细思极恐！1 元能买到 200 个学生的信息

近日，中国人民大学毕业生马某某涉嫌在校期间非法获取学校内网数据，收集全校学生个人隐私信息，并公开发布在网站上进行颜值打分。目前，北京海淀警方已经依法刑事拘留马某某，案件正在进一步调查中。

当事件曝光时，人们的第一反应是惊讶：" 他是通过什么方式获取这些数据的？从哪里获得的？" 随之而来的是愤怒以及被冒犯的厌恶。

(资料图片仅供参考)

记者梳理了近三年 52 份学生个人信息泄露的相关裁判文书，试图探究到底是谁在泄露学生信息。

1 元能买 200 名学生的信息

52 份判决书中，有 39 份明确了信息泄露的主要类型——个人基本信息、学校信息是泄露最多的信息类型，包括姓名、性别、出生年月、院校、专业、班级等。此外，不法分子还获取了身份证、贷款信息等更敏感的个人信息。

除了学生相关个人信息外，学生群体的信息泄露往往还伴随家长个人信息的 " 裸奔 "。据不完全统计，有 53% 的学生信息泄露案件涉及家长个人信息泄露。

而这些个人信息的单价极其低廉，《王某某侵犯公民个人信息刑事一审刑事判决书》显示，不法分子仅花费 1 千元就买到 18 万条学生信息，约等于只花 1 元就可以买到 200 个人的信息。

不同类型的个人信息在泄露、组合后，成为不法分子进一步实施侵害的 " 原料 "。而这些侵害又往往以电信诈骗的形式出现。

专家：企业等单位应设定并实施数据合规制度

关于马某某获取学校内网数据的途径，目前尚不清楚。而在以往案例中，不少犯罪分子是借着 " 职务之便 "，获取大量学生个人信息。52 份裁判文书中，至少有 1/3 都是此类情况。

多个案例都告诉我们，学生信息泄露的漏洞往往在于接触到数据的员工。

而学生个人信息泄露的责任通常归咎于个体，不会落到公司头上。在 52 份相关文书中，仅有两例是公司需要为个人信息泄露负责，而其他 50 例都是由个体来承担责任。

一份判定公司违法的文书提到，某教育咨询公司法定代表人从网上购买了 27 万余条学生信息，并雇佣他人使用这些信息，以打电话、上门免费授课等方式推销教育软件。该公司借此获利至少六万元。最终法院判定该公司及其负责人犯侵犯公民个人信息罪，并合计处以 14 万元的罚金。

" 数据安全法和个人信息保护法等法律法规都对运营单位赋予了必要的法定义务。" 浙江垦丁律师事务所创始合伙人麻策说，企业等单位应当在内部制定并实施数据合规制度，采取必要组织和安全权限措施，比如设置信息安全部门，指定个人信息保护负责人。此外，企业等单位也应当培养员工的数据合规意识，明确违规红线，以此来隔绝或减少员工的犯罪牵连概率。

在大规模信息泄露事件中，麻策建议用户直接报警，尤其是当个人信息仍持续面临扩大化泄露风险的情况下，而企业等单位也有义务通知用户，" 目前鲜有企业会实施通告，这无疑会影响用户采取保护措施的时机 "。

来源：央视网