谁在泄露学生信息，谁应当为此负责？

当个人信息被用来评价外貌时，赤裸裸的信息时代的人们再次愤怒了。

近日，中国人民大学毕业生马某某涉嫌在校期间非法获取学校内网数据，收集全校学生个人隐私信息，并公开发布在外貌评分网站上。 目前，北京海淀警方已对马某某依法刑事拘留，案件正在进一步侦办中。

事件曝光后，中国人民大学学生肖林的第一反应是惊讶：“他是怎么得到这些数据的？从哪里得到的？” 接下来是愤怒和被冒犯的厌恶。

澎湃新闻梳理了近三年来有关学生个人信息泄露的52份相关司法文件，试图找出到底是谁泄露了学生信息，哪些环节出了问题，又该由谁来负责？

便宜的个人信息：1元钱可以买到200个学生的信息

这52件判决书揭露了与学生个人信息泄露相关的“罪与罚”。

39份文件明确了信息泄露的主要类型——个人基本信息和学校信息是泄露最多的信息类型，包括姓名、性别、出生日期、院校、专业、班级等。此外，不法分子还获得了较为敏感的个人信息。身份证、贷款信息等信息。

除了学生相关的个人信息外，学生群体的信息泄露往往还伴随着家长个人信息的“裸奔”。 据不完全统计，学生信息泄露案件中有53%涉及家长个人信息泄露。

这些个人信息的单价极低。

《王某某侵害公民个人信息犯罪一审刑事判决书》显示，犯罪分子仅花费1000元就购买了18万条学生信息，相当于仅花费1元购买了200人的信息。

不同类型的个人信息被泄露、组合后，成为不法分子进一步侵权的“原材料”。 这些违法行为通常采取电信欺诈的形式。

2020年，江苏省无锡市惠山区人民法院审理的一起案件中，被告人王一恒利用提前在网上购买的学生家长个人信息和QQ号，利用伪造的培训通知书冒充学生家长的身份。孩子，声称需要交培训费。 结果，受害人多次被骗，共计人民币76120元。 判决书显示，被告人王一恒犯有诈骗罪、侵犯公民个人信息罪等，数罪判处有期徒刑四年零三个月，并处罚金五千元。 其中，犯侵犯公民个人信息罪的，判处有期徒刑三个月，并处罚金3000元。

梳理多起判决中的量刑标准可以看出，在对侵犯公民个人信息行为进行处罚时，会考虑泄露信息量、犯罪手段、犯罪目的等诸多因素。

“蔡涛侵犯公民个人信息刑事一审判决”（以下简称蔡涛案）与“张晓东侵犯公民个人信息刑事一审判决”（以下简称张晓东案），可见被告人均被判处4年9个月有期徒刑，但涉及的个人信息量却存在明显差异。

蔡涛案涉及侵犯公民个人信息1603万条，违法所得3.8万元； 张晓东案涉及侵犯公民个人信息27.9万条，违法所得238美元（约1723元）。 法院指出，由于张晓东案采用侵入、控制他人计算机等手段非法获取公民个人信息，情节特别严重，量刑较其他同类案件涉及公民个人信息数额较重。信息泄露和牟利。

专家：企业等单位应建立并实施数据合规制度

目前尚不清楚马某某是如何获取学校内网数据的。 在以往的案件中，不少不法分子利用职务之便获取了大量学生个人信息。 52份判决书中，至少有1/3属于此类。

多家媒体报道过的一个案例是，成都多所高校的学生突然发现自己被“雇佣”，被一家公司窃取了他们的身份信息并利用其逃税。 信息泄露的源头是一家保险公司的一名员工泄露了他在工作时获取的学生信息清单。

上述案例都告诉我们，学生信息泄露的漏洞往往在于有权访问数据的员工。

学生个人信息泄露的责任通常由个人而非公司承担。 52份相关文件中，只有两起企业对个人信息泄露负有责任的案件，其余50起案件均由个人负责。

一份认定该公司违法的文件中提到，某教育咨询公司的法定代表人从互联网上购买了27万多条学生信息，并雇佣他人利用这些信息通过电话、上门等方式推广教育软件。免费课程。 公司至少盈利6万元。 最终，法院认定该公司及其主要负责人犯有侵犯公民个人信息罪，共处以14万元罚款。

在这起中国人民大学学生信息泄露事件中，浙江垦丁律师事务所创始合伙人马策认为，马某某可能犯有侵犯公民个人信息罪，且双方之间并无“刑事协议”。学校与学生之间，学校一般不构成侵犯公民个人信息罪。 侵犯公民个人信息罪。

“一般来说，要综合考虑犯罪行为是否为单位利益实施、是否以单位名义实施、是否由单位决定、违法所得是否属于单位等因素。向单位通报情况、单位是否知道、应当知道等情况，以认定企业或者其他单位是否构成犯罪。” 马策告诉澎湃新闻，但如果学校违反信息网络安全管理义务，被监管部门责令改正后拒不改正，导致用户个人信息泄露，则可能会被指控犯信息网络安全罪。拒不履行信息网络安全管理义务的。 定罪和处罚。

但《数据安全法》《个人信息保护法》等法律法规对运营单位规定了必要的法律义务。

马策表示，企业等单位应在内部制定和实施数据合规制度，并采取必要的组织和安全权限措施，如设立信息安全部门、指定个人信息保护负责人等。 此外，企业等单位还应培养员工数据合规意识，明确违规红线，隔离或降低员工涉嫌犯罪的概率。

一旦发生大规模信息泄露，马策建议用户直接报警，特别是当个人信息持续面临扩大泄露的风险时，公司等单位也有义务通知用户。 “目前很少有企业会实施通知，这无疑会影响用户采取防护措施的时机。”

标签： 信息 泄露 公民 侵犯 个人