高校網(wǎng)絡(luò)安全問題處在輿論聚光燈之下。近日，網(wǎng)傳中國人民大學(xué)一名畢業(yè)生盜取全校學(xué)生的個人信息，并制作網(wǎng)頁任人查看，還可給該校女學(xué)生的顏值打分。

7月2日，中國人民大學(xué)官方微博發(fā)布情況通報：昨日學(xué)校已關(guān)注到部分學(xué)生信息被非法獲取的情況，對此高度重視，第一時間聯(lián)系警方，目前正積極配合警方等相關(guān)部門開展調(diào)查。學(xué)校強烈譴責(zé)侵犯個人隱私、危害信息安全的行為。感謝社會各界對學(xué)校的關(guān)心。

7月3日，據(jù)@平安北京海淀，針對“中國人民大學(xué)部分學(xué)生信息被非法獲取”的情況，海淀警方接到報警后，立即開展調(diào)查。經(jīng)查，嫌疑人馬某某（男，25歲，該校畢業(yè)生）涉嫌非法獲取該校部分學(xué)生個人信息等違法犯罪行為。目前，馬某某已被海淀公安分局依法刑事拘留，案件正在進一步調(diào)查中。警方高度重視公民個人信息保護，對于相關(guān)違法犯罪，將依法予以嚴(yán)厲打擊。

信息如何泄露？

馬某某是通過何種渠道獲取的學(xué)生信息，目前尚未有官方信息披露。

據(jù)《中國新聞周刊》報道，馬某某就讀期間，曾在學(xué)校信息中心勤工儉學(xué)，做過學(xué)生助理，“學(xué)生助理有機會使用到高權(quán)限賬號，應(yīng)該是那時通過超級管理員登錄的。”

“從泄露的信息來看包含學(xué)號、姓名、學(xué)院、家鄉(xiāng)、生日、照片等，應(yīng)該是通過學(xué)校的學(xué)生檔案庫拿到的相關(guān)數(shù)據(jù)?！?月3日，互聯(lián)網(wǎng)安全組織“網(wǎng)絡(luò)尖刀”創(chuàng)始人曲子龍向澎湃新聞記者分析，部分高校的系統(tǒng)可能較為陳舊，學(xué)生在校園網(wǎng)里很多系統(tǒng)基本是‘裸奔’狀態(tài)，防護措施未必到位。對于具體的數(shù)據(jù)獲取方式，可能是通過黑客手段，也有可能是掌握了一定權(quán)限，目前尚不好判斷。

“大部分學(xué)校的內(nèi)部系統(tǒng)的組成都很復(fù)雜，不同系統(tǒng)來源于不同供應(yīng)商，有的理工類學(xué)?？赡苓€會‘自研’，各系統(tǒng)之間的代碼語言、系統(tǒng)環(huán)境、應(yīng)用程序各不相同，加上學(xué)校畢竟不像企業(yè)一樣，有專業(yè)的運維、安全團隊來維護，在安全的投入上參差不齊，可能會存在較大的安全隱患?！鼻育埍硎尽?/p>

“在數(shù)字化社會，不法分子違法獲取公民個人隱私信息的行為呈現(xiàn)多場景、多維度、技術(shù)化的特征?！比A東政法大學(xué)競爭法研究中心執(zhí)行主任翟巍告訴記者，這類違法獲取、使用隱私信息的行為不僅侵犯個人的隱私權(quán)及數(shù)據(jù)自決權(quán)益，而且會衍生出侵害個人人格尊嚴(yán)等負(fù)面后果，“大規(guī)模個人隱私信息不可逆地被公布、泄露，還可能被犯罪分子用于詐騙等刑事犯罪，導(dǎo)致社會公共安全風(fēng)險?！?/p>

如何防范風(fēng)險？

“此次信息泄露事件的發(fā)生，說明高校作為《中華人民共和國個人信息保護法》上的個人信息處理者在網(wǎng)絡(luò)信息安全保護上尚存在一定漏洞，也為相關(guān)高校敲響警鐘?！蹦祥_大學(xué)法學(xué)院副院長、教授，競爭法研究中心主任陳兵認(rèn)為。

“根據(jù)《中華人民共和國個人信息保護法》，個人信息處理者是個人信息保護的主要責(zé)任人，應(yīng)與個人信息提供者一道發(fā)揮個人信息保護的作用。個人信息處理者應(yīng)當(dāng)對其個人信息處理活動負(fù)責(zé)，并采取必要措施保障所處理的個人信息的安全。此前，人們對個人信息處理者的定義普遍是企業(yè)、政府等，但是往往忽視高校也有海量數(shù)據(jù)，對于個人信息處理者的范疇需要做全面、準(zhǔn)確、整體的認(rèn)識?！标惐硎尽?/p>

學(xué)校應(yīng)該如何防范此類風(fēng)險再次發(fā)生？翟巍建議，首先要強化網(wǎng)絡(luò)信息安全的硬件和軟件建設(shè)，應(yīng)當(dāng)采取技術(shù)措施，全面評估自身信息存儲、處理設(shè)施的安全性，并進行必要的技術(shù)升級和設(shè)施替換，以有效監(jiān)測、防御、應(yīng)對網(wǎng)絡(luò)信息安全風(fēng)險。

其次，要設(shè)定學(xué)校內(nèi)部的網(wǎng)絡(luò)信息安全負(fù)責(zé)人，對學(xué)校內(nèi)部負(fù)責(zé)網(wǎng)絡(luò)信息安全的人員進行定期技能培訓(xùn)與技能考核。第三，要制定學(xué)校網(wǎng)絡(luò)信息安全事件處置預(yù)案，確保能夠迅速、有效處置網(wǎng)絡(luò)信息安全事件，并采取具有針對性的補救措施。第四，要推動學(xué)校網(wǎng)絡(luò)信息安全的制度性建設(shè)，制定全鏈條、全天候、全場景的學(xué)校網(wǎng)絡(luò)信息安全規(guī)范，確立學(xué)校網(wǎng)絡(luò)信息安全行為規(guī)范，在教師守則和學(xué)生守則中列入保護網(wǎng)絡(luò)信息安全的義務(wù)和責(zé)任條款，引導(dǎo)教師、學(xué)生提升網(wǎng)絡(luò)信息安全保護意識。

承擔(dān)哪些法律責(zé)任？

對于學(xué)生的信息泄露，相關(guān)當(dāng)事人和學(xué)校是否應(yīng)當(dāng)承擔(dān)法律責(zé)任？一位律師告訴記者，從相關(guān)報道來看，學(xué)校顯然沒有盡到防止未經(jīng)授權(quán)的訪問、以及防止相應(yīng)的個人信息泄露丟失的義務(wù)。這說明學(xué)校有可能沒有盡到《中華人民共和國個人信息保護法》第51條所規(guī)定的義務(wù)，在其中的一項或幾項措施上出了問題。

上海申倫律師事務(wù)所律師夏海龍向記者表示，這位人大畢業(yè)生所獲取的學(xué)生信息包括人像照片、姓名、學(xué)號、生日等，均屬于《個人信息保護法》所規(guī)定的個人信息甚至敏感個人信息，在未取得信息主體同意前不得獲取、處理，“本案中，由于行為人獲取的信息數(shù)量龐大，因此可以推測其采取了侵入相關(guān)信息系統(tǒng)等非法手段，可能涉嫌非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪、侵犯公民個人信息罪等多個罪名?！?/p>

“如果學(xué)校在管理學(xué)生數(shù)據(jù)時未依法采取必要保護措施，根據(jù)《個人信息保護法》第六十六條、《數(shù)據(jù)安全法》第四十五條等規(guī)定，可能會受到罰款等行政處罰。此外，學(xué)校及該畢業(yè)生也可能被相關(guān)學(xué)生提起民事侵權(quán)訴訟或被提起公益訴訟，承擔(dān)民事賠償責(zé)任。”夏海龍表示。

(本文來自澎湃新聞，更多原創(chuàng)資訊請下載“澎湃新聞”APP)