当孩子的错题记录、学习偏好、作息习惯，甚至细微的神情状态，都被悄然记录、归集、转手流转，一场潜藏在 AI 教育背后的未成年人隐私泄露乱象，正悄然浮出水面。

齐鲁晚报·齐鲁壹点记者调查发现，市面上很多智能学习硬件、线上编程课程等 AI 教育产品，早已不再是单纯的助学工具，反倒化身 24 小时在线的隐秘数据采集终端。行业口中标榜的匿名脱敏、隐私保护机制落地形同虚设，漏洞随处可见，未成年人学情数据违规共享、无序外泄，已成为整个AI教育行业的共性隐患。

买学习机只为提分，却成“精准推销”目标

“当初买这台学习机，是看中它能分析错题、补数学短板。谁能想到，它先变成了给家里‘精准推销’的工具。”济南市民张女士的孩子读小学三年级，2025年她花近5000元购入一款主流品牌AI学习机，注册登陆时仅勾选了基础使用权限，并未细看长达数万字的隐私政策。

一周后，异常接踵而至：孩子第一次搜索“初中物理电学”，学习机首页便弹出无法关闭的高价冲刺班广告；注册次日，她接到自称“教务处”的电话，对方精准报出孩子的学科薄弱项，热情推荐一对一辅导；此后每周，她都会收到3到5条围绕孩子学习进度的营销短信，“精准得让人后背发凉。”

一次偶然翻查隐私权限清单，张女士才发现：设备信息、使用记录、错题数据、学习时长、浏览轨迹，甚至位置信息、麦克风权限，全被平台默认开启。重新翻阅隐私条款，才发现其中有一句“同意向合作方提供匿名化学情数据，用于产品优化与商业推广”。

“我以为去掉姓名、手机号就安全了，没想到平台能通过设备id、学习行为直接锁定到具体家庭。”张女士说。

张女士的遭遇并非个例。记者梳理市面上主流教育ai产品发现，多家平台的隐私政策中，都藏着类似的“授权共享”条款——用小字、专业术语堆砌，普通用户难以察觉。

以“讯飞AI学”App的隐私政策为例：“如果为了向您提供服务而需要将您的信息共享至第三方，我们将评估该第三方收集信息的合法性、正当性、必要性……”但“为提供服务”的范围模糊不清，既未说明合作方类型，也未提供拒绝选项。

此外，另外一款某主流学习机的用户隐私政策明确写道：“对于我们收集到的您的信息，我们将通过技术手段及时进行匿名化处理。在不泄露您个人信息的前提下，我们有权对匿名化处理后的用户数据进行分析、挖掘和利用，有权对作业帮智能产品的使用情况进行统计分析并用于可能的第三方信息共享。”

然而，数据工程师王磊告诉记者，所谓“匿名化数据”根本不是真正匿名——学情数据+设备id+学习行为的组合，可精准锁定90%以上的用户家庭。

“很多家长以为‘匿名化’就是安全的，这是最大的误区。”数据工程师王磊解释，根据《个人信息保护法》第四条，个人信息包括与已识别或可识别的自然人有关的各种信息，但匿名化处理后的信息除外——法律意义上的匿名化，必须做到“不可逆识别”。

而多数教育AI平台仅对姓名、手机号等直接标识做了处理，却保留了设备id、学习轨迹、学校年级等间接信息。“这些信息组合起来，足以精准锁定具体学生。”王磊举了个直观例子：“一台学习机的序列号，加上孩子‘每天19点做数学题、错题集中区域’的行为轨迹，再结合所在城市、年级，就能快速定位到具体家庭。”

“匿名化”是最大认知误区

然而，比学习数据更隐蔽的，是对未成年人生物特征与行为轨迹的全方位捕捉。为了验证，记者实测了两款市面上主打的“AI智适应”学习机和学习App。先是在系统设置里把“相机权限”关掉，然后用学习应用做了一套模拟题。等答题结束，记者调出手机自带的权限使用记录，发现在做题过程中，前置摄像头有过好几次调用记录——应用界面上没有任何提示，但系统日志里确实留下了痕迹。

另一款设备上情况类似。记者尝试把前置摄像头用贴纸遮住，系统随即弹出一条“摄像头被遮挡，专注力检测功能可能不可用”的提示，但做题、看讲解这些核心功能并没有受到影响。

两款设备测试下来，全程没有任何单独的弹窗告知“正在采集面部数据”。隐私协议里只笼统写着“为提升学习效果，可能会采集面部信息”，至于什么时候采、采什么内容、数据传到哪、用户怎么彻底关掉，都没有明说。

值得注意的是，2025年工信部通报了20款存在侵害用户权益行为的智能终端产品，其中就包括某些品牌的学习终端。通报指出的问题之一是，部分智能终端在没有任何弹窗告知、甚至用户完全不知情的情况下，后台采集摄像头画面，并将生成的个人信息违规传输到云端。

“设备或者系统会实时标注学生‘专注度’‘微笑次数’‘低头频率’，这些数据会同步到学情数据库，作为推荐课程的重要依据。”王磊介绍，平台可以通过AI算法分析面部微表情，判断学生对知识点的接受程度，“比如皱眉次数过多，就判定为‘理解困难’，后续就可能定向推送高价辅导课”。

更令人担忧的是跨平台数据串联。记者发现，“讯飞AI学”“猿辅导”“网易有道”“扇贝单词”“网易有道”“掌门1对1”“沪江网校”“Vipkid”“一起作业”等多款教育类App的隐私政策中，均包含与关联公司（或同一账号体系下的关联产品）共享用户个人信息的条款。这意味着：用户通过手机号注册其中某一款产品后，其账号信息、设备信息以及部分学习相关数据（具体类型因app而异），可能会依据隐私政策的约定，在运营方旗下的其他关联App之间进行共享。

“相当于只要用同一个手机号登录过教育类App，你的所有学习行为都会被整合画像，形成完整的数据档案。”王磊表示，这种“数据互通”模式，让跨平台精准追踪成为可能。

权限设置层层壁垒，被动接受成唯一选择

最突出的问题在于，用户知情同意被彻底架空。

不少教育平台的隐私协议篇幅动辄上万字，一份协议里涉及数据共享的条款就有几十项。协议隔一段时间就会更新，内容全是密密麻麻的法律条文和行业术语，绝大多数家长在注册使用时都是直接勾选“同意”，根本不会——也看不懂——去仔细翻阅。记者随机走访了二十多位家长，几乎所有人都表示从未认真阅读过隐私协议，很多人甚至不知道平台为什么要收集孩子的学习状态和面部表情，更不清楚这些数据最终去了哪里。看似规范的授权流程，在现实中基本沦为空文。

就算有家长想主动关掉数据收集，也没那么容易。记者在实际测评中发现，好几款主流教育App的首页和常规设置里，根本找不到一键关闭学情采集或禁止数据商用的入口。有的App虽然协议里写着“用户可自主调整权限”，但真正操作起来需要层层点开多级菜单，一项一项手动关闭，步骤繁琐得让大多数人望而却步。更棘手的是，数据采集权限常常直接跟核心学习功能绑在一起——你只要限制权限，软件的基础使用就会受影响，孩子就没法正常上课。最终家长只能选择“全盘接受”，用知情权换取正常使用。

这种模式下，家长根本没法掌握孩子数据的流向。一款打着“AI辅助学习”旗号的设备，实际变成了一台全天候运转的数据采集终端。孩子的错题记录、学习进度、做题时的神情状态，全都被无差别收集起来，而且统统被写进用户协议、裹上一层“已获同意”的合法外衣。

这类采集范围显然超出了日常学习需求的合理边界，而用户能选择的退出方式极其有限。在这种困境下，未成年人的生物信息、情绪变化等极度敏感的隐私数据，始终缺乏有效监管，正逐渐沦为行业里一种游走于法律边缘的灰色资源。

灰色产业链：从窃取到变现的完整闭环

学情数据的商业价值，远高于普通个人信息。

曾深耕教培行业的张莉莉透露，通过学情数据能精准判断家庭消费能力、孩子的学习短板和焦虑点，用这些数据做定向广告，转化率能达到35%以上，比普通广告效果好得多。

“普通的孩子姓名、电话，一条才卖5毛钱，但附带错题倾向、薄弱学科的精准学情信息，价格能翻一倍多，最高能卖到3块钱一条，还会在机构之间反复转卖。”张莉莉说，这种精准推销家长很难拒绝，“比如孩子刚考完数学，几何证明题失分多，机构马上就来推相关补课班，家长大多会动心。”

网络安全公司永信至诚的公开数据显示，2025年12月全球监测到约27.34亿条数据泄露记录，教育培训行业以17%的占比成为数据泄露风险最高的行业。这些泄露的数据，还成了“退费陷阱”等精准诈骗的工具——孩子们每天在学习机上留下的每一道错题、每一次停顿、每一个犹豫的表情，都不再只是成长的痕迹，它们正被明码标价，悄悄流向那些最懂如何制造焦虑的人。

司法判例则进一步揭开了数据泄露的具体路径和危害。2018年中国裁判文书网公布的判决书显示，司法判例揭示了数据泄露的严重性。2018年，科大讯飞员工张某利用维护学籍系统的权限，将数万条学生及家长信息以每条0.1元出售，非法获利约4000元，信息被多家教育机构用于电话招生并多次转卖。

如果说这起案件是“内部人员监守自盗”的单点漏洞，2025年四川宣判的一起案件，则暴露了一条从数据窃取到落地招生的完整灰色产业链，涉案学生信息达70余万条。

案件的起因是凉山州冕宁县一位家长报案，称女儿信息泄露后，每天都接到大量招生、助考电话。警方调查后查明，信息泄露源头是四川某信息工程公司工程师彭某——该公司负责维护四川省教育资源公共服务平台，彭某利用权限接触到海量中小学生信息，通过外网群聊找到买家售卖。随后，这批数据在灰色链条中反复流转。整个链条上，涉案人员包括平台工作人员、中介、教育机构负责人，甚至学校副校长，目前相关人员均已获刑。

这些真实案例清晰表明，未成年人学情数据早已成了成本低、流通隐蔽、需求大的“灰色商品”。对教培机构来说，它既能大幅提升线上转化效率，又能降低线下获客成本，甚至让数据倒卖替代了传统市场开发。当本应记录学生成长的教育数据，变成了可随意买卖的“灰色货币”，平台所谓“优化服务”“提升体验”的合规说辞，显然难以掩盖商业利益对数据安全的侵蚀。

监管持续发力，瞄准教育行业隐私治理痛点

学生信息交易何以屡禁不止？合法与违规的边界究竟在哪里？

面对频频见诸通报、判决书和媒体报道的学情数据泄露事件，不少家长追问：难道法律没有保护孩子的个人信息吗？

答案恰恰相反。北京市中闻律师事务所全国刑委会副主任、上海市人民检察院人民监督员张玉锋律师告诉记者，我国对未成年人信息的法律保护力度远高于成年人。《中华人民共和国个人信息保护法》第三十一条明确规定，处理不满十四周岁未成年人个人信息的，应当取得未成年人的父母或者其他监护人的同意。-《儿童个人信息网络保护规定》第九条、第十条也要求，网络运营者收集、使用、转移、披露儿童个人信息的，应当以显著、清晰的方式告知儿童监护人，并征得同意，同时必须提供拒绝选项。

在法律框架之下，对非法倒卖未成年人信息的惩罚亦十分严厉。张玉锋律师介绍，出售或在履行职责、提供服务过程中获得的公民个人信息，达到法律规定数量标准的，即可构成侵犯公民个人信息罪。-与此同时，涉事企业还可能面临行政处罚，甚至被吊销营业执照，相关违法记录纳入行业禁入名单。

那么，既然成文法的规定如此明确，为什么学情数据的违规交易仍然屡禁不止？在张玉锋看来，平台并非不知晓法律边界所在，而是在知情同意条款的设计、隐私收集的披露方式以及后续执行上，普遍利用了家长信息不对称的弱势——冗长的协议条款、层层嵌套的权限开关、与核心功能绑定的数据采集，使“知情同意”在实践中流于形式。

值得欣慰的是，学情数据灰色产业链带来的问题，正日益受到监管层面的高度关注。