当个人信息被用来评价外貌的时候,信息公开时代的人们又愤怒了。近日,中国人民大学一名毕业生涉嫌从学校内网非法获取数据,收集学生个人隐私信息,并将这些信息公开发布在网站上进行外貌评价,引起广泛关注。据悉,该学生已被北京海淀警方依法刑事拘留,案件正在进一步审理中。
此事曝光时,中国人民大学的一名学生在接受采访时表达了她的惊讶和愤怒:“他是怎么得到这些数据的?你从哪儿弄来的?”此事不仅引起了在校学生的关注,也引起了社会各界的深刻思考。
为了探究学生个人信息泄露的原因和责任,本文梳理了近三年来与学生个人信息泄露相关的52份裁判文书,试图找到问题的答案。这些文件揭示了信息泄露的源头和相关责任方,为学生个人信息的保护提供了重要参考。
映射源网络
便宜的个人信息:1元钱可以买到200个左右学生的信息。
这52份判决书详细揭示了学生个人信息泄露罪及相应的处罚。其中,39份判决书明确指出了信息泄露的主要类型。个人基本信息和学校信息是最常见的学生信息泄露类型,包括姓名、性别、出生日期、学院、专业、班级等。更敏感的个人信息,如身份证和贷款信息,也被犯罪分子获取。
除了学生的个人信息,学生群体的信息泄露往往伴随着家长个人信息的泄露。据不完全统计,53%的学生信息泄露案件涉及家长个人信息的泄露。
这些判决不仅揭示了信息泄露的类型和范围,还明确了责任主体和惩罚措施。对于学校管理来说,要加强对学生个人信息的保护措施,完善信息安全管理制度,加强对学生信息使用的监管。同时,应根据泄露信息的性质和程度追究犯罪分子的刑事责任,以保护公民的个人隐私。
映射源网络
这些个人信息的单价极低。根据刑事判决书记载,王侵犯公民个人信息案刑事审判,犯罪分子仅花1000元就买了18万条学生信息,相当于每条信息只花1元钱就买了200条人的信息。信息泄露结合后,就成了不法分子侵犯的“原料”。而这些违规行为往往以电信诈骗的形式出现。
在2020年江苏省无锡市惠山区人民法院审理的一起案件中,被告人王一恒使用事先在网上购买的学生家长的个人信息和QQ号,使用伪造的培训通知书,冒充儿童,以要交培训费为由,骗取被害人共计76120元。根据判决,被告人王一恒因犯诈骗罪、侵犯公民个人信息罪等数罪,被判处有期徒刑四年三个月,并处罚金5000元。其中,犯侵犯公民个人信息罪,判处有期徒刑三个月,并处罚金3000元。
可见,泄露学生个人信息的行为不仅侵犯了公民的隐私权,也给不法分子提供了可乘之机,导致电信诈骗等犯罪行为的发生。为保护公民个人信息安全和权益,有关部门应加强对学生个人信息保护的管理和监督,加大对个人信息泄露和滥用的打击力度,提高公众的信息安全意识和防范能力。
映射源网络
梳理几个判决的量刑标准可以看出,侵犯公民个人信息罪的量刑会考虑信息泄露量、犯罪手段、犯罪目的等诸多因素。
通过对比侵犯公民个人信息案一审刑事判决书和张晓东侵犯公民个人信息罪一审刑事判决书,可以发现,两案被告人均被判处有期徒刑四年九个月,但涉及公民个人信息的数量存在显著差异。
在蔡涛案中,被告人涉嫌侵犯公民个人信息1603万条,从中非法获利3.8万元。在张晓东案中,被告涉及侵犯公民个人信息27.9万条,非法获利238美元(约合人民币1723元)。
法院指出,张晓东案中,被告人在非法获取公民个人信息的过程中,使用黑客攻击、控制他人电脑等手段,属于情节特别严重的行为,因此量刑应当比其他类似公民个人信息泄露次数、获利数额的案件更重。
映射源网络
专家:企业等单位应建立并实施数据合规制度。
目前不清楚马是如何得到学校内网数据的。但在之前的案件中,很多不法分子利用职务之便,获取了大量学生的个人信息。52份裁判文书中至少有三分之一属于这种情况。
一个被多家媒体报道过的案例是,成都多所高校的学生突然发现自己被录用了,有企业盗用他们的身份信息进行逃税。信息泄露的源头是某保险公司员工在入职时泄露了自己获得的学生信息名单。
以上案例都告诉我们,学生信息的泄露,往往在于接触到数据的员工。
在52份涉及个人信息泄露的文件中,只有两种情况是公司需要承担个人信息泄露的责任,其他50种情况都是个人承担。这说明在个人信息泄露事件中,个人往往需要为自己的行为负责,而公司在这方面享有相对的豁免权。
然而,一份判定该公司违法的文件显示,一家教育咨询公司的法定代表人从网上购买了27万多条学生信息,并雇佣他人利用这些信息通过电话或在家中免费讲座的方式推广教育软件。公司由此获利至少6万元。最终,法院判决该公司及其负责人侵犯公民个人信息罪成立,并处罚金共计14万元。
对于NPC学生信息泄露一事,浙江垦鼎律师事务所创始合伙人马策认为,马某某可能构成侵犯公民个人信息罪。但由于学校与学生之间没有“犯罪约定”,学校一般不构成侵犯公民个人信息罪。
“一般来说,要综合考虑犯罪行为是否为本单位利益而实施,是否以本单位名义实施,是否由本单位决定,违法所得是否属于本单位,以及本单位是否知道其应当知道的情况来考虑企业和其他单位是否构成犯罪。”马策告诉论文,但学校违反信息网络安全管理义务,经监管部门责令采取改正措施后拒不改正,导致用户公民个人信息泄露的,可以以拒不履行信息网络安全管理义务罪定罪处罚。
图来源网络
但《数据安全法》、《个人信息保护法》等法律法规赋予了运营单位必要的法律义务。
马策表示,企业等单位应在内部制定并实施数据合规制度,采取必要的组织和安全权限措施,如设立信息安全部门,指定专人负责个人信息保护等。此外,企业等单位也要培养员工的数据合规意识,明确违规红线,降低员工涉罪概率。
一旦发生大规模的信息泄露,马策建议用户直接报警,尤其是在个人信息仍有扩大泄露风险的情况下。同时,企业等单位也有义务告知用户。但目前很少有企业会及时告知用户,这可能会影响用户采取防护措施的机会。
在个人信息泄露风险加大的当下,无论是企业还是个人都需要加强安全意识和防范措施。企业需要建立完善的信息安全管理制度,加强对员工的数据合规培训,及时告知用户可能存在的风险。个人要提高自我保护意识,谨慎处理个人信息,采取有效措施保护隐私。同时,政府和监管机构也需要加强对企业和个人的监管和惩罚力度,确保公民的个人隐私权不受侵犯。
图来源网络
温馨提示:注:内容来源均采集于互联网,不要轻信任何,后果自负,本站不承担任何责任。若本站收录的信息无意侵犯了贵司版权,请给我们来信(j7hr0a@163.com),我们会及时处理和回复。
原文地址"学生信息泄露案例,10万余条学生信息遭泄露":http://www.guoyinggangguan.com/xedk/107685.html。
微信扫描二维码关注官方微信
▲长按图片识别二维码
