高校网络安全问题处在舆论聚光灯之下。
近日,网传中国人民大学一名毕业生盗取全校学生的个人信息,并制作网页任人查看,还可给该校女学生的颜值打分。
7月2日,中国人民大学官方微博发布情况通报:昨日学校已关注到部分学生信息被非法获取的情况,对此高度重视,第一时间联系警方,目前正积极配合警方等相关部门开展调查。学校强烈谴责侵犯个人隐私、危害信息安全的行为。感谢社会各界对学校的关心。
7月3日,据@平安北京海淀,针对“中国人民大学部分学生信息被非法获取”的情况,海淀警方接到报警后,立即开展调查。经查,嫌疑人马某某(男,25岁,该校毕业生)涉嫌非法获取该校部分学生个人信息等违法犯罪行为。目前,马某某已被海淀公安分局依法刑事拘留,案件正在进一步调查中。警方高度重视公民个人信息保护,对于相关违法犯罪,将依法予以严厉打击。
信息如何泄露?
马某某是通过何种渠道获取的学生信息,目前尚未有官方信息披露。
据《中国新闻周刊》报道,马某某就读期间,曾在学校信息中心勤工俭学,做过学生助理,“学生助理有机会使用到高权限账号,应该是那时通过超级管理员登录的。”
“从泄露的信息来看包含学号、姓名、学院、家乡、生日、照片等,应该是通过学校的学生档案库拿到的相关数据。”7月3日,互联网安全组织“网络尖刀”创始人曲子龙向澎湃新闻记者分析,部分高校的系统可能较为陈旧,学生在校园网里很多系统基本是‘裸奔’状态,防护措施未必到位。对于具体的数据获取方式,可能是通过黑客手段,也有可能是掌握了一定权限,目前尚不好判断。
“大部分学校的内部系统的组成都很复杂,不同系统来源于不同供应商,有的理工类学校可能还会‘自研’,各系统之间的代码语言、系统环境、应用程序各不相同,加上学校毕竟不像企业一样,有专业的运维、安全团队来维护,在安全的投入上参差不齐,可能会存在较大的安全隐患。”曲子龙表示。
“在数字化社会,不法分子违法获取公民个人隐私信息的行为呈现多场景、多维度、技术化的特征。”华东政法大学竞争法研究中心执行主任翟巍告诉记者,这类违法获取、使用隐私信息的行为不仅侵犯个人的隐私权及数据自决权益,而且会衍生出侵害个人人格尊严等负面后果,“大规模个人隐私信息不可逆地被公布、泄露,还可能被犯罪分子用于诈骗等刑事犯罪,导致社会公共安全风险。”
如何防范风险?
“此次信息泄露事件的发生,说明高校作为《中华人民共和国个人信息保护法》上的个人信息处理者在网络信息安全保护上尚存在一定漏洞,也为相关高校敲响警钟。”南开大学法学院副院长、教授,竞争法研究中心主任陈兵认为。
“根据《中华人民共和国个人信息保护法》,个人信息处理者是个人信息保护的主要责任人,应与个人信息提供者一道发挥个人信息保护的作用。个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。此前,人们对个人信息处理者的定义普遍是企业、政府等,但是往往忽视高校也有海量数据,对于个人信息处理者的范畴需要做全面、准确、整体的认识。”陈兵表示。
学校应该如何防范此类风险再次发生?翟巍建议,首先要强化网络信息安全的硬件和软件建设,应当采取技术措施,全面评估自身信息存储、处理设施的安全性,并进行必要的技术升级和设施替换,以有效监测、防御、应对网络信息安全风险。
其次,要设定学校内部的网络信息安全负责人,对学校内部负责网络信息安全的人员进行定期技能培训与技能考核。第三,要制定学校网络信息安全事件处置预案,确保能够迅速、有效处置网络信息安全事件,并采取具有针对性的补救措施。第四,要推动学校网络信息安全的制度性建设,制定全链条、全天候、全场景的学校网络信息安全规范,确立学校网络信息安全行为规范,在教师守则和学生守则中列入保护网络信息安全的义务和责任条款,引导教师、学生提升网络信息安全保护意识。
承担哪些法律责任?
对于学生的信息泄露,相关当事人和学校是否应当承担法律责任?一位律师告诉记者,从相关报道来看,学校显然没有尽到防止未经授权的访问、以及防止相应的个人信息泄露丢失的义务。这说明学校有可能没有尽到《中华人民共和国个人信息保护法》第51条所规定的义务,在其中的一项或几项措施上出了问题。
上海申伦律师事务所律师夏海龙向记者表示,这位人大毕业生所获取的学生信息包括人像照片、姓名、学号、生日等,均属于《个人信息保护法》所规定的个人信息甚至敏感个人信息,在未取得信息主体同意前不得获取、处理,“本案中,由于行为人获取的信息数量庞大,因此可以推测其采取了侵入相关信息系统等非法手段,可能涉嫌非法获取计算机信息系统数据罪、侵犯公民个人信息罪等多个罪名。”
“如果学校在管理学生数据时未依法采取必要保护措施,根据《个人信息保护法》第六十六条、《数据安全法》第四十五条等规定,可能会受到罚款等行政处罚。此外,学校及该毕业生也可能被相关学生提起民事侵权诉讼或被提起公益诉讼,承担民事赔偿责任。”夏海龙表示。