当期荐读 2024年第4期 | 数智时代的个人信息保护失范行为：AIGC赋能的扎根理论分析

学术 2024-09-05 16:00 湖北

图源 | Internet

赵海平¹　刘志鑫²　孙彦超¹　江　娜³

1.中国石油大学（华东）经济管理学院，青岛，266580；

2.对外经济贸易大学信息学院，北京，100029；

3. 北京师范大学-香港浸会大学联合国际学院工商管理学院，珠海，519087

摘要

Abstract

数智时代个人信息被广泛收集和深度利用的背景下，识别个人信息保护失范行为对于推进个人隐私及信息安全保障具有重要意义。本研究基于当前个人信息保护相关法律法规，采用AIGC辅助的扎根理论分析方法，对2100个违法案例进行定性分析，识别个人信息处理活动中常见的信息保护失范行为，并对其进行系统梳理和分类，最终确定了11大类、55小类个人信息保护失范行为，并分析了数智时代个人信息保护的重点问题。本研究不仅能够为个人信息保护相关研究提供可遵循的理论框架，还可为政府职能部门等各类组织提供决策支持。

关键词

个人信息保护　失范行为　AIGC　扎根理论　隐私合规　信息安全

引用格式

赵海平，刘志鑫，孙彦超，等.数智时代的个人信息保护失范行为：AIGC赋能的扎根理论分析[J].信息资源管理学报，2024,14(4):59-69.

01 引言

　　随着全球数字化进程加速推进，人类社会产生的数据量呈爆炸性增长，海量数据被用于商业、政府、医疗等领域的决策，导致大量个人信息被收集利用，对个人隐私构成极大威胁^[1]。尤其是数据驱动的人工智能技术与各行各业的深度融合，加剧了个人信息泄露和滥用的风险。这不仅增加了公众对个人信息泄露和隐私问题的关注，也使企业和政府机构在道德和社会责任方面面临更大压力^[2]。鉴于个人信息保护已成为影响公众福祉和社会发展的重要议题，各国相继出台相关法律法规，如欧盟于2018年施行《通用数据保护条例》（General Data Protection Regula-tion，GDPR）。我国也于2021年出台了《中华人民共和国个人信息保护法》（简称《个人信息保护法》），旨在规范个人信息处理活动，强化个人信息保护。

　　在日益完善的监管框架下，以往模棱两可、难以界定的个人信息边界得以明确，个人信息保护失范行为也得以揭露。例如，科技巨头谷歌公司和脸书公司因未能获得用户对cookie的适当同意而被分别处以1.5亿和6,000万欧元罚款。我国网约车平台滴滴公司因过度收集和处理个人信息等行为被处以80.26亿元罚款。在此背景下，对当前监管环境下个人信息保护失范行为的认识与理解至关重要，不仅能够促进个人信息的合理利用、帮助组织更好地满足合规性要求，同时可以辅助相关部门明晰监管要点、有的放矢。

　　以往文献大多通过调研个人隐私担忧^[3-4]和企业数据保护实践^[5-6]等方式来识别可能存在的个人信息保护失范行为，然而这些研究的结论通常比较主观，不能系统地识别真实、客观的个人信息保护失范行为。因此，本研究以个人信息保护相关法律法规为指导，通过对违法案例进行定性分析，识别各类组织及个人在处理个人信息时的信息保护失范行为。具体而言，本研究以欧盟GDPR和我国《个人信息保护法》为基准，收集了2255个违法案例，依照扎根理论分析流程对所收集案例进行定性分析，最终得出包含两层级的个人信息保护失范行为分类框架。为提高分析效率，本研究在扎根理论分析过程中利用人工智能生成内容（Artificial Intelligence Generated Content，AIGC）辅助编码和分类。本研究不仅有助于加强对个人信息保护失范行为的全面理解，也为探索AIGC辅助科研人员提高科研效率提供了可行思路。

02 个人信息保护失范行为相关研究

　　个人信息保护是当前数据治理领域的前沿与热点主题。虽然文献中对个人信息保护失范行为尚未有明确的概念界定，但已有学者围绕个人信息使用担忧、个人信息保护不当行为、个人信息保护风险等概念进行了探讨，如表1所示。目前研究视角主要包括个人、企业和政策三种视角。基于个人视角，研究者通过调研个人对信息使用的担忧得出对信息保护失范行为的侧面理解。例如，齐英程^[7]发现在突发公共卫生事件中，公民对个人信息处理行为的风险感知包括不当处理、过度处理、缺乏必要的安全保障措施等。基于企业视角，研究者通过调研企业相关人员以识别企业的个人信息保护失范行为。例如，Garba等^[6]发现企业数据实践不足包括机密信息丢失、缺少统一的设备管理方法、缺乏足够的技术控制以及专门的信息安全人员等。基于政策视角，研究者对各类网站、APP的隐私保护政策的合规性进行评估发现，许多隐私保护政策存在缺少关键信息、晦涩难懂等问题^[8-10]。Zhao等^[11]总结了较为全面的数据保护不当行为，但只考虑了国外企业案例，且未涵盖智能技术应用带来的个人信息隐私问题。

表1　个人信息保护失范行为相关研究

　　通过文献梳理发现，目前对个人信息保护失范行为缺乏全面和客观的认识。一方面，现有研究很难通过调研个人和企业来客观地了解真实的个人信息保护失范行为，另一方面，现有研究识别的个人信息保护失范行为往往局限于单一情境（如社交网站）。鉴于目前个人信息保护失范概念尚未有明确的概念界定，本研究参照Zhao等^[11]对企业数据保护不当行为的定义，将个人信息保护失范行为定义为组织或个人违反个人信息保护相关法律法规，对个人信息隐私和安全构成威胁的任何作为或不作为。基于此定义，本研究旨在通过对个人信息保护的违法案例进行分析，从而对个人信息保护失范行为进行全面、客观的了解。

03 研究方法

3.1　数据收集

本研究选取迄今最严格、最具代表性的欧盟GDPR和我国《个人信息保护法》作为基准，利用可公开获取的违法案例作为数据来源。GDPR案例数据获取自GDPR执行情况在线追踪数据库（CMS.Law GDPR Enforcement Tracker），该数据库记录了自GDPR生效以来公开发布的罚款案例。对于每个罚款案例，该数据库记录了罚款案例的国家、相应监管机构、发布日期、罚款数额、控制者/处理者名称及其行业类型、违反的条例、案例概述和罚款案例判决书的原始链接等信息。本研究获取了该数据库中2018年5月至2023年8月期间记录的2071条GDPR罚款案例数据，其中16个案例由于被撤回或缺乏必要信息而被排除在外，最终共有2055个案例被纳入进一步分析。经统计发现，欧盟所有成员国均有罚款案例，数量最多的三个国家分别是西班牙（N=746，36.30%）、意大利（N=306，14.89%）和德国（N=164，7.98%）。总罚款案例数量逐年增多，由2018年的13个增加至2022年的602个，2023年前八个月共有342个。在违法企业所在行业方面，数量最多的分别是工业和商业（N=406，19.76%），媒体、电信和广播行业（N=260，12.65%）以及个体组织（N=241，11.73%）。对于违反我国《个人信息保护法》的案例，由于该法律实施时间尚短，未有全面的数据来源，本研究采取搜索引擎检索的方式，以“个人信息保护法+案例”作为关键词进行检索，共获得相关案例45个。

3.2　数据分析

　　本研究采用扎根理论对所获取数据进行分析，严格按照其编码流程开展，即开放性编码、主轴性编码和选择性编码。由于数据集中的案例数量较多，完全采用“人工阅读+多轮编码”的方式工作量过大，因此，本研究采用前沿的生成式人工智能技术来辅助人工编码过程。随着ChatGPT等人工智能大模型迅速融入人类社会生活，AIGC的赋能作用日益增强，为新闻媒体、医疗健康等各行业带来便利与创新，在辅助科研人员提升科研效率方面也极具潜力^[14-15]。基于上述优势，同时考虑到案例数据均为英文材料，本研究采用ChatGPT作为辅助性工具，利用其生成内容来辅助编码员形成对个人信息保护失范行为的理解和分类。具体而言，在开放性编码阶段，ChatGPT可以为开放性编码提供新的思路；在选择性编码阶段，基于其分类准确性的前提，可提升分类选择效率，帮助编码者处理分类编码耗时的重复性工作^[15]。但由于其无法像人类一样进行复杂的思考，并且生成内容可能具有误导性信息，因此需要人工鉴别，以保证整体分析的准确性。

　　本研究将数据集分为四个数据子集，分别应用于不同阶段的编码。数据集1包括2022年8月至2023年9月期间的580个GDPR案例，用于开放性编码和主轴性编码。数据集2包括2022年1月至7月期间的356个GDPR案例，用于主轴性编码。数据集3包括2018年5月至2021年12月期间的1119个GDPR案例，用于个人信息保护失范行为的分类。数据集4包括2021年11月至2023年8月期间的45个《个人信息保护法》判决案例，用于个人信息保护失范行为分类框架的饱和性和稳健性检验。本研究的整体编码流程如图1所示，由三位熟悉扎根理论方法的人员参加，共包括一轮开放性编码、两轮主轴性编码、一轮选择性编码、饱和性和稳健性检验以及AIGC辅助的分类任务，具体步骤如下所述。

图1　整体编码流程

3.2.1 开放性编码分析

　　在开放性编码阶段，三位编码员先反复阅读数据集中的案例以充分了解每个案例的内容为后续编码做准备。然后由编码员A对所有案例数据进行预处理，去除与编码无关的内容。接着，向ChatGPT提问数据集1案例中可能存在的个人信息保护失范行为，并得到返回结果。由于ChatGPT每次会生成不同的结果，编码员对每个案例进行三次提问，以避免遗漏有价值的信息。保留三次提问中的非重复内容，为实施后续编码过程提供帮助，输入命令与返回结果示例见表2。根据ChatGPT的返回结果，三位编码员分别对该案例进行开放性编码，从返回结果中选出最符合该案例的条目，或参考返回结果自行提出更符合该案例的条目作为开放性编码结果。在本轮编码结束后，编码团队对开放性编码结果进行汇总、合并与删减，得到初步的个人信息保护失范行为分类框架。

表2　ChatGPT辅助开放性编码示例

3.2.2 主轴性编码分析

　　根据开放性编码得出的初步分类框架，对数据集1中的案例进行第一轮主轴性编码，验证该框架是否能够涵盖所有案例并进行区分。之后编码员再次对编码结果进行讨论，对分类框架进行修改和完善，并在讨论中借助Chat-GPT来检验修改后的分类框架是否合理并进一步完善该列表。ChatGPT根据命令对给定案例进行分类，对于无法对应到分类框架的案例则给出更适合类别的建议。根据修改后的分类框架进行第二轮主轴性编码，此轮编码涵盖数据集1和2中的所有案例，纳入数据集2是为了初步检验该分类框架的饱和性与完整性。之后对编码员的编码结果进行一致性检验，得到Fleiss’ s kappa系数为0.88，表明三位编码员之间具有较高的一致性。随后再次围绕不一致的编码结果展开讨论。

　　最后，使用ChatGPT对数据集1中的案例进行编码，与人工编码结果进行对比以检验AIGC辅助分类的可靠性。首先详细定义各类别内涵与适用情况的规则，例如，如果没有隐私政策或隐私政策不完整，则将之视为“不恰当的隐私政策”。然后对每个案例进行提问，得出案例的条目作为主轴编码结果，输入命令与返回结果示例如表3所示。通过对比发现，ChatGPT返回的编码结果与人工编码结果的一致性可以达到90%以上，且返回结果较为稳定，因此利用AIGC辅助案例分类具有较高的可靠性。鉴于此，本研究利用Chat-GPT对数据集3中随机抽取919个案例进行编码（剩余的200个案例用作饱和性测试），确定各类失范行为的分布情况，同时识别前期案例中可能遗漏的个人信息保护失范行为。在AIGC的辅助下，编码员进一步完善个人信息保护失范行为分类框架。

　　为了确保上一步中得出的个人信息保护失范行为分类框架足够完整，本研究实施了饱和性测试，具体而言，对数据集3中剩余的200个案例按照上述分类框架进行编码，确保该目录能够有效对此200个案例进行分类，并且没有新的类别产生，以确定该分类框架已趋近饱和。之后，研究人员根据该分类框架对数据集4中《个人信息保护法》判决案例进行编码发现，所有案例均可在本研究所提出的分类框架中找到对应类别，因此可以确保该分类框架的稳健性。

表3　ChatGPT辅助主轴性编码示例

3.2.3 选择性编码分析

　　选择性编码是在开放性编码和主轴性编码结果的基础上进行的三级编码，旨在通过梳理各类别之间的关联，最终确定主类别与核心类别之间的关系。在此阶段，编码员通过文献调研与案例回顾，对各级分类之间的关联与层次进行梳理，得出最终的个人信息保护失范行为分类框架。具体而言，选择性编码以GDPR规定的数据处理原则为指导，包括合法、公平与透明原则、目的限制原则、存储限制原则、数据最小化原则、准确性原则、诚信与保密原则，通过归纳与重组前两阶段编码得出的个人信息保护失范行为类别，得出最终的理论性框架。

04 分析结果

　　通过扎根理论分析，本研究确定了违反数据处理原则的11大类、55小类个人信息保护失范行为，具体类别如表4所示，下面将结合具体案例对各类个人信息保护失范行为展开论述。

表4　个人信息保护失范行为分类框架

4.1　违反合法、公平与透明原则的失范行为

　　合法、公平和透明原则强调信息处理者对个人信息的处理必须有法律依据，且需以公平和透明的方式向个人披露其信息将被用于何种用途、如何使用、信息留存期限以及个人所拥有的信息权利等，同时还应对信息处理产生的影响进行评估和预防。首先，信息处理者必须以规范的隐私声明的形式向个人告知信息处理活动，并以合规程序获得个人对信息处理活动的同意。常见的个人信息保护失范行为包括缺少隐私保护声明或声明未以清晰易懂且易于访问的形式告知必要信息、以默认或强迫同意等方式获得个人同意等。其次，信息处理者必须保障个人信息权利，包括信息访问权、修改权、删除权以及反对信息处理权、限制信息处理权、撤回同意权等，未及时回应或满足个人行使权利的请求均构成失范行为，常见的行为包括不允许用户撤回同意、即使用户反对也依然发送商业短信等。再次，信息处理者应完善敏感信息保护机制，确保在必要情况下处理敏感信息并获得个人授权。常见的失范行为涉及未经授权处理或非必要处理个人的生物识别、宗教信仰、医疗健康、金融账户、行踪轨迹等信息以及未成年人个人信息。

　　此外，个人信息处理活动必须建立在个人授权或法律基础上，例如，为履行合同、遵守法律义务、保护个人或公共权益等目的而采取的必要活动。常见的失范行为包括视频监控拍到公共区域、未经授权公开披露个人信息、利用职务之便私自访问个人信息、贩卖个人信息等。再者，组织应具有完善的信息保护管理措施和组织管理措施。从信息管理层面而言，组织应将信息保护作为一种默认的机制，将其贯穿于各业务流程中，在信息处理活动之前对其影响进行评估，并对信息安全进行日常检查，确保自动化处理决策和信息处理过程的透明性，确保信息发布的合法合规性，同时完善信息存储机制。常见的失范行为包括未进行信息保护影响评估、未设置信息存储时限等。从组织管理层面来看，常见的个人信息保护失范行为包括员工培训不充分、未任命信息保护官、未能积极配合监管机构调查等。最后，也需要关注信息处理者之间的合作，常见的失范行为表现为未进行充分的尽职调查、缺乏有效的管理和监督机制等。

4.2　违反目的限制、存储限制与信息最小化原则的失范行为

目的限制是指信息处理者只能出于指定、合法目的来处理个人信息，存储限制是指存储个人信息的时间不能超过达成其目的所需要的时间，信息最小化则是指信息处理者只能收集和处理与其目的相关且必要的个人信息。常见的失范行为表现为对访问权限的控制不足，即与信息处理无关的人也拥有信息访问权，导致职权滥用、隐私泄露等问题。相比国外，我国因滥用职权而导致个人隐私数据的泄露问题较为突出，各行各业都可能成为数据泄露重灾区。其次，许多组织存在对个人信息的二次利用，例如除原本的信息处理目的外，还将个人信息用于营销宣传、政治用途或私人目的。此外，常见的失范行为还包括对个人信息的过度收集、过度存储与过度处理。过度收集通常表现为利用视频监控对公众或雇员个人信息的过度采集（如宗教信仰、健康状况、指纹信息等非必要的个人信息）。过度存储是指存储个人信息超过所设置的存储时限或未在合同、关系终止后及时删除个人信息等。过度处理则是指在非必要的情况下处理个人信息，常见的失范行为包括将个人信息披露给无关人员，在非必要的情况下使用或公开个人信息等。

4.3　违反准确性原则的失范行为

准确性原则要求信息处理者采取合理措施，以确保数据的准确性，并在必要时保持数据更新，对不准确的信息及时删改。该类别下常见的失范行为首先是采用不充分的身份验证机制，即未采取充分措施核验个人身份，常存在于个人信息查询、信息处理以及合同签订时，可能造成个人隐私泄露、欺诈等不良后果。其次，还可能存在对个人信息的错误处理，例如错误地发送个人信息给第三方。除此之外，组织还应对个人信息进行日常维护，以确保信息的准确性和最新状态。最后，个人信息保护失范行为还表现为数据造假，包括伪造个人签名、伪造合同等，这通常是由于组织、员工或个人为获利而采取的非法行为。

4.4　违反诚信与保密原则的失范行为

诚信与保密原则要求信息处理者采取适当的技术措施或组织措施确保个人信息的安全性和保密性，防止未经授权或非法处理个人信息以及意外丢失、破坏或损坏个人信息。该类别下常见的失范行为包括由未经授权的信息访问、信息披露和信息传输造成的信息泄露。不安全的信息存储是指未采取充分的措施保护已存储的个人信息，例如未进行加密处理。不安全的信息处理主要指在信息处理的过程中缺乏充分的保密措施，例如发邮件时未采用匿名分发与抄送。不安全的信息传输主要指在信息传输过程中的安全措施不足，例如未采用安全的传输工具。不安全的信息处置是指在信息利用完后，未采用足够的安全措施对信息载体进行处置，例如，对于包含个人信息的文件应采取更安全的处理方式（如碎纸化）。此外，不安全的系统配置和充分的技术防护措施主要是指由于技术措施不足从而导致网络攻击、系统入侵等后果。最后，不充分的便携式设备管理机制主要是指未对移动硬盘、U盘等移动存储设备采取充分的管理机制，例如因未妥善保管导致的信息泄露。

05　数智时代个人信息保护重点问题分析

在数字智能时代，信息技术的迅猛发展和广泛应用已经深刻改变了人们的生活方式，个人信息的收集、存储和利用也日益成为了全球范围内的热点议题。本研究将结合上述罚款案例，分析数智时代个人信息保护的重点问题及其对策，总结如表5所示，具体分析如下所述。

表5　个人信息保护重点问题案例及对策建议

5.1　智能化技术的应用问题

随着智能化技术的快速发展，组织普遍采用指纹识别、人脸识别、自动化决策系统（如用户画像、个性化推荐）等技术对个人信息进行处理，这在为组织及个人提供效率和便利的同时，也带来了信息泄露和信息处理不合规风险。根据本研究结果，组织在应用智能化技术处理个人信息时容易存在不完善的知情同意机制、不完善的信息保护管理措施、缺乏目的匹配的信息管理流程以及信息泄露等个人信息保护失范行为，因此应当注意以下四方面的合规性：其一，智能化技术的采用对于个人信息处理目的而言应当是必需的。例如，许多企业/学校采用智能监控系统、人脸识别等技术来监控或评估其员工/学生的表现，均被认为对其信息处理的目的而言不是必需的。其二，采用智能化技术应坚持透明原则，向信息主体清晰地解释信息处理目的、方式及个人信息类别，同时应当以适当和合法的程序获得有效的同意，尤其是敏感个人信息及未成年人个人信息。其三，智能技术往往用于大规模个人信息的处理，可能造成大量用户受到影响，因此组织在采用智能技术的同时必须确保足够的安全水平。一方面，引进智能技术，应当对该技术可能产生的影响进行系统的评估以识别潜在的信息安全风险，另一方面，在日常的信息处理中，组织应开展定期的风险分析和安全检查以确保信息处理的安全性。其四，越来越多的组织采用智能决策系统对个人信息进行分析与决策，例如，各类网络平台应用不同种类的个性化推荐算法，通过用户行动踪迹、操作习惯等维度进行用户画像，向用户推荐与其需求相契合的内容。一方面，组织应给予个人自由决定是否接受该类信息处理的权利，例如是否接受系统对其进行用户画像；另一方面，应确保该类分析与决策的准确性，避免因算法偏见导致的隐私侵犯。

5.2　在线社区应用中的个人隐私泄露问题

社交媒体等在线社区已成为信息传播的重要渠道，也是推动个人隐私保护的重要阵地。根据案例分析，在线社区个人信息保护失范行为主要包括两个方面：其一，在线社区的内容大多由用户生成，其中包含大量个人隐私信息，未知的第三方通过对用户公开披露的内容的收集和分析，往往可以得出个人身份、联系方式等信息，进而用于商业目的或其他不法用途。由于信息是公开访问的，因此很难要求信息处理者向用户获取有效的知情同意，这造成了信息处理者与信息主体之间隐私边界的模糊。根据GDPR，组织若非直接从个人渠道获得信息，则必须向个人解释如何处理其数据，包括哪些个人数据、如何处理、保留多长时间等。尽管有此规定，但对于如何利用公开渠道获取的个人信息仍然没有详细、明确的规定，因此在实践中组织应该秉持透明性原则审慎地使用公开个人信息。其二，组织或个人在利用在线平台互动时，应注意其中涉及的敏感个人信息及其授权问题、信息传输的安全性及保密性问题。例如，GDPR部分案例因涉及在社交媒体平台未经许可发布了与个人相关的内容（如照片）而被处罚。

5.3　数字化时代的职权滥用问题

在数字时代，个人信息不是集中掌握在少数个人手中，而是在每次人与人、人与机器的交互之中留下痕迹，因此不只是组织的核心数据部门掌握个人信息，与业务流程相关的人群都有机会接触公众留存的个人信息。考虑到个人信息在数字时代的重要价值，组织内部的职权滥用问题值得关注。违反GDPR的代表性案例包括警察利用其访问权限出于私人目的访问个人资料、政府人员出于政治选举目的私自联系公众争取支持等。通过分析个人信息保护法的处罚案例发现，我国因职权滥用导致个人信息泄露的情况更加普遍，行政机关、房地产、银行、电信、快递、外卖平台等行业在提供个人消费与服务的过程中能轻易获取大量客户个人信息，成为信息泄露的重灾区。员工为获取个人私利而违反职业道德及保密义务，将相关群体的个人信息贩卖给他人谋求利益，对公民的个人生活及经济利益造成困扰和损害。职权滥用会大大降低个人对权威机构的信任和信心，损害社会风气。随着个人信息保护法的执行力度日益加大，组织应约束员工谨慎地行使个人职权。

5.4　信息处理者之间的合作问题

对个人信息的分析利用已成为数字治理、商业智能的必要手段，但由于信息量庞大且增长速度快，许多组织难以通过自身力量完成信息收集、存储与分析任务，特别是用户数量巨大、业务类型复杂的个人信息处理者，需要委托数据分析公司处理个人信息，这使得个人信息安全受到了新的挑战。随着第三方数据处理机构不断增多，不同信息处理者之间的合作问题也成为个人信息保护监管的重要关注点。欧盟GDPR和我国《个人信息保护法》均规定了两名及以上个人信息处理者处理个人信息的责任和义务。就信息处理者之间的合作问题而言，一方面，原始信息处理者应把控第三方信息处理机构对于个人信息的处理，对其进行充分的尽职调查、签订协议、获得个人同意、做好对第三方机构的定期检查与监督等；另一方面，第三方处理机构应当积极采取措施确保其信息处理活动符合法律法规、充分记录信息处理过程、按照约定的处理目的和处理方式处理个人信息。

06　结论

6.1　理论与实践启示

本研究具有一定的理论和实践启示。首先从理论角度而言，本研究识别了在当前个人信息保护法律法规下常见的个人信息保护失范行为。不同于过去研究中使用的问卷调查、访谈等方法，本研究通过监管视角结合现实中的个人信息保护处罚案例来识别组织及个人的信息保护失范行为，所得结果更加客观、真实、准确。本研究对个人信息保护失范行为进行的全面识别和系统分类，不仅是对既有研究的重要补充和拓展，还为将来的个人信息保护相关研究提供了可遵循的理论框架。其次，本研究采用AIGC辅助传统的扎根理论分析方法，验证了AIGC在辅助科研人员提高科研效率的可行性，同时为传统研究方法在人工智能时代的发展和变革提供了新思路。

　　从实践角度而言，本研究对于管理者和政策制定者具有重要意义。首先，本研究识别的个人数据保护失范行为可以帮助企业、政府机构及其他组织识别内部存在的个人信息保护短板，进而制定相关政策以加强个人信息保护，以解决在保护个人信息方面存在的不足之处。其次，随着国内外日益重视个人信息保护，本研究可以帮助各类组织更好地遵从个人信息保护相关法律法规要求，减少因不合规导致的名誉及财产损失。此外，本研究还可以帮助监管部门掌握常见的个人数据保护失范行为，厘清数智化发展时代潮流下的个人信息保护监管重点，做到有的放矢。

6.2　研究不足与未来研究方向

本研究存在以下不足：首先，本研究所选取的样本具有一定局限性。一方面，我国《个人信息保护法》施行时间较短，可获取案例相对较少；另一方面，尽管欧盟GDPR在个人信息保护领域具有开创性和代表性，但将其作为代表性的法律框架来识别个人信息保护失范行为难以完全反映我国国情。其次，本研究结论均基于已有案例所得，随着个人信息保护实践的不断演进和法律法规的不断完善，新的个人信息保护失范行为可能会不断涌现。未来的研究可以持续追踪和分析这些新兴现象，以拓展和调整现有分类框架，确保其与最新法律法规和实践相一致；还可以通过比较不同法律体系和文化背景下的个人信息保护失范行为进行跨国家或跨地区研究，更好地理解其共性和差异性，从而提高本研究提出的理论框架的广泛性和普适性。

参考文献

[1]吴瑞香．大数据时代个人信息保护的法律困境及对策研究[J]．信息安全研究，2017，3(12)：1097-1101.(Wu R X．Research on the legal dilemma and countermeasures of personal information protection in big data age[J]．Journal of Information Security Research，2017，3(12)：1097-1101.)

[2]高德胜，季岩．人工智能时代个人信息安全治理策略研究[J]．情报科学，2021，39(8)：53-59.(Gao D S，Ji Y．Personal information security governance strategies in the era of artificial intelligence[J]．Information Science，2021，39(8)：53-59.)

[3]Smith H J，Milberg S J．Information privacy：Measuring individuals' concerns about organizational practices[J]．MIS Quarterly，1996，20(2)：167-196.

[4]Wang H Q，Lee M K O，Wang C．Consumer privacy concerns about Internet marketing[J]．Communications of the ACM，1998，41(3)：63-70.

[5]Smith H J．Managing privacy：Information technology and corporate America[M]．Chapel Hill：University of North Carolina Press，1994.

[6]Garba A B，Armarego J，Murray D．Bring your own device organizational information security and privacy[J]．ARPN Journal of Engineering and Applied Sciences，2015，10(3)：1279-1287.

[7]齐英程．突发公共卫生事件中的个人信息处理行为及信息安全保障[J]．图书情报工作，2021，65(19)：44-52.(Qi Y C．Personal information processing behaviors and information security protection in public health emergencies[J]．Library and Information Service，2021，65(19)：44-52.)

[8]马骋宇，刘乾坤．移动健康应用程序的隐私政策评价及实证研究[J]．图书情报工作，2020，64(7)：46-55.(Ma C Y，Liu Q K．Research on the privacy policy's evaluation and empirical study of mobile health applications[J]．Library and Information Service，2020，64(7)：46-55.)

[9]朱光，卞淑莹，杨健清．双重感知视角下的社交媒体类APP隐私政策内容分析及优化策略研究[J]．现代情报，2022，42(10)：36-47，70.(Zhu G，Bian S Y，Yang J Q．Research on content analysis and optimization strategy of privacy policy of social media APP from dual perception perspective[J]．Journal of Modern Information，2022，42(10)：36-47，70.)

[10]廖秉宜，张慧慧，刘定文．精准广告技术中的个人信息保护——基于国内100个APP隐私政策中关于Cookie技术的文本分析[J]．信息资源管理学报，2023，13(1)：103-114.(Liao B Y，Zhang H H，Liu D W．Personal information protection in precise advertising technology：Based on the text analysis of cookie technology in the privacy policies of 100 APPs in China[J]．Journal of Information Resources Management，2023，13(1)：103-114.)

[11]Zhao H P，Jiang N，Cai Z，et al．Toward a taxonomy of corporate data protection malpractices and their causal mechanisms：A regulatory view[J]．Journal of Information Technology，2023，38(3)：319-333.

[12]Xu H，Gupta S，Rosson M，et al．Measuring mobile users' concerns for information privacy[C]//Thirty Third International Conference on Information Systems，2012.

[13]Jia H Y，Xu H．Measuring individuals' concerns over collective privacy on social networking sites[J]．Journal of Psychosocial Research on Cyberspace，2016，10(1)：4.

[14]王树义，张庆薇．ChatGPT给科研工作者带来的机遇与挑战[J]．图书馆论坛，2023，43(3)：109-118.(Wang S Y，Zhang Q W．ChatGPT's opportunities and challenges for researchers[J]．Library Tribune，2023，43(3)：109-118.)

[15]刘琼，刘桂锋，卢章平，等．谋求与突破：ChatGPT对信息资源管理学科的影响与启示[J]．信息资源管理学报，2023，13(5)：73-78.(Liu Q，Liu G F，Lu Z P，et al．Seeking and breaking through：ChatGPT illuminating the way ahead for the discipline of information resource management[J]．Journal of Information Resources Management，2023，13(5)：73-78．)

作者简介

赵海平，博士，讲师，研究方向为用户行为、数据治理；

刘志鑫，硕士研究生，研究方向为不确定环境下决策优化；

孙彦超，硕士研究生，研究方向为数据治理；

江娜（通讯作者），助理教授，研究方向为在线信息隐私、消费者行为，Email: najiang@uic.edu.cn。

*原文载于《信息资源管理学报》2024年第4期，欢迎个人转发，公众号转载请联系后台。

* 引用格式

赵海平，刘志鑫，孙彦超，等.数智时代的个人信息保护失范行为：AIGC赋能的扎根理论分析[J].信息资源管理学报，2024,14(4):59-69.

往期 · 推荐

当期目录 | 2024年第4期

当期荐读 2024年第4期 | 复合灾害谣言治理策略研究

当期荐读 2024年第4期 | 信息触达：灾害预警信息语言表达的影响研究