人大毕业生泄露学生信息被刑拘,曾有机会使用高权限账号
日前,有网友发文称,中国人民大学(以下简称“人大”)硕士毕业生马某某在校期间盗取校内数据,收集本硕博学生个人信息,包括照片、姓名、学号、籍贯、生日等,并公开发布在网站上进行颜值打分。
7月2日晚,中国人民大学发布情况通报:学校已关注到我校部分学生信息被非法获取的情况,对此高度重视,第一时间联系警方,目前正积极配合警方等相关部门开展调查。学校强烈谴责侵犯个人隐私、危害信息安全的行为。
3日上午,北京海淀警方发布通报:针对“中国人民大学部分学生信息被非法获取”的情况,海淀警方接到报警后,立即开展调查。经查,嫌疑人马某某(男,25岁,该校毕业生)涉嫌非法获取该校部分学生个人信息等违法犯罪行为。目前,马某某已被海淀公安分局依法刑事拘留,案件正在进一步调查中。警方高度重视公民个人信息保护,对于相关违法犯罪,将依法予以严厉打击。
同学颜值被公开打分?
“我其实不太清楚他为什么觉得这个事情很正常,泄露的是全校学生的信息”,人大毕业生徐航怎么也没想到,该网站竟然存在长达3年之久。
7月1日上午,人大校内论坛“小喇叭”出现颜值打分平台“RUC IR FACE”相关内容,并附有平台截图。据网传截图,包括2014-2020级本硕博学生的照片、姓名、学号、学院、籍贯、生日等信息均在内。
网传马某某建立的颜值打分网站。图/网络
“小喇叭”是人大学生的“树洞”。徐航介绍,“树洞”是校内学生的匿名信息交流平台,即便是管理者本人,也无法获知发布者的个人身份信息,因此不清楚是谁发布了上述内容。
刘宁是人大今年应届硕士毕业生,本硕均在人大。当得知自己的照片可能被进行颜值打分,“觉得自己有被侵犯到”。
实际上,对该网站不知情的学生不在少数,多名学生在接受中国新闻周刊采访时表示,从未登录过该网站,也不知道该网站的存在。
据中国新闻周刊了解,7月1日晚,该颜值打分平台链接已无法打开。
马某某究竟是通过何种方式获取的学生信息,尚未有官方信息披露。
据徐航了解,马某某就读期间,曾在学校信息中心勤工俭学,做过学生助理,“学生助理有机会使用到高权限账号,应该是那时通过超级管理员登录的。”
“开学、毕业时需要大量人手帮忙,比如制作毕业证书和开学注册,这些都需要获取学生个人比较隐私的信息,技术上没太大难度。”
目前,疑似马某某的多个社交账号内容均已删除,不过网上仍有部分截图指向他制作了该网站:2020年10月及11月,疑似马某某的账号曾发布2条博文,并附有该网站对某同学的颜值打分截图。其中,10月博文为:“今天和志同道合之士,完成了这件我大二就想做的坏事。”
“信息学院大佬”
马某某的另一面则是荣誉加身的优秀学生。
和马某某不在一个学院的刘宁,也曾听闻过“马某某是信息学院大佬”。
通过刘宁提供的人大“树洞”链接,中国新闻周刊登录后发现,“树洞”实时滚动着学生动态发布的帖子。其中一条关于对马某某的评价帖中,有留言称“技术强但就是喜欢炫耀宣扬,很不实在”;也有留言称“没出事之前觉得他人挺好的,技术强又热心肯帮忙,知人知面不知心”。
“树洞”中一条关于马某某的评价帖。
程雯是马某某的同专业师妹。她告诉中国新闻周刊,马某某在学术领域很厉害,也热心帮助过她,在校期间马某某参加过众多项目,写代码能力很强,对技术很有热情。
网传马某某的一份求职简历显示,他曾就读于山东某重点中学,本硕在人大计算机相关专业,保送研究生,获得过学院优秀毕业生、研究生国家奖学金、优秀学生干部奖学金、数学建模竞赛奖等,并以第一作者身份发表过多篇学术论文。
“除了学术工作,本人热爱动手编写有趣的代码,拥有丰富的项目与工程开发经验”,马某某在简历中自述。
简历中,马某某列举了多个在头部互联网公司的实习经历。根据简历,马某某2022年6月硕士毕业,毕业前曾在人大研究生会官方公众号上做过求职经验分享,称已收到包括腾讯、字节、微软、美团、百度、快手、华为、京东、滴滴等互联网大厂录取意向。不过,目前上述公号链接已删除。
网传马某某现供职于腾讯微信,事发后有学生在人大“树洞”上留言称,马某某已被停职接受调查。7月3日上午,腾讯方面回应中国新闻周刊,“内部在沟通核实。”校方工作人员则透露,马某某已被停职。
马某某非法获取学生个人信息并泄露,可能会面临何种法律责任?
陕西恒达律师事务所赵良善律师分析,马某某的行为构成侵权,需承担民事侵权责任。其违反了《个人信息保护法》第2条规定:“公民个人信息受法律保护,任何组织、个人不得侵害”,以及《民法典》第111条规定:“自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息。”
赵良善强调,学生个人信息亦属于个人隐私。马某某通过网络散布其他学生的个人信息,还触犯了《治安管理处罚法》第42条规定:偷窥、偷拍、窃听、散布他人隐私的,处五日以下拘留或者五百元以下罚款;情节较重的,处五日以上十日以下拘留,可以并处五百元以下罚款,警方可对马某某予以治安处罚。
如果马某某通过破坏计算机系统等方式窃取信息的,马某某或涉嫌非法获取计算机信息系统数据罪,可判处3年以上有期徒刑,赵良善表示。
给高校网络信息安全问题敲响警钟
马某某事件,将高校网络信息安全问题再度推到公众视野。
中国政法大学网络法学研究所所长李怀胜向中国新闻周刊表示,“此事件是近年来高校发生个人信息泄露影响力比较大的一次”,根据《网络安全法》相关条例,网络运营者应该对其收集的用户信息严格保密,并建立健全用户信息保护制度。
李怀胜指出,设置颜值评价网站对他人容貌评头论足,涉及对个人信息的“二次加工”,比单独信息公开带来的危害更加严重,是对他人名誉的贬损,也是对人权的侵犯。
从法律层面,赵良善分析,对学生样貌评头论足,如有侮辱之意,则侵犯了学生的名誉权。根据《民法典》相关条例,马某某或需承担民事侵权责任,另据《治安管理处罚法》相关条例,还应对其予以治安处罚。
目前,马某某究竟是如何非法获取学生个人信息尚未可知,在中国政法大学传播法研究中心副主任朱巍看来,若马某某是利用职务之便窃取信息,则给网络平台及高校敲响了警钟,“不应让有一定权限的内部人员,获取到如此高级别的个人信息,这些特殊信息应掌握在受过专业训练的工作人员手中。”
李怀胜则认为,当马某某拥有职务之便,则是网络运营者的一个组成部分,网络运营者不得泄露、篡改、损毁搜集到的个人信息,未经被收集者同意,不得向他人提供个人信息。
针对马某某已被刑拘,朱巍指出,其泄露信息的数量多少将成为入刑标准。根据侵犯公民个人信息犯罪司法解释规定,泄漏个人信息达到一定数量,就属于“情节严重”。具体到本案,泄漏的都是学生敏感信息,“或已经触犯了刑事法律。”
除信息泄露者应承担相应法律责任,平台监管方应如何加强监管?
赵良善指出,高校网络信息服务平台的保护一直相对薄弱。为防止类似事件发生,学校要对获取学生信息的工作人员严格管理,尤其是对信息管理中心严加管理,保护好超级管理员登录账号及密码。
同时,学校还可以针对不同类型的管理人员,差异化设置学生个人信息的查看权限。比如学生的姓名、父母或监护人姓名、出生日期、各科成绩、健康状况等基本信息由学校征集后,可以让特定范围的管理人员查看;而一些更敏感的学生个人信息,例如身份证号、银行卡号等,更应严密保护。一旦发现被盗或泄露,学校要立即报警,由警方及早介入调查。
对此,校方工作人员表示,“被泄露信息的是2014年至2020年的学生,大部分群体受到了隐私侵犯,后面校方会进一步跟进解决,依法起诉,让违法犯罪之人受到应有惩处。”