當個人信息被用於顏值打分時，信息裸奔時代的人們再一次憤怒了。

近日，中國人民大學畢業生馬某某涉嫌在校期間非法獲取學校內網數據，收集全校學生個人隱私信息，並公開發布在網站上進行顏值打分。目前，北京海淀警方已經依法刑事拘留馬某某，案件正在進一步調查中。

當事件曝光時，中國人民大學在校生小琳的第一反應是驚訝：“他是通過什麼方式獲取這些數據的？從哪裏獲得的”，隨之而來的是憤怒以及被冒犯的厭惡。

記者梳理了近三年52份學生個人信息泄露的相關裁判文書，試圖探究到底是誰在泄露學生信息，哪些環節出了紕漏，又是誰應當爲此負責？

廉價的個人信息：

1元能買200名學生的信息

這52份判決書透露着與學生個人信息泄露相關的“罪與罰”。

有39份明確了信息泄露的主要類型——個人基本信息、學校信息是泄露最多的信息類型，包括姓名、性別、出生年月、院校、專業、班級等。此外，不法分子還獲取了身份證、貸款信息等更敏感的個人信息。

除了學生相關個人信息外，學生羣體的信息泄露往往還伴隨家長個人信息的“裸奔”。據不完全統計，有53%的學生信息泄露案件涉及家長個人信息泄露。

而這些個人信息的單價極其低廉，《王某某侵犯公民個人信息刑事一審刑事判決書》顯示，不法分子僅花費1千元就買到18萬條學生信息，約等於只花1元就可以買到200個人的信息。

不同類型的個人信息在泄露、組合後，成爲不法分子進一步實施侵害的“原料”。而這些侵害又往往以電信詐騙的形式出現。

江蘇省無錫市惠山區人民法院於2020年審理的案件中，被告人王宜恆利用事先在網上購買的學生家長個人信息和QQ號碼，使用僞造的培訓通知書，冒充子女身份，以需繳納培訓費爲由，多次騙得被害人錢財共計人民幣76120元。判決書顯示，被告人王宜恆犯詐騙罪、侵犯公民個人信息罪等，數罪併罰被判處有期徒刑四年三個月，罰金5000元。其中，犯侵犯公民個人信息罪的部分，判處有期徒刑三個月、罰金3000元。

通過梳理多份判決書的量刑標準可以看到，在侵犯公民個人信息罪的刑罰上，會考量信息泄露體量、犯罪手段、犯罪目的等多方面因素。

對比《蔡滔侵犯公民個人信息一審刑事判決書》（下稱蔡滔案）及《張曉東侵犯公民個人信息罪一審刑事判決書》（下稱張曉東案）兩份判決書可以看到，被告人均被判處4年9個月的有期徒刑，但涉案的個人信息體量卻差異顯著。

蔡滔案涉及侵犯公民個人信息1603萬條，非法獲利3.8萬元；張曉東案涉及侵犯公民個人信息27.9萬條，非法獲利238美元（約1723元）。法院指出，由於張曉東案在非法獲取公民個人信息中，使用了侵入、控制他人計算機等手段，情節特別嚴重，量刑上要重於其他類似公民個人信息泄露體量、獲利的案件。

專家：企業等單位應設定並實施

數據合規制度

關於馬某某獲取學校內網數據的途徑，目前尚不清楚。而在以往案例中，不少犯罪分子是藉着“職務之便”，獲取大量學生個人信息。52份裁判文書中，至少有1/3都是此類情況。

上述案例都告訴我們，學生信息泄露的漏洞往往在於接觸到數據的員工。

而學生個人信息泄露的責任通常歸咎於個體，不會落到公司頭上。在52份相關文書中，僅有兩例是公司需要爲個人信息泄露負責，而其他50例都是由個體來承擔責任。

一份判定公司違法的文書提到，某教育諮詢公司法定代表人從網上購買了27萬餘條學生信息，並僱傭他人使用這些信息，以打電話、上門免費授課等方式推銷教育軟件。該公司藉此獲利至少六萬元。最終法院判定該公司及其負責人犯侵犯公民個人信息罪，併合計處以14萬元的罰金。

在此次人大學生信息泄露事件中，浙江墾丁律師事務所創始合夥人麻策認爲，馬某某可能構成侵犯公民個人信息罪，而學校和學生間因爲沒有“犯罪合意”，學校一般不構成侵犯公民個人信息罪。

“一般來說，需要綜合考慮犯罪行爲是否爲單位利益而實施、是否以單位名義實施、是否經單位決策、違法所得是否歸單位所有、單位是否明知應知等因素來考慮企業等單位是否構罪。”麻策告訴澎湃新聞，但如果學校違反信息網絡安全管理義務，經監管部門責令採取改正措施後拒不改正，致使用戶的公民個人信息泄露，則可能以拒不履行信息網絡安全管理義務罪來定罪處罰。

不過，數據安全法和個人信息保護法等法律法規都對運營單位賦予了必要的法定義務。麻策說，企業等單位應當在內部制定並實施數據合規制度，採取必要組織和安全權限措施，比如設置信息安全部門，指定個人信息保護負責人。此外，企業等單位也應當培養員工的數據合規意識，明確違規紅線，以此來隔絕或減少員工的犯罪牽連概率。

在大規模信息泄露事件中，麻策建議用戶直接報警，尤其是當個人信息仍持續面臨擴大化泄露風險的情況下，而企業等單位也有義務通知用戶，“目前鮮有企業會實施通告，這無疑會影響用戶採取保護措施的時機”。

據澎湃新聞