首頁 行業(yè) 活動 項目 快訊 文娛 時尚 娛樂 科技 汽車 綜合 生活

學(xué)生信息泄露不只在人大,網(wǎng)上最低1元就能買到200條

2023-07-07 15:43:18 來源:澎湃新聞

當個人信息被用于顏值打分時,信息裸奔時代的人們再一次憤怒了。


(資料圖)

近日,中國人民大學(xué)畢業(yè)生馬某某涉嫌在校期間非法獲取學(xué)校內(nèi)網(wǎng)數(shù)據(jù),收集全校學(xué)生個人隱私信息,并公開發(fā)布在網(wǎng)站上進行顏值打分。目前,北京海淀警方已經(jīng)依法刑事拘留馬某某,案件正在進一步調(diào)查中。

當事件曝光時,中國人民大學(xué)在校生小琳的第一反應(yīng)是驚訝:“他是通過什么方式獲取這些數(shù)據(jù)的?從哪里獲得的”,隨之而來的是憤怒以及被冒犯的厭惡。

記者梳理了近三年52份學(xué)生個人信息泄露的相關(guān)裁判文書,試圖探究到底是誰在泄露學(xué)生信息,哪些環(huán)節(jié)出了紕漏,又是誰應(yīng)當為此負責(zé)?

廉價的個人信息:1元能買200名學(xué)生的信息

這52份判決書透露著與學(xué)生個人信息泄露相關(guān)的“罪與罰”。

有39份明確了信息泄露的主要類型——個人基本信息、學(xué)校信息是泄露最多的信息類型,包括姓名、性別、出生年月、院校、專業(yè)、班級等。此外,不法分子還獲取了身份證、貸款信息等更敏感的個人信息。

除了學(xué)生相關(guān)個人信息外,學(xué)生群體的信息泄露往往還伴隨家長個人信息的“裸奔”。據(jù)不完全統(tǒng)計,有53%的學(xué)生信息泄露案件涉及家長個人信息泄露。

而這些個人信息的單價極其低廉,《王某某侵犯公民個人信息刑事一審刑事判決書》顯示,不法分子僅花費1千元就買到18萬條學(xué)生信息,約等于只花1元就可以買到200個人的信息。

不同類型的個人信息在泄露、組合后,成為不法分子進一步實施侵害的“原料”。而這些侵害又往往以電信詐騙的形式出現(xiàn)。

江蘇省無錫市惠山區(qū)人民法院于2020年審理的案件中,被告人王宜恒利用事先在網(wǎng)上購買的學(xué)生家長個人信息和QQ號碼,使用偽造的培訓(xùn)通知書,冒充子女身份,以需繳納培訓(xùn)費為由,多次騙得被害人錢財共計人民幣76120元。判決書顯示,被告人王宜恒犯詐騙罪、侵犯公民個人信息罪等,數(shù)罪并罰被判處有期徒刑四年三個月,罰金5000元。其中,犯侵犯公民個人信息罪的部分,判處有期徒刑三個月、罰金3000元。

通過梳理多份判決書的量刑標準可以看到,在侵犯公民個人信息罪的刑罰上,會考量信息泄露體量、犯罪手段、犯罪目的等多方面因素。

對比《蔡滔侵犯公民個人信息一審刑事判決書》(下稱蔡滔案)及《張曉東侵犯公民個人信息罪一審刑事判決書》(下稱張曉東案)兩份判決書可以看到,被告人均被判處4年9個月的有期徒刑,但涉案的個人信息體量卻差異顯著。

蔡滔案涉及侵犯公民個人信息1603萬條,非法獲利3.8萬元;張曉東案涉及侵犯公民個人信息27.9萬條,非法獲利238美元(約1723元)。法院指出,由于張曉東案在非法獲取公民個人信息中,使用了侵入、控制他人計算機等手段,情節(jié)特別嚴重,量刑上要重于其他類似公民個人信息泄露體量、獲利的案件。

專家:企業(yè)等單位應(yīng)設(shè)定并實施數(shù)據(jù)合規(guī)制度

關(guān)于馬某某獲取學(xué)校內(nèi)網(wǎng)數(shù)據(jù)的途徑,目前尚不清楚。而在以往案例中,不少犯罪分子是借著“職務(wù)之便”,獲取大量學(xué)生個人信息。52份裁判文書中,至少有1/3都是此類情況。

一則曾被多家媒體報道的案例是,成都多所高校學(xué)生突然發(fā)現(xiàn)他們“被就業(yè)”,有企業(yè)盜用了他們的身份信息,用于逃稅。而信息泄露的源頭是,某保險公司員工泄露了其在職時獲得的學(xué)生信息名單。

上述案例都告訴我們,學(xué)生信息泄露的漏洞往往在于接觸到數(shù)據(jù)的員工。

而學(xué)生個人信息泄露的責(zé)任通常歸咎于個體,不會落到公司頭上。在52份相關(guān)文書中,僅有兩例是公司需要為個人信息泄露負責(zé),而其他50例都是由個體來承擔責(zé)任。

一份判定公司違法的文書提到,某教育咨詢公司法定代表人從網(wǎng)上購買了27萬余條學(xué)生信息,并雇傭他人使用這些信息,以打電話、上門免費授課等方式推銷教育軟件。該公司借此獲利至少六萬元。最終法院判定該公司及其負責(zé)人犯侵犯公民個人信息罪,并合計處以14萬元的罰金。

在此次人大學(xué)生信息泄露事件中,浙江墾丁律師事務(wù)所創(chuàng)始合伙人麻策認為,馬某某可能構(gòu)成侵犯公民個人信息罪,而學(xué)校和學(xué)生間因為沒有“犯罪合意”,學(xué)校一般不構(gòu)成侵犯公民個人信息罪。

“一般來說,需要綜合考慮犯罪行為是否為單位利益而實施、是否以單位名義實施、是否經(jīng)單位決策、違法所得是否歸單位所有、單位是否明知應(yīng)知等因素來考慮企業(yè)等單位是否構(gòu)罪?!甭椴吒嬖V記者,但如果學(xué)校違反信息網(wǎng)絡(luò)安全管理義務(wù),經(jīng)監(jiān)管部門責(zé)令采取改正措施后拒不改正,致使用戶的公民個人信息泄露,則可能以拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪來定罪處罰。

不過,數(shù)據(jù)安全法和個人信息保護法等法律法規(guī)都對運營單位賦予了必要的法定義務(wù)。麻策說,企業(yè)等單位應(yīng)當在內(nèi)部制定并實施數(shù)據(jù)合規(guī)制度,采取必要組織和安全權(quán)限措施,比如設(shè)置信息安全部門,指定個人信息保護負責(zé)人。此外,企業(yè)等單位也應(yīng)當培養(yǎng)員工的數(shù)據(jù)合規(guī)意識,明確違規(guī)紅線,以此來隔絕或減少員工的犯罪牽連概率。

在大規(guī)模信息泄露事件中,麻策建議用戶直接報警,尤其是當個人信息仍持續(xù)面臨擴大化泄露風(fēng)險的情況下,而企業(yè)等單位也有義務(wù)通知用戶,“目前鮮有企業(yè)會實施通告,這無疑會影響用戶采取保護措施的時機”。

記者 陳志芳 孔家興 王亞賽 實習(xí)生 劉予

關(guān)鍵詞:

上一篇:《原神》蜃境樂園大危機任務(wù)完成攻略

下一篇:源杰科技(688498)7月7日主力資金凈買入484.45萬元

責(zé)任編輯:

最近更新

點擊排行
推薦閱讀