两万学生“被裸奔”？信息保护还任重道远

来源：南方传媒书院

作者：陈瑜

导读：

一、郑州西亚斯学院近两万学生个人信息遭泄露？

二、信息泄露处置有理有法为何仍然难治？

三、大数据背景下学生个人信息如何保护？

一、高校成为信息泄露重灾区

您好，是陈瑜女士吗？

你好，你是？

“我们是××培训机构的，我们了解到您有考研需求，这边针对你们学校的学生考研培训是有优惠的，报名只需要……”

正疑惑培训机构是如何知道我的电话和姓名，甚至还了解我的读研计划，突然想到最近学院举办的某次活动中，××培训机构正是该活动的赞助商之一。

近日，郑州西亚斯学院近两万人学生个人信息被泄露，以表格形式在社交平台上流传，其中不仅包括学生姓名和专业，还含有班级、身份证号、宿舍门牌号、考生号等二十余项学生信息。有学生称，个人信息被泄露名单中已有同学接到培训机构的骚扰电话。6月10日，该校就此次事件发表《致歉声明》，并称已对直接负责人予以解除劳动合同，对相关部门负责人及两名主管校领导予以记过处分。

郑州西亚斯学院致歉声明截图

“小声说说，我还以为这是学校默认的行为（经常接到某某培训机构的电话）。”

“大数据时代，我们都在‘裸奔’。”

“学生信息泄露，这不是日常吗？”

此前，学生信息泄露事件也多次发生。

2016年10月9日，杭州电子科技大学学工部、武装部、学生处官网发布了“2016年国瀚寒门学子培养计划”资助学生公示，表格中包含学生姓名、院系专业以及身份证号。

2018年9月，威海职业学院，河南工程学院艺术设计学院在公示国家奖学金初审名单时，公布了学生的身份证号。

2019年4月，河南政法财经大学、西北工业大学明德学院等高校都出现了数千名学生个人信息泄露，而“被入职”陌生公司的情况。

高校学生信息泄露，甚至被非法出售，无疑让学生们陷入“被裸奔”的状态，学生及其家庭都有可能受到骚扰和潜在威胁。尤其目前处于疫情期间，学校搜集学生个人信息普遍通过互联网群聊小程序进行，信息泄露问题更会频频出现。

二、有理有法为何仍然难治？

作为学生的我们常常会有这样的苦恼：参加讲座时要求填写表格，其中不仅包括姓名电话还有身份证号这类极为私密的信息；刚报名了某种证书的考试，随后便经常接到培训机构的电话；就连父母都难以逃脱辅导机构、保险机构的电话骚扰，句句都是“为了您的孩子好”……

此时，我们气汹汹挂断电话，转头向朋友吐槽几句，顺势将号码标记为“推销”，随后加入到电话黑名单中，这一系列操作不假思索、一气呵成。

互联网技术发展，搜集学生信息方式多样化，多渠道化致使学生个人信息泄露源头难以确定。

“有些文件辅导员直接下发到班级群，不止一个学院，往往几个学院都是在一起，各种身份信息都有，有时候不是本校的人也能混进去，直接下载文件。”

渠道一，教师当中出现“内鬼”。整理学生资料的老师对于学生个人信息记录都有固定编号，其中包括姓名、手机号码、学号、邮箱、身份证号、父母手机号码等详细信息。2018年6月，凉山州破获一40万学生信息被泄露案件，其中就有两名教师利用职务便利，将学生信息出售牟利。

渠道二，群聊泄露。当前高校中搜集和核对信息多是通过群聊进行，尤其是在外实习的大四学生和研究生，由于异地，只能采取网上沟通的形式进行沟通。学生之间相互转发，混入群聊的不法分子都可能造成学生个人信息泄露。

渠道三，第三方故意窃取。在搜集整理学生信息时，多数高校会采取小程序的形式进行，这样既快捷又方便填写，也会委托第三方IT系统服务公司操作。在利益诱惑下，第三方获取学生数据后贩卖。

渠道四，学校管理存在漏洞导致不法分子有机可乘。学校系统安全投入不足，黑客入侵，则系统当中所有学生信息将一览无余。2019年，杜天禹通过植入木马程序的方式，非法侵入山东省2016年普通高等学校招生考试信息平台网站，并非法获取2016年山东省高考考生个人信息64万余条。

面对庞大的数据体系，查处源头毕竟要消耗大量的人力物力成本。在面对教师、学生、第三方等一系列相关方时，高校往往会选择报警、道歉和处理相关负责人以息事宁人，此做法完全不能从根本解决信息泄露问题。

在高校泄露学生个人信息事件中，学生实际作为弱势群体，维权更是难上加难。学生也想要保护个人信息不外传，反对高校以及各种组织泄露自身隐私，反感频繁的骚扰电话。但是得知信息泄露疑似来源于校方之后，由于害怕得罪学校老师，身边同学也都习以为常，只要不是涉及大金额诈骗，往往还是会选择忽视和逃避。

“反正报警也没用，算了算了。”

“接几个骚扰电话而已，只要没有被骗钱，不值得浪费自己的时间和精力。”

“枪打出头鸟，我虽看不惯学校做法，但我也不想当提出反对的第一人。”

“搞不清楚哪种程度算侵权，也不知道可以通过什么途径解决。”

学生敢怒不敢言，信息泄露方打着“你看不惯我又干不掉我”的主意横行霸道。各种主客观因素的影响下，学生维权可称得上是千辛万苦了。

“你的信息，他的生意；你的数据，他的资源。”大数据时代，数据成为一种必不可少的资源。

对于很多推销者来说，学生资料便是他们实现精准营销的第一步。企业或个人获取学生信息，进一步分析其需求和购物偏好。于是在利益驱动之下，学校内部工作人员通过泄露学生信息获利，第三方软件通过盗取信息开始贩卖，机构或个人通过购买的信息进行推销或诈骗，一条非法信息兜售链条就这样形成了。

非法分子竟然还开起了“信息贩卖铺”，个人信息在互联网中实行明码标价。

根据2016年的报道显示，价格表中个人机票信息20-50元，个人银行账户信息60-90元。手机定位数据最贵，联通定位200元/次，移动定位350元/次，电信定位价格400元/次。随着总体物价上涨，想必当前个人信息价格也是只涨不跌。

相比之下，学生信息买卖就便宜一些。去年10月，江苏某一犯罪团伙在网络上贩卖信息，一毛钱一条，以培训班的名义收取家长报名费，诈骗20多名家长，所得九万余元，最后锒铛入狱。可谓是赚钱不规范，尝透铁窗泪啊。

最后，让我们来看看信息泄露的相关法律规定。“自然人个人信息受保护”在2017年就已写入《民法总则》、《侵权责任法》和《刑法》等法律、法规，并对个人信息的收集、使用、保护规则以及侵害个人信息的处罚作出规定。

刑法第二百五十三条之一：

“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金。”

其中也对“情节严重”作出规定，“非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的”，“非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的”，“非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的”等。

理想很丰满，现实很骨感。

从立法形式上看，我国关于个人信息保护的法律看似是形成了一定的规模，但没有形成一个完整、清晰的体系，分散于法律、规章甚至条文当中，碎片化特征导致实际执行操作性差。

一方面，要构成“情节严重”警方才会立案调查，往往还要受害人提供损失证明，而信息被泄露的学生大部分都只是受到骚扰，并没有金钱或是其他方面的实际损失。从警方角度也是有道理的，假如随便一个人都报警说自己接到骚扰电话，需要警方立案，那再多警力也忙不过来，除非是出现了大规模骚扰、诈骗的集体性现象。

另一方面，涉事企业或个人非法获取、出售或提供个人信息的程度往往都达不到量刑的程度。在面对大量的小规模信息泄露事件时，执法机构也只能是心有余而力不足的口头提醒。

值得期待的是，第十三届全国人民代表大会通过《中华人民共和国民法典》，其中明确了个人信息和隐私权的定义，包含个人信息的处理原则、条件和免责事由，个人信息主体的权利和与之对应的信息处理者的信息安全保障义务，公权力机关及其工作人员的保密义务，勾勒出了一个相对完整的个人信息保护制度。

三、大数据时代如何保护学生信息

大数据背景下，互联网以及各种软件应用开发给人们生活带来便利。同时，高校信息流通方式增多也导致学生信息泄露风险明显增加。在建设数字化校园实践中，学生学籍档案、家庭信息、未来规划等等一系列包含个人信息的资料都储存在网络系统当中，做好学生隐私保护工作是保障学生利益不受侵害的基本举措。除了学生本人要提高安全保护以外也要提高维权意识，高校和政府还可以从以下方面入手：

1、学生作为此次信息泄露的最大受害者，想要做到既保障自身权益又不因此得罪学校，又该如何行动呢？

第一，接到推销或诈骗电话时，首先要冷静处理，向同学或老师辨别对方提供信息的真伪，做到“不听 不信 不转账 不回款”。在被骗取钱财之后一定要保存证据，立马报警。

第二，对骚扰来电号码类型进行标注。手机系统会将标注信息进行汇总并传到云端，每个使用该系统的用户都可以看到其他用户的标注，以此也警惕其他同学来电是推销或诈骗。

第三，在确定泄露源头是学校或其他机构泄露信息之后，学生可以通过匿名写信方式将事件缘由告诉校方或警方。或是采取集体性的行为，聚集被泄露信息学生的意见以及相关证据，由代表学生或教师向学校和警方说明情况，要求其解决问题，并要求信息获取方停止损害学生权益的行为。

第四，若在上述行动之后问题依然得不到解决，学生可以找到媒体机构，并要求媒体在新闻报道时进行匿名化处理。媒体报道后，事件引发社会关注，倒逼校方对事件进行处理。

2、既然学校掌握学生个人信息，就应该对学生信息安全负责。作为教师本应严守职业道德，如若做出监守自盗，私自拷贝贩卖学生个人信息的行为是道德和法律绝对不允许的。

首先，升级学校管理系统，防止黑客入侵，聘用专门的技术人员进行定期维护。加强学校管理平台是一项长期系统工程，不可能一劳永逸。网络技术日新月异，各种违法行为也会利用新技术产生“新变种”，顺应技术发展，增强学校系统的防御能力至关重要。

其次，建设完善监管体系，明确信息泄露责任主体，做到“魔高一尺，道高一丈”，对侵犯信息权、隐私权的行为“零容忍”。在学生信息搜集、整理过程中，明确每一环节负责人。学校在互联网中下发个人信息文件时，可以采取以下技术：一是采取自动加密技术，文件外泄就无法正常打开。二是采取屏幕水印技术，用户在看文件时文件上有用户本人用户名。三是阅后即焚，发出文件受到时间和打开次数的限制，过期将自动销毁。

最后，在信息不慎泄露后，要尽快追责，并查清泄露源头。案例中涉事的郑州西亚斯学院，在学生信息泄露之后，还以泄露信息不包括电话号码为由让大家放心，而信息时代中通过身份证号等信息也可以完全勾勒出一个人的画像。

3、中央对关于个人信息保护的法律进行整理、整合以及修正补充。个人立法要考虑到各个方面的利益主体，在有效保护与开发利用、信息安全与市场发展之间寻求平衡。

有专家认为个人信息保护横跨民法、行政法、刑法、国际法等多个法律体系，还涵盖商业、科技和教育等多个领域，需要全方位利用民事、刑事、行政等多种手段参与个人信息权的保护当中。

除了上述中央牵头颁布个人信息保护法外，地方政府也要加入到个人信息保护的行列当中。今年6月10日，陕西省教育厅下发了关于进一步加强数据安全和个人信息保护的通知。通知指出学校收集的个人信息和重要数据不能用于商业用途，并要求教育系统各单位对数据安全和个人信息保护进行全面彻底的排查。

近年来隐私泄露事件时有发生，爱奇艺拿出用户百页观影记录、Youtube和推特泄露用户信息、一加手机“透视”功能侵犯隐私等。个人信息保护不仅仅关乎学生，更关乎每一个中国公民，应当坚决与非法获取个人信息的行为作斗争。在信息保护与信息利用之间达成平衡，才能促进我国数字经济健康、稳定发展。