问题到底出在哪里？

当个人信息被用于颜值打分时，信息裸奔时代的人们再一次愤怒了。

近日，中国人民大学毕业生马某某涉嫌在校期间非法获取学校内网数据，收集全校学生个人隐私信息，并公开发布在网站上进行颜值打分。目前，北京海淀警方已经依法刑事拘留马某某，案件正在进一步调查中。

当事件曝光时，中国人民大学在校生小琳的第一反应是惊讶：“他是通过什么方式获取这些数据的？从哪里获得的”，随之而来的是愤怒以及被冒犯的厌恶。

澎湃新闻梳理了近三年 52 份学生个人信息泄露的相关裁判文书，试图探究到底是谁在泄露学生信息，哪些环节出了纰漏，又是谁应当为此负责？

廉价的个人信息：

1 元能买 200 名学生的信息

这 52 份判决书透露着与学生个人信息泄露相关的“罪与罚”。

有 39 份明确了信息泄露的主要类型——个人基本信息、学校信息是泄露最多的信息类型，包括姓名、性别、出生年月、院校、专业、班级等。此外，不法分子还获取了身份证、贷款信息等更敏感的个人信息。

除了学生相关个人信息外，学生群体的信息泄露往往还伴随家长个人信息的“裸奔”。据不完全统计，有 53% 的学生信息泄露案件涉及家长个人信息泄露。

而这些个人信息的单价极其低廉，《王某某侵犯公民个人信息刑事一审刑事判决书》显示，不法分子仅花费 1 千元就买到 18 万条学生信息，约等于只花 1 元就可以买到 200 个人的信息。

不同类型的个人信息在泄露、组合后，成为不法分子进一步实施侵害的“原料”。而这些侵害又往往以电信诈骗的形式出现。

江苏省无锡市惠山区人民法院于 2020 年审理的案件中，被告人王宜恒利用事先在网上购买的学生家长个人信息和 QQ 号码，使用伪造的培训通知书，冒充子女身份，以需缴纳培训费为由，多次骗得被害人钱财共计人民币 76120 元。判决书显示，被告人王宜恒犯诈骗罪、侵犯公民个人信息罪等，数罪并罚被判处有期徒刑四年三个月，罚金 5000 元。其中，犯侵犯公民个人信息罪的部分，判处有期徒刑三个月、罚金 3000 元。

通过梳理多份判决书的量刑标准可以看到，在侵犯公民个人信息罪的刑罚上，会考量信息泄露体量、犯罪手段、犯罪目的等多方面因素。

对比《蔡滔侵犯公民个人信息一审刑事判决书》（下称蔡滔案）及《张晓东侵犯公民个人信息罪一审刑事判决书》（下称张晓东案）两份判决书可以看到，被告人均被判处 4 年 9 个月的有期徒刑，但涉案的个人信息体量却差异显著。

蔡滔案涉及侵犯公民个人信息 1603 万条，非法获利 3.8 万元；张晓东案涉及侵犯公民个人信息 27.9 万条，非法获利 238 美元（约 1723 元）。法院指出，由于张晓东案在非法获取公民个人信息中，使用了侵入、控制他人计算机等手段，情节特别严重，量刑上要重于其他类似公民个人信息泄露体量、获利的案件。

专家：企业等单位应设定

并实施数据合规制度

关于马某某获取学校内网数据的途径，目前尚不清楚。而在以往案例中，不少犯罪分子是借着“职务之便”，获取大量学生个人信息。52 份裁判文书中，至少有 1/3 都是此类情况。

一则曾被多家媒体报道的案例是，成都多所高校学生突然发现他们“被就业”，有企业盗用了他们的身份信息，用于逃税。而信息泄露的源头是，某保险公司员工泄露了其在职时获得的学生信息名单。

上述案例都告诉我们，学生信息泄露的漏洞往往在于接触到数据的员工。

而学生个人信息泄露的责任通常归咎于个体，不会落到公司头上。在 52 份相关文书中，仅有两例是公司需要为个人信息泄露负责，而其他 50 例都是由个体来承担责任。

一份判定公司违法的文书提到，某教育咨询公司法定代表人从网上购买了 27 万余条学生信息，并雇佣他人使用这些信息，以打电话、上门免费授课等方式推销教育软件。该公司借此获利至少六万元。最终法院判定该公司及其负责人犯侵犯公民个人信息罪，并合计处以 14 万元的罚金。

在此次人大学生信息泄露事件中，浙江垦丁律师事务所创始合伙人麻策认为，马某某可能构成侵犯公民个人信息罪，而学校和学生间因为没有“犯罪合意”，学校一般不构成侵犯公民个人信息罪。

“一般来说，需要综合考虑犯罪行为是否为单位利益而实施、是否以单位名义实施、是否经单位决策、违法所得是否归单位所有、单位是否明知应知等因素来考虑企业等单位是否构罪。”麻策告诉澎湃新闻，但如果学校违反信息网络安全管理义务，经监管部门责令采取改正措施后拒不改正，致使用户的公民个人信息泄露，则可能以拒不履行信息网络安全管理义务罪来定罪处罚。

不过，数据安全法和个人信息保护法等法律法规都对运营单位赋予了必要的法定义务。麻策说，企业等单位应当在内部制定并实施数据合规制度，采取必要组织和安全权限措施，比如设置信息安全部门，指定个人信息保护负责人。此外，企业等单位也应当培养员工的数据合规意识，明确违规红线，以此来隔绝或减少员工的犯罪牵连概率。

在大规模信息泄露事件中，麻策建议用户直接报警，尤其是当个人信息仍持续面临扩大化泄露风险的情况下，而企业等单位也有义务通知用户，“目前鲜有企业会实施通告，这无疑会影响用户采取保护措施的时机”。

来源：澎湃美数课