鱼戏文字：捕捉美味，追求品质

<随心_句子c><随心_句子c><随心_句子c><随心_句子c><随心_句子c>學(xue)生(sheng)信(xin)息(xi)泄(xie)露(lu)不(bu)只(zhi)在(zai)人(ren)大(da)，網(wang)上(shang)最(zui)低(di)1元(yuan)就(jiu)能(neng)買(mai)到(dao)200條(tiao)

當(dang)個(ge)人信息被(bei)用(yong)於(yu)顏(yan)值(zhi)打(da)分(fen)時(shi)，信息裸(luo)奔(ben)时代(dai)的(de)人們(men)再(zai)壹(yi)次(ci)憤(fen)怒(nu)了(le)。

近(jin)日(ri)，中(zhong)國(guo)人民(min)大学畢(bi)業(ye)生馬(ma)某(mou)某涉(she)嫌(xian)在校(xiao)期(qi)間(jian)非(fei)法(fa)獲(huo)取(qu)学校內(nei)网數(shu)據(ju)，收(shou)集(ji)全(quan)校学生个人隱(yin)私(si)信息，並(bing)公(gong)開(kai)發(fa)布(bu)在网站(zhan)上進(jin)行(xing)颜值打分。目(mu)前(qian)，北(bei)京(jing)海(hai)澱(dian)警(jing)方(fang)已(yi)經(jing)依(yi)法刑(xing)事(shi)拘(ju)留(liu)马某某，案(an)件(jian)正(zheng)在进一步(bu)調(tiao)查(zha)中。

当事件曝(pu)光(guang)时，中国人民大学在校生小(xiao)琳(lin)的第(di)一反(fan)應(ying)是(shi)驚(jing)訝(ya)：“他(ta)是通(tong)過(guo)什(shen)麽(me)方式(shi)获取這(zhe)些(xie)数据的？從(cong)哪(na)裏(li)获得(de)的”，隨(sui)之(zhi)而(er)來(lai)的是愤怒以(yi)及(ji)被冒(mao)犯(fan)的厭(yan)惡(e)。

澎(peng)湃(pai)新(xin)聞(wen)梳(shu)理(li)了近三(san)年(nian)52份(fen)学生个人信息泄露的相(xiang)關(guan)裁(cai)判(pan)文(wen)書(shu)，試(shi)圖(tu)探(tan)究(jiu)到底(di)是誰(shui)在泄露学生信息，哪些環(huan)節(jie)出(chu)了紕(pi)漏(lou)，又(you)是谁应当為(wei)此(ci)負(fu)責(ze)？

廉(lian)價(jia)的个人信息：1元能买200名(ming)学生的信息

这52份判決(jue)书透(tou)露著(zhu)(zhe)與(yu)学生个人信息泄露相关的“罪(zui)与罰(fa)”。

有(you)39份明(ming)確(que)了信息泄露的主(zhu)要(yao)類(lei)型(xing)——个人基(ji)本(ben)信息、学校信息是泄露最多(duo)的信息类型，包(bao)括(kuo)姓(xing)名、性(xing)別(bie)、出生年月(yue)、院(yuan)校、專(zhuan)业、班(ban)級(ji)等(deng)。此外(wai)，不法分子(zi)還(hai)获取了身(shen)份證(zheng)、貸(dai)款(kuan)信息等更(geng)敏(min)感(gan)的个人信息。

除(chu)了学生相关个人信息外，学生群(qun)體(ti)的信息泄露往(wang)往还伴(ban)随家(jia)長(chang)个人信息的“裸奔”。据不完(wan)全統(tong)計(ji)，有53%的学生信息泄露案件涉及家长个人信息泄露。

而这些个人信息的單(dan)价極(ji)其(qi)低廉，《王(wang)某某侵(qin)犯公民个人信息刑事一審(shen)刑事判决书》顯(xian)示(shi)，不法分子僅(jin)花(hua)費(fei)1千(qian)元就买到18萬(wan)条学生信息，約(yue)等于只花1元就可(ke)以买到200个人的信息。

不同(tong)类型的个人信息在泄露、組(zu)合(he)後(hou)，成(cheng)为不法分子进一步實(shi)施(shi)侵害(hai)的“原(yuan)料(liao)”。而这些侵害又往往以電(dian)信詐(zha)騙(pian)的形(xing)式出現(xian)。

江(jiang)蘇(su)省(sheng)無(wu)錫(xi)市(shi)惠(hui)山(shan)區(qu)人民法院于2020年审理的案件中，被告(gao)人王宜(yi)恒(heng)利(li)用事先(xian)在网上購(gou)买的学生家长个人信息和(he)QQ號(hao)碼(ma)，使(shi)用偽(wei)造(zao)的培(pei)訓(xun)通知(zhi)书，冒充(chong)子女(nv)身份，以需(xu)繳(jiao)納(na)培训费为由(you)，多次骗得被害人錢(qian)財(cai)共(gong)计人民幣(bi)76120元。判决书显示，被告人王宜恒犯诈骗罪、侵犯公民个人信息罪等，数罪并罚被判處(chu)有期徒(tu)刑四(si)年三个月，罚金(jin)5000元。其中，犯侵犯公民个人信息罪的部(bu)分，判处有期徒刑三个月、罚金3000元。

通过梳理多份判决书的量(liang)刑標(biao)準(zhun)可以看(kan)到，在侵犯公民个人信息罪的刑罚上，會(hui)考(kao)量信息泄露体量、犯罪手(shou)段(duan)、犯罪目的等多方面(mian)因(yin)素(su)。

對(dui)比(bi)《蔡(cai)滔(tao)侵犯公民个人信息一审刑事判决书》（下(xia)稱(cheng)蔡滔案）及《張(zhang)曉(xiao)東(dong)侵犯公民个人信息罪一审刑事判决书》（下称张晓东案）兩(liang)份判决书可以看到，被告人均(jun)被判处4年9个月的有期徒刑，但(dan)涉案的个人信息体量卻(que)差(cha)異(yi)显著。

蔡滔案涉及侵犯公民个人信息1603万条，非法获利3.8万元；张晓东案涉及侵犯公民个人信息27.9万条，非法获利238美(mei)元（约1723元）。法院指(zhi)出，由于张晓东案在非法获取公民个人信息中，使用了侵入(ru)、控(kong)制(zhi)他人计算(suan)機(ji)等手段，情(qing)节特(te)别嚴(yan)重(zhong)，量刑上要重于其他类似(si)公民个人信息泄露体量、获利的案件。

专家：企(qi)业等单位(wei)应設(she)定(ding)并实施数据合規(gui)制度(du)

关于马某某获取学校内网数据的途(tu)徑(jing)，目前尚(shang)不清(qing)楚(chu)。而在以往案例(li)中，不少(shao)犯罪分子是借(jie)着“職(zhi)務(wu)之便(bian)”，获取大量学生个人信息。52份裁判文书中，至(zhi)少有1/3都(dou)是此类情況(kuang)。

一則(ze)曾(zeng)被多家媒(mei)体報(bao)道(dao)的案例是，成都多所(suo)高(gao)校学生突(tu)然(ran)发现他们“被就业”，有企业盜(dao)用了他们的身份信息，用于逃(tao)稅(shui)。而信息泄露的源(yuan)頭(tou)是，某保(bao)險(xian)公司(si)員(yuan)工(gong)泄露了其在职时获得的学生信息名单。

上述(shu)案例都告訴(su)我(wo)们，学生信息泄露的漏洞(dong)往往在于接(jie)觸(chu)到数据的员工。

而学生个人信息泄露的责任(ren)通常(chang)歸(gui)咎(jiu)于个体，不会落(luo)到公司头上。在52份相关文书中，仅有两例是公司需要为个人信息泄露负责，而其他50例都是由个体来承(cheng)擔(dan)责任。

一份判定公司違(wei)法的文书提(ti)到，某教(jiao)育(yu)咨(zi)詢(xun)公司法定代表(biao)人从网上购买了27万余(yu)条学生信息，并雇(gu)傭(yong)他人使用这些信息，以打电話(hua)、上門(men)免(mian)费授(shou)課(ke)等方式推(tui)銷(xiao)教育軟(ruan)件。該(gai)公司借此获利至少六(liu)万元。最終(zhong)法院判定该公司及其负责人犯侵犯公民个人信息罪，并合计处以14万元的罚金。

在此次人大学生信息泄露事件中，浙(zhe)江墾(ken)丁(ding)律(lv)師(shi)事务所創(chuang)始(shi)合夥(huo)人麻(ma)策(ce)認(ren)为，马某某可能構(gou)成侵犯公民个人信息罪，而学校和学生间因为沒(mei)有“犯罪合意(yi)”，学校一般(ban)不构成侵犯公民个人信息罪。

“一般来說(shuo)，需要綜(zong)合考慮(lv)犯罪行为是否(fou)为单位利益(yi)而实施、是否以单位名義(yi)实施、是否经单位决策、违法所得是否归单位所有、单位是否明知应知等因素来考虑企业等单位是否构罪。”麻策告诉澎湃新闻，但如(ru)果(guo)学校违反信息网絡(luo)安(an)全管(guan)理义务，经監(jian)管部门责令(ling)采(cai)取改(gai)正措(cuo)施后拒(ju)不改正，致(zhi)使用戶(hu)的公民个人信息泄露，则可能以拒不履(lv)行信息网络安全管理义务罪来定罪处罚。

不过，数据安全法和个人信息保護(hu)法等法律法规都对運(yun)營(ying)单位賦(fu)予(yu)了必(bi)要的法定义务。麻策说，企业等单位应当在内部制定并实施数据合规制度，采取必要组織(zhi)和安全權(quan)限(xian)措施，比如设置(zhi)信息安全部门，指定个人信息保护负责人。此外，企业等单位也(ye)应当培養(yang)员工的数据合规意識(shi)，明确违规紅(hong)線(xian)，以此来隔(ge)絕(jue)或(huo)減(jian)少员工的犯罪牽(qian)連(lian)概(gai)率(lv)。

在大规模(mo)信息泄露事件中，麻策建(jian)議(yi)用户直(zhi)接报警，尤(you)其是当个人信息仍(reng)持(chi)續(xu)面臨(lin)擴(kuo)大化(hua)泄露風(feng)险的情况下，而企业等单位也有义务通知用户，“目前鮮(xian)有企业会实施通告，这无疑(yi)会影(ying)響(xiang)用户采取保护措施的时机”。

来源：澎湃新闻返(fan)回(hui)搜(sou)狐(hu)，查看更多

责任編(bian)輯(ji)：