肖飒团队｜莫让高校沦为个人信息保护的“洼地”！

　　核心提示：

　　1.非法获取照片、姓名等信息用以制作“颜值评分”网站的行为或涉嫌侵犯公民个人信息罪及非法获取计算机信息系统数据罪。

　　2.行为人因非法获取公民个人信息构成相关刑事犯罪的，不影响其继续承担民事责任，如非法获取他人照片并制作“颜值排行榜”，涉及对他人容貌进行评价，这其中如若包含侮辱、诽谤的内容，则可能构成对他人名誉权的侵犯。

　　3.个人信息处理者负有采取措施确保个人信息处理活动合法并保护个人信息安全的义务、在发生或可能发生个人信息泄露等安全事件时立即采取补救措施并通知监管机构和个人的义务。一直以来，学校都是学生信息泄露的重灾区，而高校作为国家科研机构的一部分，更是应当提高对信息保护和数据安全的关注度和保护度。

　　事件回顾

　　7月1日

　　有网友在微博上爆料称，中国某大学一名硕士毕业生（马某）在校期间，利用专业技术盗取全校学生个人信息，包括照片、姓名、学号、学院、籍贯及生日等，搭建成“颜值排行榜”的网站。据网传的截图显示，该条动态发表于2020年10月，目前该微博账号上的相关内容已清空，但该条消息瞬间传遍全网，引起广泛热议。

　　7月2日

　　该大学办公室工作人员称，学校已经关注到此事件，正在核实，并第一时间联系了警方，后续校方将积极配合警方处理此事。

　　7月3日

　　北京海淀警方发布通报，嫌疑人为该校毕业生，涉嫌非法获取该校部分学生个人信息等违法犯罪行为，已经被依法刑拘。同日下午，该大学本科招生办工作人员表示，马某系往届毕业生，目前已被刑拘，后续校方将配合警方进一步协助调查。

　　cos扎克伯格？

　　可能涉嫌刑事犯罪！

　　虽然该案后续结果还未公布，但根据北京海淀警方的通告，马某被“刑事拘留”而不是被“行政拘留”，说明马某非法获取公民个人信息的行为构成了刑事犯罪，需要承担相应的刑事责任。根据现已公布的信息来看，飒姐团队认为马某主要涉嫌侵犯公民个人信息罪，同时也有可能涉及非法获取计算机信息系统数据罪。

　　

　　（一）

　　侵犯公民个人信息罪

　　《刑法》第二百五十三条之一规定了侵犯公民个人信息罪，情节严重的，处3年以下有期徒刑，情节特别严重的，处3至7年有期徒刑。并规定了三种行为形式：

　　（1）违反国家有关规定，向他人出售或者提供公民个人信息；

　　（2）违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的；

　　（3）窃取或者以其他方法非法获取公民个人信息的。

　　1

　　什么是“公民个人信息”？

　　根据上述规定，构成本罪的前提是非法获取的信息属于“公民个人信息”，那么具体哪些信息属于“公民个人信息”？民事和刑事法律规范都采用了概括和列举的方式进行立法，《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（下称“《解释》”）第1条和《民法典》第1034条都采用了“识别说”，即“公民个人信息”是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。在实务中，具体可能包括：姓名、出生日期、身份证号码、个人生物识别信息、住址、通信通讯联系方式、行踪轨迹、住宿信息、健康生理信息等。《信息安全技术 个人信息安全规范》（GB/T 35273-2020）中对公民个人信息做了进一步分类，分为个人信息和个人敏感信息，“个人敏感信息”是指一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。在实务中，具体可能包括个人财产信息（银行账户、存款记录、游戏类兑换码等虚拟财产信息）、个人生理健康信息、个人身份信息（身份证号、工作证、居住卡）、其他敏感信息等。

　　具体到本案中，马某获取了包括他人包括照片、姓名、学号、籍贯及生日在内的个人信息，以上几项信息不论是单独或者是组合在一起都能明显识别出特定自然人的身份，属于相关规定中的“公民个人信息”。

　　2

　　何为“情节严重”

　　在本罪的适用中，关于“情节严重”的认定一直争议较多无统一标准，实务中大多使用的是《解释》中关于“情节严重”的认定。其中，《解释》第5条第（三）至（八）项对相关标准进行了量化规定。

　　

　　在本案中，根据校方公开的信息，个人信息遭到泄露的主要是14-20级的学生，以某大学一年招收2500名学生来计算，总数值已经远超上述“情节严重”中第（四）项所规定的500条，因此马某非法获取公民个人信息的行为已经达到了“情节严重”的情形，需要为此承担相应的刑事责任。

　　二、

　　非法获取计算机信息系统数据罪

　　《刑法》第285条规定了非法获取计算机信息系统数据罪，违反国家规定，侵入国家事务、国防建设、尖端科学技术领域以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

　　马某在就读期间，曾在校内信息中心勤工助学做过学生助理，可能有机会使用到高权限账号，其进入系统是否经过学校允许我们不得而知。但是若马某在没有权限或者超过权限非法侵入校内学生信息系统的情况下，获取到大量学生信息，则可能构成非法获取计算机信息系统数据罪。

　　

　　二、刑事立案后仍要承担民事侵权责任

　　《民法典》规定，民事主体因同一行为应当承担民事责任、行政责任和刑事责任的，承担行政责任或者刑事责任不影响承担民事责任。因此本案即便已被刑事立案，马某仍可能需要承担相应的民事责任。

　　本案中，马某非法获取其他学生包括照片、姓名、学号、学院、籍贯及生日等在内的个人信息，如若包含私密信息的，则可能构成对他人隐私权的侵犯。另外，马某还搭建了“颜值排行榜”，对他人容貌进行评价，这其中若包含侮辱、诽谤的内容，则可能构成对他人名誉权的侵犯。

　　三、学生个人信息被泄露

　　高校需要承担责任吗？

　　根据《个人信息保护法》的相关规定，个人信息处理者负有采取措施确保个人信息处理活动合法并保护个人信息安全的义务、在发生或可能发生个人信息泄露等安全事件时立即采取补救措施并通知监管机构和个人的义务等。

　　

　　在本案中，虽然该大学在事件发生后及时做出回应并配合警方的调查，在发生个人信息泄露时立即采取了补救措施，在一定程度上履行了相关义务，但其作为学生信息的处理者，让学生助理轻而易举地接触到大量学生信息，本身存在对个人信息保护上的漏洞。

　　四、写在最后

　　20年前，就读于哈佛大学的天才少年扎克伯格从学校资源库中获取全校女生照片，创建了名为Facemash的颜值评分网站，最终校方仅给予了他留校察看的处分。20年后，“中国版扎克伯格”的消息再次引发人们的关注，但是在高度重视公民个人信息保护的今日，马某应受到的处罚的绝不再是简单的留校察看，北京海淀警方也于昨日依法刑拘了马某，但很可能这不仅仅是简单的“马某”的问题，一直以来，学校都是学生信息泄露的重灾区，高校作为国家科研机构的一部分，更是应当提高对信息保护和数据安全的关注度和保护度。此次事件的发生也为高校及其他个人信息处理平台、企业敲响警钟，务必要加强对信息服务平台的管理，具体可采取的措施如下：

　　1.加快数据安全管理能力的体系化建设，制定内部管理制度和规范操作规程，明确数据安全管理部门的分工责任，提高数据安全综合管理水平。

　　2.对个人信息处理的操作权限进行分级处理，并定期对从业人员进行安全教育和培训等；对个人信息实行分类管理，对隐私等信息采取加密措施。

　　3.探索建立数据安全风险监测系统，对重要个人信息的处理进行实时安全风险监测，及时监测到并遏制重大网络数据安全问题。