中国教育科技企业的“罪”与“罚”

企业应该在商业和自律中找到平衡，在以人格尊严为支撑的个人信息保护在公共利益面前，存有敬畏之心。

文/王歆辛 亿欧智库分析师

日前，我国工信部公布了2019年第一季度电信服务质量通告，从电信和互联网用户个人信息保护监管情况、电信用户申诉举报情况、电信服务监管情况、经营及消费提升等四方面通报了有关情况。

在电信和互联网用户个人信息保护监管情况的通告中，工信部抽查的100家互联网企业106项互联网服务中，有18家企业存在未公示用户个人信息收集使用规则，未告知查询更正信息渠道，未提供账号注销服务等问题，其中包括北京学而思教育科技有限公司，即学而思网校，其存在的问题为：未公示用户个人信息收集使用规则，未告知查询更正信息渠道。

事实上，距离工信部发布通知至今，超过一周的时间，并未有教育行业的主流媒体对此进行过报道，且不说收集用户信息是否已经是我国互联网企业的常态，但针对于未成年学生用户，笔者坚持认为这件事是重要的。

为什么？

我们设想一下：当孩子和成年人都在下载一个新的应用程序，或者创建一个在线帐户时，孩子们更会倾向于毫不思索地点击“我同意”和“允许”。毕竟，他们可能想象不到，最糟糕的后果会是什么样的。

中国教育科技企业的“罪”与“罚”

引用自媒体半佛仙人，一篇“隐私泄露下的数据暗网，分类标签中的爱恨一生”的文章，在最后作为网络安全工程师的作者设想了这样一个景象：（下文括号内为企业可利用调取的数据分析出来的信息）

小明，在广告公司上班（通过短信读取公积金信息，或者支付宝绑定公积金）。

28岁，男性（身份证号拆解）。

本科学历（学信网接口通过身份证号调用），外地人（身份证号前6位对比工作所在地）。

租房（租房APP或者代缴水电费账户名字与本人不同）。

贷款买了一辆小车（贷款APP数据，支付宝绑定行驶证，每月短信还款提醒）。

平时的消费爱好是买书和拼多多（支付类APP付款记录），以及打手游（游戏类APP以及账号体系）。

经常去XX网吧通宵（外卖收货地址，网吧管理软件用户体系）。

住在XX小区（快递收货地址，手机LBS活跃圈，WIFI连接热点）。

……..

等等等等等等等（10086个等等）。

所有的消费者在平常的每一天都在为企业的商业帝国贡献着最基础的数据原料，供企业一遍一遍的优化消费者用户画像，把每个人打上更准确的标签，最终实现预测、甚至诱导你的某些行为。

互联网企业采用各种方式竭尽所能地搜索你的数据：常规最基础的是主动的搜索记录、其次是手机APP 列表、LBS地理位置推送、读取输入法。

如果按照这样的规则，我们来假设一下教育机构拿到这些数据之后还可能做什么？以下仅为笔者演绎推测，与企业无关，如有雷同，纯属巧合。

小花，初三年级学生（报名课程为初三学段）

15岁，可爱的小女孩（通过微信授权注册，包括微信头像、昵称、朋友列表，通过后台数据可以给头像、昵称打标签进行人设分类）

家境富裕，对于机构品牌认可度高（选择课程客单价高，连续报班，对于价格敏感度低）

学习基础较为薄弱，重点补习理科知识（选择班型较为基础，且固定在数学、物理等学科）

……

这还只是小花在某学习APP上贡献的数据，还不包括针对于她本人相关APP数据的相互调用，如果再加上小花朋友的数据，父母的数据，最终就会成为一张定位小花一生的网络。

而在真实的商业中，也许教育公司利用用户数据挖掘还没有这么高能或者愿意花成本去这样做，常见的可能还是在研发衍生品，电销、精准推送等领域，更甚的是他们也不知道到底要做什么，毕竟其他的APP都搜集，自己不搜集仿佛就输在了起跑线。

就像任何事情一样，对于隐私地捍卫者也随着数据利用而生，当代的个人信息保护议题至少可以追溯到上世纪60年带大规模电子数据库的建立。自那时起，信息自决权、信息隐私权的主张，FTC的规制、FIPS的实践，以及去年生效的GDPR（欧盟数据保护条例），作为法律系统的应对方案层出不穷。

聚焦在学生数据安全问题也不是笔者的杞人忧天，去年规范APP进校事件后，教育部曾约谈部分学习类APP负责人关于数据安全的问题，已经意识到在教育信息化全面推进的进程中可能存在的风险和隐患。

互联网教育产品扩大了线下机构的管理半径，使得规模增长明显，短时间内用户量大幅上升，以笔者目前掌握的数据上来看，学而思网校的注册规模超过800万；最大的工具类产品，作业帮，用户量突破4亿，月活超过8000万。

所以，有企业家立下军令状：如果国家需要，学生数据将全部上交。

除了约谈敲边鼓外，一系列的法律法规已经在明确数据安全的保护，通过梳理，笔者有以下发现：

我国现行的法律体系对公司有关个人信息手机、存储、使用、共享、转让、披露、安全管理等存在严格要求。已生效或即将实施的中国的法规《网络安全法》、《个人信息安全规范》《信息安全技术个人信息去标识化指南（草案）》。

聚焦在教育领域的包括：2019年2月，教育部办公厅印发《2019年教育信息化和网络安全工作要点》，“网络安全”出现53次，其中也明确提出深入贯彻落实《网络安全法》和加强教育系统数据安全防护能力。2018年12月，教育部办公厅发布《关于严禁有害APP进入中小学校园的通知》提出需要严格审查进入校园的学习类APP，强调要要保障学生信息和数据安全，防止泄露学生隐私。

但令人遗憾的是，受制于政策强度和执行力度，国内的互联网企业在用户数据和隐私安全上做的并不令人满意。特别是，相比于美国企业，中国教育科技公司做的远远不够。

美国教育科技企业在怎么做？

在说美国企业怎么做之前，笔者想先来探讨一下，是不是真的像公众认为的那样，中国人更愿意用隐私换方便。

答案可能是否定的，这其中存在着隐私悖论。

企业和消费者处于事实层面的不平等。企业拥有人员、技术、财力等方面的综合优势，而消费者很难发现信息的泄露，信息侵害往往发生在不知不觉中。企业往往以获取个人信息伪提供服务的前提条件，而在这个移动支付、网络社交、自媒体、云传播的时代，个人面对网络平台，尤其是具有较高市场占有率的机构，几无拒绝的空间。

另一方面，个人远非平等民事关系中预设的具有高度理性和判断能力的主体，消费者能否有效阅读或理解专业、细致以至冗长的个人信息/隐私保护条款暂且不论，面对复杂的互联网信息业态，各种潜在的个人信息处理行为，个人在跟不上缺乏有效的判研能力。

综上的结论是，信息主体的个人信息的控制权完全被公司掌握，其本身处于被动地位， 这就更要求公司提高个人信息保护意识，确保个人信息的安全性。

说回美国教育科技企业，与中国教育企业目光紧盯获客不同，美国最大的教育媒体Edsurge上热门搜索第一项是：数据隐私。

例如在在路易斯安那州，任何人收集或分享学生的个人身份信息(或简称PII)，可被处以6个月的监禁或1万美元的罚款。

下面就请一起来看看，在美国联邦及州法律越来越关注到教育科技企业数据隐私的问题的时候，一家教育企业在实施产品或服务时，需要考虑到哪些问题：

1、更新隐私策略并考虑隐私声明，包括定义个人可识别信息(PII)，并说明收集到的PII类型，以及使用用途。作为一项一般性准则，明确指出，PII绝不出售或用于营销、商业或政治目的(大多数州和机构禁止这类使用PII)，并应限于协议内为提供服务而使用的用途。

2、确保PII的所有权归学校所有，而不是企业。

3、遵守客户的删除、销毁和加密标准，其实这一条与我国工信部的要求相一致，FERPA（《家庭教育权利和隐私法》）和GDPR（《通用数据保护条例》）也都把重点放在企业如何在协议终止时处置PII，具体而言，条例要求在许可证或协议终止时或应请求立即销毁PII。

4、澄清来文，保持与终端客户的数据沟通。

5、与公司上至CTO，下至销售人员及时通报隐私方面新的立法和公司执行的新的标准。

6、考虑第三方合作伙伴，并要求代表他们也遵守数据隐私和安全标准，同时标准需符合联邦、州和地方立法。

7、学校通常有规定所有供应商、第三方供应商和服务器必须设在美国的政策。

8、除了州和地方的法律，请看一下关于供应商最佳做法和一般学生隐私。

由此可见，相比于中国互联网公司对于用户隐私的“无法无天“，美国教育科技企业来可以说是诚惶诚恐。在一个数据挖掘技术更为先进的国家，他们对于用户隐私的保护的认知也遥遥领先。

写在最后

其实，笔者写这篇文章的目的并不是为了diss某一家教育机构，反而，更相信大体量的正规企业，事实上拥有更完善的内部管理模式和对于政策法规更完善的遵循机制。

只是希望消费者们可以正视个人数据的保护，对于非法的侵害说不，而非被需求裹挟着按下“同意”按钮。而企业更应该在商业和自律中找到平衡，在以人格尊严为支撑的个人信息保护在公共利益面前，存有敬畏之心。

（更多精彩内容，关注都市财经，或者点击这里打开都市财经手机版）