近日，中國人民大學畢業生馬某某涉嫌在校期間非法獲取學校內網數據，收集全校學生個人隱私信息，並公開發布在網站上進行顏值打分。目前，北京海淀警方已經依法刑事拘留馬某某，案件正在進一步調查中。

　　當事件曝光時，人們的第一反應是驚訝：『他是通過什麼方式獲取這些數據的？從哪裡獲得的？』隨之而來的是憤怒以及被冒犯的厭惡。

　　1元能買200名學生的信息

　　52份判決書中，有39份明確了信息泄露的主要類型——個人基本信息、學校信息是泄露最多的信息類型，包括姓名、性別、出生年月、院校、專業、班級等。此外，不法分子還獲取了身份證、貸款信息等更敏感的個人信息。

　　除了學生相關個人信息外，學生群體的信息泄露往往還伴隨家長個人信息的『裸奔』。據不完全統計，有53%的學生信息泄露案件涉及家長個人信息泄露。

　　而這些個人信息的單價極其低廉，《王某某侵犯公民個人信息刑事一審刑事判決書》顯示，不法分子僅花費1千元就買到18萬條學生信息，約等於只花1元就可以買到200個人的信息。

　　不同類型的個人信息在泄露、組合後，成為不法分子進一步實施侵害的『原料』。而這些侵害又往往以電信詐騙的形式出現。

　　專家：企業等單位應設定並實施數據合規制度

　　關於馬某某獲取學校內網數據的途徑，目前尚不清楚。而在以往案例中，不少犯罪分子是借著『職務之便』，獲取大量學生個人信息。52份裁判文書中，至少有1/3都是此類情況。

　　多個案例都告訴我們，學生信息泄露的漏洞往往在於接觸到數據的員工。

　　而學生個人信息泄露的責任通常歸咎於個體，不會落到公司頭上。在52份相關文書中，僅有兩例是公司需要為個人信息泄露負責，而其他50例都是由個體來承擔責任。

　　一份判定公司違法的文書提到，某教育諮詢公司法定代表人從網上購買了27萬餘條學生信息，並僱傭他人使用這些信息，以打電話、上門免費授課等方式推銷教育軟件。該公司借此獲利至少六萬元。最終法院判定該公司及其負責人犯侵犯公民個人信息罪，並合計處以14萬元的罰金。

　　『數據安全法和個人信息保護法等法律法規都對運營單位賦予了必要的法定義務。』浙江墾丁律師事務所創始合伙人麻策說，企業等單位應當在內部制定並實施數據合規制度，采取必要組織和安全權限措施，比如設置信息安全部門，指定個人信息保護負責人。此外，企業等單位也應當培養員工的數據合規意識，明確違規紅線，以此來隔絕或減少員工的犯罪牽連概率。

　　在大規模信息泄露事件中，麻策建議用戶直接報警，尤其是當個人信息仍持續面臨擴大化泄露風險的情況下，而企業等單位也有義務通知用戶，『目前鮮有企業會實施通告，這無疑會影響用戶采取保護措施的時機』。