近日，中国人民大学毕业生马某某涉嫌在校期间非法获取学校内网数据，收集全校学生个人隐私信息，并公开发布在网站上进行颜值打分。目前，北京海淀警方已经依法刑事拘留马某某，案件正在进一步调查中。

当事件曝光时，人们的第一反应是惊讶：“他是通过什么方式获取这些数据的？从哪里获得的？”随之而来的是愤怒以及被冒犯的厌恶。

记者梳理了近三年52份学生个人信息泄露的相关裁判文书，试图探究到底是谁在泄露学生信息。

1元能买200名学生的信息

52份判决书中，有39份明确了信息泄露的主要类型——个人基本信息、学校信息是泄露最多的信息类型，包括姓名、性别、出生年月、院校、专业、班级等。此外，不法分子还获取了身份证、贷款信息等更敏感的个人信息。

除了学生相关个人信息外，学生群体的信息泄露往往还伴随家长个人信息的“裸奔”。据不完全统计，有53%的学生信息泄露案件涉及家长个人信息泄露。

而这些个人信息的单价极其低廉，《王某某侵犯公民个人信息刑事一审刑事判决书》显示，不法分子仅花费1千元就买到18万条学生信息，约等于只花1元就可以买到200个人的信息。

专家：企业等单位应设定并实施数据合规制度

关于马某某获取学校内网数据的途径，目前尚不清楚。而在以往案例中，不少犯罪分子是借着“职务之便”，获取大量学生个人信息。52份裁判文书中，至少有1/3都是此类情况。

多个案例都告诉我们，学生信息泄露的漏洞往往在于接触到数据的员工。

而学生个人信息泄露的责任通常归咎于个体，不会落到公司头上。在52份相关文书中，仅有两例是公司需要为个人信息泄露负责，而其他50例都是由个体来承担责任。

一份判定公司违法的文书提到，某教育咨询公司法定代表人从网上购买了27万余条学生信息，并雇佣他人使用这些信息，以打电话、上门免费授课等方式推销教育软件。该公司借此获利至少六万元。最终法院判定该公司及其负责人犯侵犯公民个人信息罪，并合计处以14万元的罚金。

“数据安全法和个人信息保护法等法律法规都对运营单位赋予了必要的法定义务。”浙江垦丁律师事务所创始合伙人麻策说，企业等单位应当在内部制定并实施数据合规制度，采取必要组织和安全权限措施，比如设置信息安全部门，指定个人信息保护负责人。此外，企业等单位也应当培养员工的数据合规意识，明确违规红线，以此来隔绝或减少员工的犯罪牵连概率。

在大规模信息泄露事件中，麻策建议用户直接报警，尤其是当个人信息仍持续面临扩大化泄露风险的情况下，而企业等单位也有义务通知用户，“目前鲜有企业会实施通告，这无疑会影响用户采取保护措施的时机”。