來源：南方傳媒書院

作者：陳瑜

導(dǎo)讀：

一、鄭州西亞斯學(xué)院近兩萬學(xué)生個人信息遭泄露？

二、信息泄露處置有理有法為何仍然難治？

三、大數(shù)據(jù)背景下學(xué)生個人信息如何保護？

一、高校成為信息泄露重災(zāi)區(qū)

您好，是陳瑜女士嗎？

你好，你是？

“我們是××培訓(xùn)機構(gòu)的，我們了解到您有考研需求，這邊針對你們學(xué)校的學(xué)生考研培訓(xùn)是有優(yōu)惠的，報名只需要……”

正疑惑培訓(xùn)機構(gòu)是如何知道我的電話和姓名，甚至還了解我的讀研計劃，突然想到最近學(xué)院舉辦的某次活動中，××培訓(xùn)機構(gòu)正是該活動的贊助商之一。

近日，鄭州西亞斯學(xué)院近兩萬人學(xué)生個人信息被泄露，以表格形式在社交平臺上流傳，其中不僅包括學(xué)生姓名和專業(yè)，還含有班級、身份證號、宿舍門牌號、考生號等二十余項學(xué)生信息。有學(xué)生稱，個人信息被泄露名單中已有同學(xué)接到培訓(xùn)機構(gòu)的騷擾電話。6月10日，該校就此次事件發(fā)表《致歉聲明》，并稱已對直接負責(zé)人予以解除勞動合同，對相關(guān)部門負責(zé)人及兩名主管校領(lǐng)導(dǎo)予以記過處分。

鄭州西亞斯學(xué)院致歉聲明截圖

“小聲說說，我還以為這是學(xué)校默認的行為（經(jīng)常接到某某培訓(xùn)機構(gòu)的電話）。”

“大數(shù)據(jù)時代，我們都在‘裸奔’。”

“學(xué)生信息泄露，這不是日常嗎？”

此前，學(xué)生信息泄露事件也多次發(fā)生。

2016年10月9日，杭州電子科技大學(xué)學(xué)工部、武裝部、學(xué)生處官網(wǎng)發(fā)布了“2016年國瀚寒門學(xué)子培養(yǎng)計劃”資助學(xué)生公示，表格中包含學(xué)生姓名、院系專業(yè)以及身份證號。

2018年9月，威海職業(yè)學(xué)院，河南工程學(xué)院藝術(shù)設(shè)計學(xué)院在公示國家獎學(xué)金初審名單時，公布了學(xué)生的身份證號。

2019年4月，河南政法財經(jīng)大學(xué)、西北工業(yè)大學(xué)明德學(xué)院等高校都出現(xiàn)了數(shù)千名學(xué)生個人信息泄露，而“被入職”陌生公司的情況。

高校學(xué)生信息泄露，甚至被非法出售，無疑讓學(xué)生們陷入“被裸奔”的狀態(tài)，學(xué)生及其家庭都有可能受到騷擾和潛在威脅。尤其目前處于疫情期間，學(xué)校搜集學(xué)生個人信息普遍通過互聯(lián)網(wǎng)群聊小程序進行，信息泄露問題更會頻頻出現(xiàn)。

二、有理有法為何仍然難治？

作為學(xué)生的我們常常會有這樣的苦惱：參加講座時要求填寫表格，其中不僅包括姓名電話還有身份證號這類極為私密的信息；剛報名了某種證書的考試，隨后便經(jīng)常接到培訓(xùn)機構(gòu)的電話；就連父母都難以逃脫輔導(dǎo)機構(gòu)、保險機構(gòu)的電話騷擾，句句都是“為了您的孩子好”……

此時，我們氣洶洶掛斷電話，轉(zhuǎn)頭向朋友吐槽幾句，順勢將號碼標(biāo)記為“推銷”，隨后加入到電話黑名單中，這一系列操作不假思索、一氣呵成。

互聯(lián)網(wǎng)技術(shù)發(fā)展，搜集學(xué)生信息方式多樣化，多渠道化致使學(xué)生個人信息泄露源頭難以確定。

“有些文件輔導(dǎo)員直接下發(fā)到班級群，不止一個學(xué)院，往往幾個學(xué)院都是在一起，各種身份信息都有，有時候不是本校的人也能混進去，直接下載文件。”

渠道一，教師當(dāng)中出現(xiàn)“內(nèi)鬼”。整理學(xué)生資料的老師對于學(xué)生個人信息記錄都有固定編號，其中包括姓名、手機號碼、學(xué)號、郵箱、身份證號、父母手機號碼等詳細信息。2018年6月，涼山州破獲一40萬學(xué)生信息被泄露案件，其中就有兩名教師利用職務(wù)便利，將學(xué)生信息出售牟利。

渠道二，群聊泄露。當(dāng)前高校中搜集和核對信息多是通過群聊進行，尤其是在外實習(xí)的大四學(xué)生和研究生，由于異地，只能采取網(wǎng)上溝通的形式進行溝通。學(xué)生之間相互轉(zhuǎn)發(fā)，混入群聊的不法分子都可能造成學(xué)生個人信息泄露。

渠道三，第三方故意竊取。在搜集整理學(xué)生信息時，多數(shù)高校會采取小程序的形式進行，這樣既快捷又方便填寫，也會委托第三方IT系統(tǒng)服務(wù)公司操作。在利益誘惑下，第三方獲取學(xué)生數(shù)據(jù)后販賣。

渠道四，學(xué)校管理存在漏洞導(dǎo)致不法分子有機可乘。學(xué)校系統(tǒng)安全投入不足，黑客入侵，則系統(tǒng)當(dāng)中所有學(xué)生信息將一覽無余。2019年，杜天禹通過植入木馬程序的方式，非法侵入山東省2016年普通高等學(xué)校招生考試信息平臺網(wǎng)站，并非法獲取2016年山東省高考考生個人信息64萬余條。

面對龐大的數(shù)據(jù)體系，查處源頭畢竟要消耗大量的人力物力成本。在面對教師、學(xué)生、第三方等一系列相關(guān)方時，高校往往會選擇報警、道歉和處理相關(guān)負責(zé)人以息事寧人，此做法完全不能從根本解決信息泄露問題。

在高校泄露學(xué)生個人信息事件中，學(xué)生實際作為弱勢群體，維權(quán)更是難上加難。學(xué)生也想要保護個人信息不外傳，反對高校以及各種組織泄露自身隱私，反感頻繁的騷擾電話。但是得知信息泄露疑似來源于校方之后，由于害怕得罪學(xué)校老師，身邊同學(xué)也都習(xí)以為常，只要不是涉及大金額詐騙，往往還是會選擇忽視和逃避。

“反正報警也沒用，算了算了。”

“接幾個騷擾電話而已，只要沒有被騙錢，不值得浪費自己的時間和精力。”

“槍打出頭鳥，我雖看不慣學(xué)校做法，但我也不想當(dāng)提出反對的第一人。”

“搞不清楚哪種程度算侵權(quán)，也不知道可以通過什么途徑解決。”

學(xué)生敢怒不敢言，信息泄露方打著“你看不慣我又干不掉我”的主意橫行霸道。各種主客觀因素的影響下，學(xué)生維權(quán)可稱得上是千辛萬苦了。

“你的信息，他的生意；你的數(shù)據(jù)，他的資源。”大數(shù)據(jù)時代，數(shù)據(jù)成為一種必不可少的資源。

對于很多推銷者來說，學(xué)生資料便是他們實現(xiàn)精準(zhǔn)營銷的第一步。企業(yè)或個人獲取學(xué)生信息，進一步分析其需求和購物偏好。于是在利益驅(qū)動之下，學(xué)校內(nèi)部工作人員通過泄露學(xué)生信息獲利，第三方軟件通過盜取信息開始販賣，機構(gòu)或個人通過購買的信息進行推銷或詐騙，一條非法信息兜售鏈條就這樣形成了。

非法分子竟然還開起了“信息販賣鋪”，個人信息在互聯(lián)網(wǎng)中實行明碼標(biāo)價。

根據(jù)2016年的報道顯示，價格表中個人機票信息20-50元，個人銀行賬戶信息60-90元。手機定位數(shù)據(jù)最貴，聯(lián)通定位200元/次，移動定位350元/次，電信定位價格400元/次。隨著總體物價上漲，想必當(dāng)前個人信息價格也是只漲不跌。

相比之下，學(xué)生信息買賣就便宜一些。去年10月，江蘇某一犯罪團伙在網(wǎng)絡(luò)上販賣信息，一毛錢一條，以培訓(xùn)班的名義收取家長報名費，詐騙20多名家長，所得九萬余元，最后鋃鐺入獄。可謂是賺錢不規(guī)范，嘗透鐵窗淚啊。

最后，讓我們來看看信息泄露的相關(guān)法律規(guī)定。“自然人個人信息受保護”在2017年就已寫入《民法總則》、《侵權(quán)責(zé)任法》和《刑法》等法律、法規(guī)，并對個人信息的收集、使用、保護規(guī)則以及侵害個人信息的處罰作出規(guī)定。

刑法第二百五十三條之一：

“國家機關(guān)或者金融、電信、交通、教育、醫(yī)療等單位的工作人員，違反國家規(guī)定，將本單位在履行職責(zé)或者提供服務(wù)過程中獲得的公民個人信息，出售或者非法提供給他人，情節(jié)嚴(yán)重的，處三年以下有期徒刑或者拘役，并處或者單處罰金。”

其中也對“情節(jié)嚴(yán)重”作出規(guī)定，“非法獲取、出售或者提供行蹤軌跡信息、通信內(nèi)容、征信信息、財產(chǎn)信息五十條以上的”，“非法獲取、出售或者提供住宿信息、通信記錄、健康生理信息、交易信息等其他可能影響人身、財產(chǎn)安全的公民個人信息五百條以上的”，“非法獲取、出售或者提供第三項、第四項規(guī)定以外的公民個人信息五千條以上的”等。

理想很豐滿，現(xiàn)實很骨感。

從立法形式上看，我國關(guān)于個人信息保護的法律看似是形成了一定的規(guī)模，但沒有形成一個完整、清晰的體系，分散于法律、規(guī)章甚至條文當(dāng)中，碎片化特征導(dǎo)致實際執(zhí)行操作性差。

一方面，要構(gòu)成“情節(jié)嚴(yán)重”警方才會立案調(diào)查，往往還要受害人提供損失證明，而信息被泄露的學(xué)生大部分都只是受到騷擾，并沒有金錢或是其他方面的實際損失。從警方角度也是有道理的，假如隨便一個人都報警說自己接到騷擾電話，需要警方立案，那再多警力也忙不過來，除非是出現(xiàn)了大規(guī)模騷擾、詐騙的集體性現(xiàn)象。

另一方面，涉事企業(yè)或個人非法獲取、出售或提供個人信息的程度往往都達不到量刑的程度。在面對大量的小規(guī)模信息泄露事件時，執(zhí)法機構(gòu)也只能是心有余而力不足的口頭提醒。

值得期待的是，第十三屆全國人民代表大會通過《中華人民共和國民法典》，其中明確了個人信息和隱私權(quán)的定義，包含個人信息的處理原則、條件和免責(zé)事由，個人信息主體的權(quán)利和與之對應(yīng)的信息處理者的信息安全保障義務(wù)，公權(quán)力機關(guān)及其工作人員的保密義務(wù)，勾勒出了一個相對完整的個人信息保護制度。

三、大數(shù)據(jù)時代如何保護學(xué)生信息

大數(shù)據(jù)背景下，互聯(lián)網(wǎng)以及各種軟件應(yīng)用開發(fā)給人們生活帶來便利。同時，高校信息流通方式增多也導(dǎo)致學(xué)生信息泄露風(fēng)險明顯增加。在建設(shè)數(shù)字化校園實踐中，學(xué)生學(xué)籍檔案、家庭信息、未來規(guī)劃等等一系列包含個人信息的資料都儲存在網(wǎng)絡(luò)系統(tǒng)當(dāng)中，做好學(xué)生隱私保護工作是保障學(xué)生利益不受侵害的基本舉措。除了學(xué)生本人要提高安全保護以外也要提高維權(quán)意識，高校和政府還可以從以下方面入手：

1、學(xué)生作為此次信息泄露的最大受害者，想要做到既保障自身權(quán)益又不因此得罪學(xué)校，又該如何行動呢？

第一，接到推銷或詐騙電話時，首先要冷靜處理，向同學(xué)或老師辨別對方提供信息的真?zhèn)危龅健安宦?不信 不轉(zhuǎn)賬 不回款”。在被騙取錢財之后一定要保存證據(jù)，立馬報警。

第二，對騷擾來電號碼類型進行標(biāo)注。手機系統(tǒng)會將標(biāo)注信息進行匯總并傳到云端，每個使用該系統(tǒng)的用戶都可以看到其他用戶的標(biāo)注，以此也警惕其他同學(xué)來電是推銷或詐騙。

第三，在確定泄露源頭是學(xué)校或其他機構(gòu)泄露信息之后，學(xué)生可以通過匿名寫信方式將事件緣由告訴校方或警方。或是采取集體性的行為，聚集被泄露信息學(xué)生的意見以及相關(guān)證據(jù)，由代表學(xué)生或教師向?qū)W校和警方說明情況，要求其解決問題，并要求信息獲取方停止損害學(xué)生權(quán)益的行為。

第四，若在上述行動之后問題依然得不到解決，學(xué)生可以找到媒體機構(gòu)，并要求媒體在新聞報道時進行匿名化處理。媒體報道后，事件引發(fā)社會關(guān)注，倒逼校方對事件進行處理。

2、既然學(xué)校掌握學(xué)生個人信息，就應(yīng)該對學(xué)生信息安全負責(zé)。作為教師本應(yīng)嚴(yán)守職業(yè)道德，如若做出監(jiān)守自盜，私自拷貝販賣學(xué)生個人信息的行為是道德和法律絕對不允許的。

首先，升級學(xué)校管理系統(tǒng)，防止黑客入侵，聘用專門的技術(shù)人員進行定期維護。加強學(xué)校管理平臺是一項長期系統(tǒng)工程，不可能一勞永逸。網(wǎng)絡(luò)技術(shù)日新月異，各種違法行為也會利用新技術(shù)產(chǎn)生“新變種”，順應(yīng)技術(shù)發(fā)展，增強學(xué)校系統(tǒng)的防御能力至關(guān)重要。

其次，建設(shè)完善監(jiān)管體系，明確信息泄露責(zé)任主體，做到“魔高一尺，道高一丈”，對侵犯信息權(quán)、隱私權(quán)的行為“零容忍”。在學(xué)生信息搜集、整理過程中，明確每一環(huán)節(jié)負責(zé)人。學(xué)校在互聯(lián)網(wǎng)中下發(fā)個人信息文件時，可以采取以下技術(shù)：一是采取自動加密技術(shù)，文件外泄就無法正常打開。二是采取屏幕水印技術(shù)，用戶在看文件時文件上有用戶本人用戶名。三是閱后即焚，發(fā)出文件受到時間和打開次數(shù)的限制，過期將自動銷毀。

最后，在信息不慎泄露后，要盡快追責(zé)，并查清泄露源頭。案例中涉事的鄭州西亞斯學(xué)院，在學(xué)生信息泄露之后，還以泄露信息不包括電話號碼為由讓大家放心，而信息時代中通過身份證號等信息也可以完全勾勒出一個人的畫像。

3、中央對關(guān)于個人信息保護的法律進行整理、整合以及修正補充。個人立法要考慮到各個方面的利益主體，在有效保護與開發(fā)利用、信息安全與市場發(fā)展之間尋求平衡。

有專家認為個人信息保護橫跨民法、行政法、刑法、國際法等多個法律體系，還涵蓋商業(yè)、科技和教育等多個領(lǐng)域，需要全方位利用民事、刑事、行政等多種手段參與個人信息權(quán)的保護當(dāng)中。

除了上述中央牽頭頒布個人信息保護法外，地方政府也要加入到個人信息保護的行列當(dāng)中。今年6月10日，陜西省教育廳下發(fā)了關(guān)于進一步加強數(shù)據(jù)安全和個人信息保護的通知。通知指出學(xué)校收集的個人信息和重要數(shù)據(jù)不能用于商業(yè)用途，并要求教育系統(tǒng)各單位對數(shù)據(jù)安全和個人信息保護進行全面徹底的排查。

近年來隱私泄露事件時有發(fā)生，愛奇藝拿出用戶百頁觀影記錄、Youtube和推特泄露用戶信息、一加手機“透視”功能侵犯隱私等。個人信息保護不僅僅關(guān)乎學(xué)生，更關(guān)乎每一個中國公民，應(yīng)當(dāng)堅決與非法獲取個人信息的行為作斗爭。在信息保護與信息利用之間達成平衡，才能促進我國數(shù)字經(jīng)濟健康、穩(wěn)定發(fā)展。