近日，中國人民大學(xué)畢業(yè)生馬某某涉嫌在校期間非法獲取學(xué)校內(nèi)網(wǎng)數(shù)據(jù)，收集全校學(xué)生個(gè)人隱私信息，并公開發(fā)布在網(wǎng)站上進(jìn)行顏值打分。目前，北京海淀警方已經(jīng)依法刑事拘留馬某某，案件正在進(jìn)一步調(diào)查中。

當(dāng)事件曝光時(shí)，人們的第一反應(yīng)是驚訝：“他是通過什么方式獲取這些數(shù)據(jù)的？從哪里獲得的？”隨之而來的是憤怒以及被冒犯的厭惡。

52份判決書中，有39份明確了信息泄露的主要類型——個(gè)人基本信息、學(xué)校信息是泄露最多的信息類型，包括姓名、性別、出生年月、院校、專業(yè)、班級(jí)等。此外，不法分子還獲取了身份證、貸款信息等更敏感的個(gè)人信息。

除了學(xué)生相關(guān)個(gè)人信息外，學(xué)生群體的信息泄露往往還伴隨家長個(gè)人信息的“裸奔”。據(jù)不完全統(tǒng)計(jì)，有53%的學(xué)生信息泄露案件涉及家長個(gè)人信息泄露。

而這些個(gè)人信息的單價(jià)極其低廉，《王某某侵犯公民個(gè)人信息刑事一審刑事判決書》顯示，不法分子僅花費(fèi)1千元就買到18萬條學(xué)生信息，約等于只花1元就可以買到200個(gè)人的信息。

不同類型的個(gè)人信息在泄露、組合后，成為不法分子進(jìn)一步實(shí)施侵害的“原料”。而這些侵害又往往以電信詐騙的形式出現(xiàn)。

關(guān)于馬某某獲取學(xué)校內(nèi)網(wǎng)數(shù)據(jù)的途徑，目前尚不清楚。而在以往案例中，不少犯罪分子是借著“職務(wù)之便”，獲取大量學(xué)生個(gè)人信息。52份裁判文書中，至少有1/3都是此類情況。

多個(gè)案例都告訴我們，學(xué)生信息泄露的漏洞往往在于接觸到數(shù)據(jù)的員工。

而學(xué)生個(gè)人信息泄露的責(zé)任通常歸咎于個(gè)體，不會(huì)落到公司頭上。在52份相關(guān)文書中，僅有兩例是公司需要為個(gè)人信息泄露負(fù)責(zé)，而其他50例都是由個(gè)體來承擔(dān)責(zé)任。

一份判定公司違法的文書提到，某教育咨詢公司法定代表人從網(wǎng)上購買了27萬余條學(xué)生信息，并雇傭他人使用這些信息，以打電話、上門免費(fèi)授課等方式推銷教育軟件。該公司借此獲利至少六萬元。最終法院判定該公司及其負(fù)責(zé)人犯侵犯公民個(gè)人信息罪，并合計(jì)處以14萬元的罰金。

“數(shù)據(jù)安全法和個(gè)人信息保護(hù)法等法律法規(guī)都對(duì)運(yùn)營單位賦予了必要的法定義務(wù)?！闭憬瓑ǘ÷蓭熓聞?wù)所創(chuàng)始合伙人麻策說，企業(yè)等單位應(yīng)當(dāng)在內(nèi)部制定并實(shí)施數(shù)據(jù)合規(guī)制度，采取必要組織和安全權(quán)限措施，比如設(shè)置信息安全部門，指定個(gè)人信息保護(hù)負(fù)責(zé)人。此外，企業(yè)等單位也應(yīng)當(dāng)培養(yǎng)員工的數(shù)據(jù)合規(guī)意識(shí)，明確違規(guī)紅線，以此來隔絕或減少員工的犯罪牽連概率。

在大規(guī)模信息泄露事件中，麻策建議用戶直接報(bào)警，尤其是當(dāng)個(gè)人信息仍持續(xù)面臨擴(kuò)大化泄露風(fēng)險(xiǎn)的情況下，而企業(yè)等單位也有義務(wù)通知用戶，“目前鮮有企業(yè)會(huì)實(shí)施通告，這無疑會(huì)影響用戶采取保護(hù)措施的時(shí)機(jī)”。