濟南一媽媽花5000元買學習機后遭精準推銷：電話報出孩子學科弱項、能定位到具體家庭！

當孩子的錯題記錄、學習偏好、作息習慣，甚至細微的神情狀態，都被悄然記錄、歸集、轉手流轉，一場潛藏在 AI 教育背后的未成年人隱私泄露亂象，正悄然浮出水面。

齊魯晚報·齊魯壹點記者調查發現，市面上很多智能學習硬件、線上編程課程等 AI 教育產品，早已不再是單純的助學工具，反倒化身 24 小時在線的隱秘數據采集終端。行業口中標榜的匿名脫敏、隱私保護機制落地形同虛設，漏洞隨處可見，未成年人學情數據違規共享、無序外泄，已成為整個AI教育行業的共性隱患。

買學習機只為提分，卻成“精準推銷”目標

“當初買這臺學習機，是看中它能分析錯題、補數學短板。誰能想到，它先變成了給家里‘精準推銷’的工具?！睗鲜忻駨埮康暮⒆幼x小學三年級，2025年她花近5000元購入一款主流品牌AI學習機，注冊登陸時僅勾選了基礎使用權限，并未細看長達數萬字的隱私政策。

一周后，異常接踵而至：孩子第一次搜索“初中物理電學”，學習機首頁便彈出無法關閉的高價沖刺班廣告；注冊次日，她接到自稱“教務處”的電話，對方精準報出孩子的學科薄弱項，熱情推薦一對一輔導；此后每周，她都會收到3到5條圍繞孩子學習進度的營銷短信，“精準得讓人后背發涼。”

一次偶然翻查隱私權限清單，張女士才發現：設備信息、使用記錄、錯題數據、學習時長、瀏覽軌跡，甚至位置信息、麥克風權限，全被平臺默認開啟。重新翻閱隱私條款，才發現其中有一句“同意向合作方提供匿名化學情數據，用于產品優化與商業推廣”。

“我以為去掉姓名、手機號就安全了，沒想到平臺能通過設備id、學習行為直接鎖定到具體家庭?！睆埮空f。

張女士的遭遇并非個例。記者梳理市面上主流教育ai產品發現，多家平臺的隱私政策中，都藏著類似的“授權共享”條款——用小字、專業術語堆砌，普通用戶難以察覺。

以“訊飛AI學”App的隱私政策為例：“如果為了向您提供服務而需要將您的信息共享至第三方，我們將評估該第三方收集信息的合法性、正當性、必要性……”但“為提供服務”的范圍模糊不清，既未說明合作方類型，也未提供拒絕選項。

此外，另外一款某主流學習機的用戶隱私政策明確寫道：“對于我們收集到的您的信息，我們將通過技術手段及時進行匿名化處理。在不泄露您個人信息的前提下，我們有權對匿名化處理后的用戶數據進行分析、挖掘和利用，有權對作業幫智能產品的使用情況進行統計分析并用于可能的第三方信息共享。”

然而，數據工程師王磊告訴記者，所謂“匿名化數據”根本不是真正匿名——學情數據+設備id+學習行為的組合，可精準鎖定90%以上的用戶家庭。

“很多家長以為‘匿名化’就是安全的，這是最大的誤區?！睌祿こ處熗趵诮忉?，根據《個人信息保護法》第四條，個人信息包括與已識別或可識別的自然人有關的各種信息，但匿名化處理后的信息除外——法律意義上的匿名化，必須做到“不可逆識別”。

而多數教育AI平臺僅對姓名、手機號等直接標識做了處理，卻保留了設備id、學習軌跡、學校年級等間接信息。“這些信息組合起來，足以精準鎖定具體學生?！蓖趵谂e了個直觀例子：“一臺學習機的序列號，加上孩子‘每天19點做數學題、錯題集中區域’的行為軌跡，再結合所在城市、年級，就能快速定位到具體家庭。”

“匿名化”是最大認知誤區

然而，比學習數據更隱蔽的，是對未成年人生物特征與行為軌跡的全方位捕捉。為了驗證，記者實測了兩款市面上主打的“AI智適應”學習機和學習App。先是在系統設置里把“相機權限”關掉，然后用學習應用做了一套模擬題。等答題結束，記者調出手機自帶的權限使用記錄，發現在做題過程中，前置攝像頭有過好幾次調用記錄——應用界面上沒有任何提示，但系統日志里確實留下了痕跡。

另一款設備上情況類似。記者嘗試把前置攝像頭用貼紙遮住，系統隨即彈出一條“攝像頭被遮擋，專注力檢測功能可能不可用”的提示，但做題、看講解這些核心功能并沒有受到影響。

兩款設備測試下來，全程沒有任何單獨的彈窗告知“正在采集面部數據”。隱私協議里只籠統寫著“為提升學習效果，可能會采集面部信息”，至于什么時候采、采什么內容、數據傳到哪、用戶怎么徹底關掉，都沒有明說。

值得注意的是，2025年工信部通報了20款存在侵害用戶權益行為的智能終端產品，其中就包括某些品牌的學習終端。通報指出的問題之一是，部分智能終端在沒有任何彈窗告知、甚至用戶完全不知情的情況下，后臺采集攝像頭畫面，并將生成的個人信息違規傳輸到云端。

“設備或者系統會實時標注學生‘專注度’‘微笑次數’‘低頭頻率’，這些數據會同步到學情數據庫，作為推薦課程的重要依據。”王磊介紹，平臺可以通過AI算法分析面部微表情，判斷學生對知識點的接受程度，“比如皺眉次數過多，就判定為‘理解困難’，后續就可能定向推送高價輔導課”。

更令人擔憂的是跨平臺數據串聯。記者發現，“訊飛AI學”“網易有道”“扇貝單詞”“網易有道”“掌門1對1”“滬江網校”“Vipkid”“一起作業”等多款教育類App的隱私政策中，均包含與關聯公司（或同一賬號體系下的關聯產品）共享用戶個人信息的條款。這意味著：用戶通過手機號注冊其中某一款產品后，其賬號信息、設備信息以及部分學習相關數據（具體類型因app而異），可能會依據隱私政策的約定，在運營方旗下的其他關聯App之間進行共享。

“相當于只要用同一個手機號登錄過教育類App，你的所有學習行為都會被整合畫像，形成完整的數據檔案。”王磊表示，這種“數據互通”模式，讓跨平臺精準追蹤成為可能。

權限設置層層壁壘，被動接受成唯一選擇

最突出的問題在于，用戶知情同意被徹底架空。

不少教育平臺的隱私協議篇幅動輒上萬字，一份協議里涉及數據共享的條款就有幾十項。協議隔一段時間就會更新，內容全是密密麻麻的法律條文和行業術語，絕大多數家長在注冊使用時都是直接勾選“同意”，根本不會——也看不懂——去仔細翻閱。記者隨機走訪了二十多位家長，幾乎所有人都表示從未認真閱讀過隱私協議，很多人甚至不知道平臺為什么要收集孩子的學習狀態和面部表情，更不清楚這些數據最終去了哪里?？此埔幏兜氖跈嗔鞒?，在現實中基本淪為空文。

就算有家長想主動關掉數據收集，也沒那么容易。記者在實際測評中發現，好幾款主流教育App的首頁和常規設置里，根本找不到一鍵關閉學情采集或禁止數據商用的入口。有的App雖然協議里寫著“用戶可自主調整權限”，但真正操作起來需要層層點開多級菜單，一項一項手動關閉，步驟繁瑣得讓大多數人望而卻步。更棘手的是，數據采集權限常常直接跟核心學習功能綁在一起——你只要限制權限，軟件的基礎使用就會受影響，孩子就沒法正常上課。最終家長只能選擇“全盤接受”，用知情權換取正常使用。

這種模式下，家長根本沒法掌握孩子數據的流向。一款打著“AI輔助學習”旗號的設備，實際變成了一臺全天候運轉的數據采集終端。孩子的錯題記錄、學習進度、做題時的神情狀態，全都被無差別收集起來，而且統統被寫進用戶協議、裹上一層“已獲同意”的合法外衣。

這類采集范圍顯然超出了日常學習需求的合理邊界，而用戶能選擇的退出方式極其有限。在這種困境下，未成年人的生物信息、情緒變化等極度敏感的隱私數據，始終缺乏有效監管，正逐漸淪為行業里一種游走于法律邊緣的灰色資源。

灰色產業鏈：從竊取到變現的完整閉環

學情數據的商業價值，遠高于普通個人信息。

曾深耕教培行業的張莉莉透露，通過學情數據能精準判斷家庭消費能力、孩子的學習短板和焦慮點，用這些數據做定向廣告，轉化率能達到35%以上，比普通廣告效果好得多。

“普通的孩子姓名、電話，一條才賣5毛錢，但附帶錯題傾向、薄弱學科的精準學情信息，價格能翻一倍多，最高能賣到3塊錢一條，還會在機構之間反復轉賣?！睆埨蚶蛘f，這種精準推銷家長很難拒絕，“比如孩子剛考完數學，幾何證明題失分多，機構馬上就來推相關補課班，家長大多會動心。”

網絡安全公司永信至誠的公開數據顯示，2025年12月全球監測到約27.34億條數據泄露記錄，教育培訓行業以17%的占比成為數據泄露風險最高的行業。這些泄露的數據，還成了“退費陷阱”等精準詐騙的工具——孩子們每天在學習機上留下的每一道錯題、每一次停頓、每一個猶豫的表情，都不再只是成長的痕跡，它們正被明碼標價，悄悄流向那些最懂如何制造焦慮的人。

司法判例則進一步揭開了數據泄露的具體路徑和危害。2018年中國裁判文書網公布的判決書顯示，司法判例揭示了數據泄露的嚴重性。2018年，科大訊飛員工張某利用維護學籍系統的權限，將數萬條學生及家長信息以每條0.1元出售，非法獲利約4000元，信息被多家教育機構用于電話招生并多次轉賣。

如果說這起案件是“內部人員監守自盜”的單點漏洞，2025年四川宣判的一起案件，則暴露了一條從數據竊取到落地招生的完整灰色產業鏈，涉案學生信息達70余萬條。

案件的起因是涼山州冕寧縣一位家長報案，稱女兒信息泄露后，每天都接到大量招生、助考電話。警方調查后查明，信息泄露源頭是四川某信息工程公司工程師彭某——該公司負責維護四川省教育資源公共服務平臺，彭某利用權限接觸到海量中小學生信息，通過外網群聊找到買家售賣。隨后，這批數據在灰色鏈條中反復流轉。整個鏈條上，涉案人員包括平臺工作人員、中介、教育機構負責人，甚至學校副校長，目前相關人員均已獲刑。

這些真實案例清晰表明，未成年人學情數據早已成了成本低、流通隱蔽、需求大的“灰色商品”。對教培機構來說，它既能大幅提升線上轉化效率，又能降低線下獲客成本，甚至讓數據倒賣替代了傳統市場開發。當本應記錄學生成長的教育數據，變成了可隨意買賣的“灰色貨幣”，平臺所謂“優化服務”“提升體驗”的合規說辭，顯然難以掩蓋商業利益對數據安全的侵蝕。

監管持續發力，瞄準教育行業隱私治理痛點

學生信息交易何以屢禁不止？合法與違規的邊界究竟在哪里？

面對頻頻見諸通報、判決書和媒體報道的學情數據泄露事件，不少家長追問：難道法律沒有保護孩子的個人信息嗎？

答案恰恰相反。北京市中聞律師事務所全國刑委會副主任、上海市人民檢察院人民監督員張玉鋒律師告訴記者，我國對未成年人信息的法律保護力度遠高于成年人?！吨腥A人民共和國個人信息保護法》第三十一條明確規定，處理不滿十四周歲未成年人個人信息的，應當取得未成年人的父母或者其他監護人的同意。-《兒童個人信息網絡保護規定》第九條、第十條也要求，網絡運營者收集、使用、轉移、披露兒童個人信息的，應當以顯著、清晰的方式告知兒童監護人，并征得同意，同時必須提供拒絕選項。

在法律框架之下，對非法倒賣未成年人信息的懲罰亦十分嚴厲。張玉鋒律師介紹，出售或在履行職責、提供服務過程中獲得的公民個人信息，達到法律規定數量標準的，即可構成侵犯公民個人信息罪。-與此同時，涉事企業還可能面臨行政處罰，甚至被吊銷營業執照，相關違法記錄納入行業禁入名單。

那么，既然成文法的規定如此明確，為什么學情數據的違規交易仍然屢禁不止？在張玉鋒看來，平臺并非不知曉法律邊界所在，而是在知情同意條款的設計、隱私收集的披露方式以及后續執行上，普遍利用了家長信息不對稱的弱勢——冗長的協議條款、層層嵌套的權限開關、與核心功能綁定的數據采集，使“知情同意”在實踐中流于形式。

值得欣慰的是，學情數據灰色產業鏈帶來的問題，正日益受到監管層面的高度關注。

2026年4月，中央網信辦、工業和信息化部、公安部三部門聯合發布公告，宣布將開展個人信息保護系列專項行動，教育領域被列為重點關注領域之一。公告明確提出，重點治理教育機構處理不滿十四周歲未成年人個人信息未取得監護人同意、網站和app過度收集位置及學籍等敏感信息、校外培訓機構向第三方提供個人信息未取得主體同意等問題。三部門明確表示，對情節嚴重、拒不整改的將依法從嚴處理。

來源：齊魯晚報