者认为是信息技术发展及商业利益驱动；③也有学者认为是侵犯个人信息犯罪是犯罪风险低且犯罪收益高与司法实践存在源头性行为打击不足、处罚力度不够共同作用的结果。④叶小琴、赵忠东：《侵犯个人信息犯罪的生成机制与防控对策研究——以2014—2016年的650份刑事判决书为样本》，载《太原理工大学学报 (社会科学版)》2017年第2期。

个人信息是与个人相关的所有能够识别自然人身份的信息，涉及到个人的隐私、名誉等重要权利。随着经济与科技的发展，个人信息被泄露、恶意利用的风险增加，人肉搜索、骚扰短信、电信诈骗等严重侵害了人们的人身权、民主权与财产权，有的甚至威胁到生命安全。2009年 《刑法修正案 （七）》将个人信息纳入保护范围，规定了侵犯公民个人信息罪；2015年 《刑法修正案 （九）》进一步修正完善。到目前为止，侵犯公民个人信息进入司法程序的案件有几百件，但事实上个人信息犯罪黑数远大于此，个人信息受到侵害的被害人数量更是巨大。但无论是国内还是国外，针对大学生个人信息犯罪被害的调查研究寥寥无几，且没有全面调查大学生被害的特点和现状，分析大学生被害的原因。

三、研究设计

为较为客观和全面地完成大学生个人信息犯罪的被害调查，⑤在此我们采犯罪学意义上的犯罪被害 （事实层面发生的犯罪被害），而不仅仅局限于刑法学意义上的被害 （规范层面规制的犯罪被害）。本研究采用了如下研究方法以全方位收集数据。

（一）问卷调查法

本文选取武汉这一拥有最多大学生的城市作为问卷发放地。首先，设计问卷题目。其次，对武汉98所高校进行分层抽样，共抽取20所高校，随机发放问卷2000份。最终回收有效问卷1844份，有效率高达92.2%。最后，利用SPSS 21.0中文版软件对单选题进行描述统计分析，对多选题进行交叉分析，并对其中某些变量进行相关性分析，最终分析出武汉地区大学生个人信息被害的现状。

（二）跟踪访谈

为弥补问卷调查的局限性，论文采用跟踪访谈法。在武汉高校中选取17名学生作为访谈对象，进行纵向研究。17名受访对象分别来自武汉大学、华中科技大学、华中师范大学、中南财经政法大学、中南民族大学、武汉理工大学、湖北第二师范、武汉东湖学院、湖北交通职业技术学院和武汉铁路职业技术学院，其中包含5名硕士研究生，11名本科生，2名专科生，学校范围囊括 “985工程”院校、“211工程”院校、第二批本科和职业技术学校。通过长时间的跟踪访谈，与访谈对象建立了信任关系，在尊重和保护访谈对象隐私的前提下，全面了解到受访对象对关于个人信息及其保护意识的状态和变化过程。

（三）内容分析法

以北大法宝司法案例数据库⑥北大法宝：http://www.pkulaw.cn/Case/，2016年11年11日访问。为平台，检索到2014-2016年侵犯个人信息犯罪的650份刑事判决书。⑦以 “个人信息”为标题关键词进行精确检索，并且将筛选条件设定为 “一审”“判决书”“普通案例”和 “刑事案由”。检索的判决书总数是782份，2014至2016年的判决书总数是654份。将重复、内容缺失和无关的判决书予以剔除后，得到650份有效判决书。对判决书的内容进行梳理，提炼出案发地、罪名、宣告刑、涉案人数、作案时间、动机、手段、涉案金额、侵犯次数、侵犯信息种类和数量以及用途、是否利用网络等17个变量并赋值，接着将650份判决书中相关内容提炼出来作为分析基础，再利用SPSS 21.0中文版软件对数据进行整理，并进行定量分析，最终总结出侵犯个人信息犯罪的特点和被害规律。

四、侵犯大学生个人信息犯罪被害状况的定量分析

（一）大学生个人信息犯罪被害率极高

第一，问卷调查发现，大学生遭受侵犯个人信息犯罪被害⑧非个人信息授权主体联系问卷调查对象。的情况极为普遍，被害率极高。从表1可知，在1844份问卷中，在未提供个人信息的情况下接受过推销信息的有1523人，占比83%；有51.9%的调查对象无故被骚扰，高达55.8%的调查对象曾接到过诈骗电话。数据表明，几乎所有的大学生都因个人信息泄露而遭受过推销、骚扰乃至诈骗，被害率高达97.2%。

表1：非个人信息授权主体联系问卷调查对象的情况

第二，问卷调查发现，被侵犯的大学生个人信息类型多，被害信息范围广泛。如表2显示，身份信息被泄露的比例最高，占总数的60.8%；其次是通讯信息 （60.6%）、考生信息 （25.9%）、交易信息 （24.6%）、行踪信息 （13.5%）、财产信息 （6.6%）。访谈对象普遍认为，个人信息可能是通过“快递单、外卖单和通讯公司”这三种方式泄露。

第三，被害暗数较大。在650份侵犯个人信息犯罪刑事判决书中以学生个人信息作为犯罪对象的案件仅有27例，占总判决数量的4.2%，比例较小；其中，有关大学生个人信息泄露的案件只有2件，案件数量极少。司法实践中的这一情况与调查组访谈与问卷反映的情况形成鲜明对比，基本可以推论出大学生个人信息犯罪被害后发案率低，进入司法程序的案件数量较少，犯罪黑数大。

（二）大学生个人信息犯罪被害后果多重

第一，从被害后果上看，侵犯大学生个人信息犯罪不仅侵害个人隐私与生活安宁，还可能损害人身或财产安全。问卷调查发现 （见表3），个人信息泄露造成精神损害的比重最高，达62.9%；造成财产损失的占总数的25.8%，造成人身伤害的占总数的14.7%。可见，大学生因个人信息被害而造成财产或人身损害的比例高达31.2%，但个人信息泄露给大学生造成损害主要是精神、心理层面的损害。

第三， 不同的个人信息类型所造成的困扰程度也存在差异。从表4可知，身份信息的泄露会给个体造成最大困扰 （70.2%），其次是考生信息 （64.7%），其他信息相对困扰程度较轻。因此，不同个人信息类型的保护紧迫性和保护程度存在差异，保护身份信息、考生信息是当前保护大学生个人信息安全的最紧迫的任务。

表4：个人信息泄露给问卷调查对象带来的困扰程度

（三）大学生个人信息犯罪被害性显著

调查发现，大学生被害性强，极易成为侵犯个人信息犯罪的被害人。

第一， 大学生个人信息犯罪被害的诱发性很强。大学生为换取教学、辅导、考试和网购等服务，不断向外界提供个人信息，大学生个人信息收集主体呈现多元化的趋势，极大地增加了遭受个人信息犯罪被害的可能性。问卷调查显示，持有被调查对象个人信息的机构繁多，高达十余个类别。从表5可知，有75.7%的人曾在考试系统中留下个人信息，有73.4%的人在购物网站上留下个人信息，58.6%的人向高校管理机构提供个人信息。这些机构成为侵犯大学生个人信息犯罪的风险源。

表5：问卷调查对象留有个人信息的机构⑨在前期调查中我们也针对大学生求职就业中的个人信息犯罪被害情况进行了调查，发现可能由于毕业生在大学生群体中的比重较低，数据并不显著，因此在正式调查中并未设置此问题。

第二，通过将调查对象已泄露信息类型与持有个人信息的机构进行交叉列表分析 （见下页表6）发现，十类持有大学生个人信息的机构中，购物网站、考试系统、高等院校成为大学生个人信息泄露的三大源头，考试系统泄露大学生个人信息尤为严重。调查对象在考试系统、购物网站、高等院校等机构留有大量的个人信息，而调查对象在考试系统、购物网站、高等院校留有个人信息的往往易于被非个人信息授权主体联系，二者具有正相关性，表明了大学生个人信息的聚集区域也是其个人信息犯罪被害的高发区域。考试系统、购物网站、高等院校系统是大学生考试、生活和学习不可或缺的工具，从这个意义上讲，大学生个人信息犯罪被害的土壤是一直存在的。

第三，大学生个人信息犯罪被害的易感性极强。问卷调查发现 （见表7），在大学生保护个人信息安全所采取的措施中，慎重授权所占比重最大，占71.6%；其次是隐匿信息 （58.7%）、安装保护软件 （52.1%）和模糊处理 （42.6%）。可见，大学生保护个人信息安全的措施极为有限，几乎无人选择要求信息利用者为特定行为来保护个人信息安全。在跟踪访谈中也发现，受访对象一般会采取“匿名社交”“慎重授权app”“安装保护软件”和 “涂抹快递单信息”中的某一种措施来保护自己的个人信息。可见，大学生在预防个人信息泄露时倾向于采取对信息本身进行处理或者依赖保护软件等消极防御措施，大学生自我保护措施较少并且有明显的群体偏好。

表7：问卷调查对象预防个人信息泄露措施的情况

研究发现，大学生往往缺乏对于个人信息犯罪被害的充分认识和防范，易于招致个人信息犯罪被害的发生。问卷以大学生对相关术语的了解情况进行认识程度的测量。数据显示 （见下页表8），大学生对人肉搜索 （27.2%）、木马程序 （26.5%）、钓鱼网站 （24%）等热词较为了解，但比例依然偏低；对于伪基站 （10.4%）、广告联盟 （9%）、社工库 （2.8%）等专业词汇了解较少。这表明大学生对于侵犯个人信息犯罪的基础术语有一定的认识，但是缺乏对于专业术语的了解，大学生对侵犯个人信息犯罪的整体认识程度偏低。

表8：问卷调查对象对相关术语的了解情况

（四）大学生个人信息犯罪被害救济不足

我们发现，大学生在遭遇个人信息犯罪被害之后，往往难以采取有效的救济措施维护其信息权利。

问卷调查发现，被害后大多数人选择采取防御性的补救措施。如表9显示，拉黑的比例最高，占比为32.6%；其次是隐匿个人信息 （26%）、置之不理 （14.4%）。相比之下，选择报警或诉讼等进攻性补救措施的占比较低，选择诉讼维权的仅有3.8%。这表明，在个人信息泄露后，大学生多选择自力方式进行消极保护，较少通过公力方式进行积极维权。

表9：问卷调查对象个人信息泄露后的补救措施情况

如表10显示，在完善个人信息保护建议的选项中选择比例从高到低分别为 “建立健全国家个人信息保护法律体系”（74.2%）、“司法机关提升打击个人信息违法犯罪力度”（71.6%）、“强化对公民个人信息保护的宣传教育”（62.5%）、“建立保护个人信息的社会公益组织”（48.4%）。这表明，大学生更期待依靠公权力机关保护个人信息。问卷调查对象对公力救济的高诉求与选择公权力救济的比例低形成鲜明反差，侧面反映出公力救济不足的现状。

表10：问卷调查对象对我国个人信息保护的建议

五、大学生个人信息犯罪被害原因的分析

我国侵犯大学生个人信息犯罪呈现被害数量大、被害率高、犯罪黑数大、被害后果多重、公权力救济不足等特征，可以从国家层面、社会层面和个人层面等多个层面中寻找原因。

（一）国家层面：立法缺失与司法缺位

第一，大学生个人信息立法保护缺失。研究发现，目前我国有关个人信息保护立法不够充分，“这些规定零散，几乎没有发挥法律效力”。⑩王秀哲：《我国个人信息立法保护实证研究》，载 《东方法学》2016年第3期。立法难以对个人信息提供全面的保护是导致大学生个人信息犯罪被害的屡屡发生的重大制度原因。在刑法层面，《刑法》第二百五十三条规定了侵犯公民个人信息罪，虽然 《刑法修正案 （九）》将该罪的主体范围扩大到一般主体，但是其 “情节严重”的标准显然对于大学生个人信息保护而言门槛过高。在行政法层面，《网络安全法》第四十一条第一款规定了个人信息的收集与使用规则，第四十一条第二款、第四十二条规定了个人信息的保管规则，但是这些规定主要针对网络运营者、网络产品或者服务的提供者、关键信息基础设施的运营者、电子信息发送服务提供者、应用软件下载服务提供者，难以对考试系统等领域的大学生个人信息提供全面保护。在民法层面，《民法总则》第一百一十一条虽然明确规定了个人信息权，但在具体制度构建上依然是空白。更为重要的是，我国不仅个人信息保护法律体系欠完善，更是缺乏对于大学生群体予以专门保护的法规或规章，降低信息保护的针对性。

第二，大学生个人信息司法保护缺失。在司法实践中，不存在以侵犯个人信息为由而提起的民事诉讼案件，而刑事审判实践中查处侵犯大学生个人信息犯罪的案件也仅有2例，可见侵犯个人信息行为进入司法程序的案例极少，司法保护缺失。但从表1可知，几乎每个大学生均成为侵犯个人信息行为的被害人并且大学生要求公权力提供救济的诉求极高 （见表10）。二者形成鲜明反差的唯一合理的解释是，司法维权渠道堵塞，大学生不愿通过司法方式维护个人信息权益。

司法维权渠道堵塞的原因可能在于：第一，侵犯个人信息行为给被害人造成的损害主要为精神损害 （见表3），而精神损害很难量化，法院很难支持其损害赔偿请求；第二，从刑事案件角度上看（见表11），侵犯个人信息犯罪手段较为隐蔽，犯罪行为不易被感知而案发；并且案件侵犯个人信息数量巨大，刑事立案必须达到一定的数量标准，单个被害人报案由于未达立案标准而很难立案侦查。

表11：侵犯大学生个人信息犯罪的个案分析

（二）社会层面：个人信息利用主体未全面履行保护义务

在大数据环境下，公私领域对于数据利用的需求也比以往任何一个时代更加迫切。①张新宝：《从隐私到个人信息：利益再衡量的理论与制度安排》，载 《中国法学》2015年第3期。调查发现，个人信息利用主体义务履行缺位也是大学生个人信息犯罪被害频发的重要原因：

第一，高等院校与相关教育部门未全面履行保护义务。比如有学生指出公开张贴学生的学业成绩，公开申请资助学生的个人信息，在心理咨询中不注意保护咨询学生的隐私，在宿舍管理中未告知或未经学生同意擅自进入学生私人空间等行为，都在不同程度上侵犯了大学生的隐私权。②陈廷根、赖嫦媛：《高校管理中大学生隐私权的保护》，载 《高校探素》2011年第5期。或者认为，高校管理中，侵犯大学生 “私的权利”集中体现于校方在未经授权的情况下，非法干涉甚至公开大学生的隐私信息。③刘磊、彭云杰：《高校管理中大学生隐私保护的法律思考》，载 《教育科学》2012年第4期。就大学生而言，存储在教育考试系统中的个人信息泄露是最具特色也是最具危害的泄露方式。表11所示，报名考试网站、学籍管理系统由于安全系数较低而成为黑客频繁攻击的对象、管理大学生个人信息数据库的机构及其工作人员利用工作便利泄露个人信息的案例也较为多见。此外，各类由教育部门开办或授权的考试机构也是持有大学生个人信息的重要主体，由考试报名导致信息泄露的情况并不鲜见。徐玉玉案中的个人信息也是从教育考试系统中泄露。基本可以认为，高等院校、教育考试部门未尽到必要的谨慎与勤勉管理义务。

第二，网络服务提供者未全面履行保护义务。“大数据的核心以存储和传输过渡为数据的挖掘和利用。”④于志刚、李源粒：《大数据时代数据犯罪的制裁思路》，载 《中国社会科学》2014年第10期。大数据交易公司在利用个人数据过程中可能存在着各式各样的问题，比如个人数据收集过度、个人数据收集未经许可、数据匿名化处理失败、数据模糊化处理失败、交易范围不明确、交易规则不完善等等。而各个数据交易公司为应对上述问题，除了致力于提高自身的数据处理技术以及安全保障技术之外，也积极地推动大数据行业相关规章制度的制定实施。例如我们走访的多家企业都加入了 《数据流通行业自律公约》，长江大数据交易所更是成立了自己的大数据研究院，为有关部门的立法提供案例参考或意见指导。我国的大数据产业尚处于起步阶段，还未常态化、规范化。这种买卖双方直接交易，缺乏统一的法律监制或行业规范，交易过程的安全与否取决于卖方的商业道德，加之大量的灰色、黑色产业链的存在，在商业利益的驱使下极易出现非法利用个人数据的情况。比如人们 “日常生活中司空见惯的各类商品推销电话，正是 ‘下家’非法使用公民个人信息的一种方式。”⑤刘宪权主编：《刑法学研究：〈刑法修正案 （九）〉立法与司法研究专员》，上海人民出版社2016年版，第122页。此外，“实践中侵犯个人信息还可能是合法获取但非法利用个人信息的情形。”⑥周林彬主编：《民商法的法律适用：人格权法与商法制度的完善》，暨南大学出版社2013年版，第344页。

（三）个人层面：大学生个人信息安全意识与能力缺乏

调查发现，大学生个人信息保护意识与能力有待加强。

第一，大学生个人信息保护意识薄弱。访谈发现，一些大学生由于防备心理不足或者贪图小利，没有认识到个人信息权利的重要性，出于善意或者参加 “扫码抽奖”等活动将个人信息提供给他人从而导致被害。在侵犯个人信息违法犯罪行为的相关术语中，问卷调查对象仅是对于人肉搜索、木马程序、钓鱼网站三个术语较为熟悉，对于伪基站、广告联盟、社工库等术语缺乏了解 （见表8），从一个侧面反映出大学生对于侵犯个人信息的违法犯罪行为缺乏足够了解。从图1可知，对术语的了解与个人信息泄露严重性呈反比，“了解六个术语”的人遭受个人信息泄露情况最小。因此，提高大学生对个人信息违法犯罪的了解有利于提高个人信息安全。

图1：了解术语程度与个人信息泄漏情况交叉列表

第二，大学生个人信息保护能力不足。首先，大学生自力救济能力缺乏。大学生预防个人信息泄露的措施有限 （见表7）致使大学生欠缺个人保护能力；加之该类犯罪被害人多、行为人不易查找，使得大学生通过自己的能力维护个人信息安全的路径难以实现。其次，公力救济渠道不完善以及大学生群体偏好导致公力救济虚化。问卷调查发现，个人信息泄露后选择举报或报警的仅有36.6% （见表9），比例偏低；而选择诉讼的更是低至7.5%，为各种维权方式选择比例之最低。

六、结论与建议

第一，制定专门的 《个人信息保护法》。从立法角度上看，研究发现立法不完善是导致侵犯个人信息的违法犯罪多发的重要原因。至今，我国尚未出台 《个人信息保护法》，我国在保护个人信息方面已经形成了35部规范性文件的分散立法格局，但法律实施效果不佳使国家治理现代化面临挑战，买卖个人信息黑色产业链使社会治理精细化陷入困境，个人信息泄露泛滥使公民基本人权保护遭遇危机。因此，亟需制定综合性的法律 《个人信息保护法》以实现源头治理。曾有学者提出《中华人民共和国个人信息保护法示范法草案学者建议稿》认为应 “取法德国模式进行统一立法，较好地为个人信息的保护和利用提供统一的行为规范”。⑦齐爱民：《中华人民共和国个人信息保护法示范法草案学者建议稿》，载 《河北法学》2005年第6期。我们认为，在立法过程中应以保障人权作为价值定位，坚持人权、合法、正当和安全以及平衡的基本法律原则，通过国家互联网信息办公室为首的协同化治理模式以及多层次法律责任体系，有效规范公民个人信息的收集、处理、传输和利用诸环节的权利义务关系。

第二，教育部应制定行政规章如 《普通高等院校学生个人信息安全保护办法》。研究发现，大学生个人信息被害的危险源、被害原因和被害特征均具有明显特殊性，如大学生个人信息泄露源主要是学校、培训机构、考试机构等教育机构 （见表6）。因此，未来在完善个人信息保护立法中，教育行政部门制定专门保护大学生个人信息安全的行政规章也具有一定的必要性和可行性。以台湾地区为例，“个人资料保护法”是保护个人资料的基础性法律，除此之外，还有 “私立专科以上学校及私立学术研究机构个人资料档案安全维护实施办法”“短期补习班个人资料档案安全维护计划实施办法”“私立职业训练机构个人资料档案安全维护计划及处理办法”等单行条例保护在校学生的个人信息。大陆可以借鉴台湾地区的立法经验，由教育部牵头制定以保护大学生个人信息安全为主要内容的 《普通高等院校学生个人信息安全保护办法》。

第三，充分发挥 《信息安全技术个人信息安全规范》的作用。从个人信息安全保护上看，研究发现信息利用主体未全面履行安全保护义务是大学生个人信息犯罪被害的重要原因。从美国个人信息保护的经验上看，促使信息利用者全面履行安全义务可以从法律和行业自律两个方面展开。我国个人信息保护立法相对滞后，因此应利用行业组织等社会团体的力量，以行业标准或者行业规范来约束个人信息利用主体履行安全保护义务。全国信息安全标准化技术委员会组织制定和归口管理的国家标准GB/T 35273-2017《信息安全技术个人信息安全规范》已经于2018年5月1日生效，应积极进一步研究大学生各种生活场景中个人信息安全的风险点，为标准的改善积累经验。

第四，畅通私力救济渠道。从维权角度上来看，侵犯个人信息行为的损害结果大多是精神层面的损害 （见表3），而精神层面的损失很难具体化，导致公力救济渠道堵塞进而导致大学生被害后寻求公力救济不足。我国台湾地区 “个人资料保护法”第二十八条规定，个人有权请求赔偿实际损失，但如被害人不易或不能证明其实际损害额时，得请求法院依侵害情节，以每人每一事件新台币五百元以上二万元以下计算。该立法模式降低了原告的证明责任，解决了侵犯个人信息行为损害后果难以计算的维权困境，值得借鉴。