当个人信息被用于颜值打分时,信息裸奔时代的人们再一次愤怒了。
近日,中国人民大学毕业生马某某涉嫌在校期间非法获取学校内网数据,收集全校学生个人隐私信息,并公开发布在网站上进行颜值打分。目前,北京海淀警方已经依法刑事拘留马某某,案件正在进一步调查中。
当事件曝光时,中国人民大学在校生小琳的第一反应是惊讶:“他是通过什么方式获取这些数据的?从哪里获得的”,随之而来的是愤怒以及被冒犯的厌恶。
记者梳理了近三年52份学生个人信息泄露的相关裁判文书,试图探究到底是谁在泄露学生信息,哪些环节出了纰漏,又是谁应当为此负责?
廉价的个人信息:
1元能买200名学生的信息
这52份判决书透露着与学生个人信息泄露相关的“罪与罚”。
有39份明确了信息泄露的主要类型——个人基本信息、学校信息是泄露最多的信息类型,包括姓名、性别、出生年月、院校、专业、班级等。此外,不法分子还获取了身份证、贷款信息等更敏感的个人信息。
除了学生相关个人信息外,学生群体的信息泄露往往还伴随家长个人信息的“裸奔”。据不完全统计,有53%的学生信息泄露案件涉及家长个人信息泄露。
而这些个人信息的单价极其低廉,《王某某侵犯公民个人信息刑事一审刑事判决书》显示,不法分子仅花费1千元就买到18万条学生信息,约等于只花1元就可以买到200个人的信息。
不同类型的个人信息在泄露、组合后,成为不法分子进一步实施侵害的“原料”。而这些侵害又往往以电信诈骗的形式出现。
江苏省无锡市惠山区人民法院于2020年审理的案件中,被告人王宜恒利用事先在网上购买的学生家长个人信息和QQ号码,使用伪造的培训通知书,冒充子女身份,以需缴纳培训费为由,多次骗得被害人钱财共计人民币76120元。判决书显示,被告人王宜恒犯诈骗罪、侵犯公民个人信息罪等,数罪并罚被判处有期徒刑四年三个月,罚金5000元。其中,犯侵犯公民个人信息罪的部分,判处有期徒刑三个月、罚金3000元。
通过梳理多份判决书的量刑标准可以看到,在侵犯公民个人信息罪的刑罚上,会考量信息泄露体量、犯罪手段、犯罪目的等多方面因素。
对比《蔡滔侵犯公民个人信息一审刑事判决书》(下称蔡滔案)及《张晓东侵犯公民个人信息罪一审刑事判决书》(下称张晓东案)两份判决书可以看到,被告人均被判处4年9个月的有期徒刑,但涉案的个人信息体量却差异显著。
蔡滔案涉及侵犯公民个人信息1603万条,非法获利3.8万元;张晓东案涉及侵犯公民个人信息27.9万条,非法获利238美元(约1723元)。法院指出,由于张晓东案在非法获取公民个人信息中,使用了侵入、控制他人计算机等手段,情节特别严重,量刑上要重于其他类似公民个人信息泄露体量、获利的案件。
专家:企业等单位应设定并实施
数据合规制度
关于马某某获取学校内网数据的途径,目前尚不清楚。而在以往案例中,不少犯罪分子是借着“职务之便”,获取大量学生个人信息。52份裁判文书中,至少有1/3都是此类情况。
上述案例都告诉我们,学生信息泄露的漏洞往往在于接触到数据的员工。
而学生个人信息泄露的责任通常归咎于个体,不会落到公司头上。在52份相关文书中,仅有两例是公司需要为个人信息泄露负责,而其他50例都是由个体来承担责任。
一份判定公司违法的文书提到,某教育咨询公司法定代表人从网上购买了27万余条学生信息,并雇佣他人使用这些信息,以打电话、上门免费授课等方式推销教育软件。该公司借此获利至少六万元。最终法院判定该公司及其负责人犯侵犯公民个人信息罪,并合计处以14万元的罚金。
在此次人大学生信息泄露事件中,浙江垦丁律师事务所创始合伙人麻策认为,马某某可能构成侵犯公民个人信息罪,而学校和学生间因为没有“犯罪合意”,学校一般不构成侵犯公民个人信息罪。
“一般来说,需要综合考虑犯罪行为是否为单位利益而实施、是否以单位名义实施、是否经单位决策、违法所得是否归单位所有、单位是否明知应知等因素来考虑企业等单位是否构罪。”麻策告诉澎湃新闻,但如果学校违反信息网络安全管理义务,经监管部门责令采取改正措施后拒不改正,致使用户的公民个人信息泄露,则可能以拒不履行信息网络安全管理义务罪来定罪处罚。
不过,数据安全法和个人信息保护法等法律法规都对运营单位赋予了必要的法定义务。麻策说,企业等单位应当在内部制定并实施数据合规制度,采取必要组织和安全权限措施,比如设置信息安全部门,指定个人信息保护负责人。此外,企业等单位也应当培养员工的数据合规意识,明确违规红线,以此来隔绝或减少员工的犯罪牵连概率。
在大规模信息泄露事件中,麻策建议用户直接报警,尤其是当个人信息仍持续面临扩大化泄露风险的情况下,而企业等单位也有义务通知用户,“目前鲜有企业会实施通告,这无疑会影响用户采取保护措施的时机”。
据澎湃新闻
责任编辑:刘光博