南方财经全媒体 实习记者卓皙雯见习记者马嘉璐 广州报道
近日,中国人民大学毕业生马某某因涉嫌非法获取校友信息进行“颜值打分”被刑拘引发广泛关注。有律师分析,马某某涉嫌非法提供、获取公民个人信息,情节严重会触犯侵犯公民个人信息罪以及非法获取计算机信息系统罪。
此前已有“颜值检测”软件盗取个人信息、“内鬼”盗取个人信息等多起案例。高校“IT精英”何以是“法盲”,会沦为“高学历犯罪嫌疑人”?专家指出,这暴露出公民法律意识淡薄、高校法律教育不足、法律考核缺位等问题,应将法律教育作为高校通识教育的重要组成,高校也应履行审查和管理责任保护个人信息与数据安全。
(资料图片)
或触犯刑责,学校也有责任
7月1日,有用户在中国人民大学校内学生论坛“小喇叭”里发帖称,相关网站登载了学生的照片、姓名、学号、院校、籍贯和生日等信息,收录的信息范围为2014-2020级该大学的本科、硕士和博士生,照片旁还显示了每个人的颜值评分。
有该校学生透露称,三年前,马某某在自己拥有校内信息系统管理员权限期间,通过代码爬取API接口,盗取了这些信息并将信息集成在网站上进行“颜值打分”。近日因马某某将网址公开发布,引起网上轩然大波。
中国人民大学7月2日发布情况通报,称学校于7月1日已关注到我校部分学生信息被非法获取的情况,对此高度重视,第一时间联系警方,目前正积极配合警方等相关部门开展调查。学校强烈谴责侵犯个人隐私、危害信息安全的行为。
7月3日,北京海淀警方发布通报称,针对“中国人民大学部分学生信息被非法获取”的情况,经查,嫌疑人马某某(男,25岁,该校毕业生)涉嫌非法获取该校部分学生个人信息等违法犯罪行为。目前,马某某已被海淀公安分局依法刑事拘留,案件正在进一步调查中。
网传马某某搭建的“颜值打分”网站页面
目前我国对公民个人信息的保护日趋完善,制定了多方面的法律规范。如《民法典》规定,自然人享有肖像权、名誉权、隐私权等权利。《刑法》中侵犯公民个人信息罪规定,违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
北京惠诚律师事务所律师张礼杰分析,马某某的行为涉嫌非法获取、处理个人信息,可能涉及民事、行政、刑事等多方面责任。如果非法提供、获取公民个人信息达到情节严重的程度,还会触犯刑事领域的侵犯公民个人信息罪以及非法获取计算机信息系统罪。
湖南师范大学法学院副教授赵冠男指出,如果中国人民大学曾给予马某某数据管辖权限,根据法律规定,学校作为平台管理者,对此次个人信息泄露也负有一定责任。
事发后,有网友称挖掘出了马某某的个人信息。张礼杰提醒道,即使马某某涉嫌违法,其依然享有隐私权等权利,“人肉搜索”被法律明文禁止,因此对该毕业生及其家属所进行的无边界的起底、爆料亦可能涉嫌违法。
已有多例“前车之鉴”
马某某究竟是通过何种方式获取的学生信息,尚未有官方信息披露。然而,该案暴露出可能存在的“颜值打分”、“内鬼”盗取个人信息等行为,早已有前车之鉴。
今年3月8日,中消协报告显示,在2022年办理的侵害公民个人信息权益的案件中,“内鬼”明显占有很高的比重,是关于窃取公民个人信息的诉讼中数量最多的情形。
去年6月,最高人民检察院就加强个人信息司法保护印发通知,要求深入开展依法打击行业“内鬼”泄露公民个人信息违法犯罪工作。同年12月,又发布5件依法惩治侵犯公民个人信息犯罪典型案例,向外界传递从严惩治的政策导向。
这批典型案例,就包括一款“颜值检测”软件。2020年,某公司软件开发人员李某将可以窃取安装者手机内照片的软件伪装成“颜值检测”软件进行发布,窃取用户人脸信息、姓名、身份证号码、联系方式、家庭住址等个人信息。之后,李某还购买并转发公民个人信息共计8100余万条。最终,李某因侵犯公民个人信息罪锒铛入狱。
“IT精英”何以成“法盲”
在学期间,马某某被同学称作“技术大牛”,发表多篇论文,曾收到腾讯、阿里等多家头部企业的录用通知;最高检在发布李某的案例时,对其犯罪动机也有“炫耀技术、满足虚荣心”的表述。
“IT精英”在面对个人信息时何以成了“法盲”?赵冠男分析到,这暴露出目前存在公民法律意识淡薄、高校法律教育不足、法律考核缺位等问题。
随着时代发展,我国对网络安全、个人信息保护、数据安全等日益重视,近年来均出台了专门的法律规范。然而,从业者跟不上形势变化,对新出台的法律受教育不深或存在侥幸心理,作出违法行为,就会沦为“高学历罪犯”。
高校信息技术有关专业中鲜少有法律教育,似乎是一种普遍情况。“高校中的法律类通识课程会教授法律常识,但是在守法意识以及关键法律风险防范等方面,做的还是比较不够的。”赵冠男说。
赵冠男指出,要有效防范类似违法行为,一方面,应将法律教育作为高校通识教育的重要组成,在传授知识的同时,有效提高学生法律意识,培养学生守法观念。另一方面,高校在相关学生工作岗位的聘任过程中,需要更为全面地履行审查和管理责任,强化学生工作人员的守法和合规意识,实现个人信息的合规流转和有效保护。
近几年由API攻击引发的大规模数据泄漏事件也不在少数。网络安全机构“威胁猎人”提醒道,面对风险,企业或机构需要从多个维度来构建防御体系,做到及早感知及时防御,从而保障机构及其用户的数据安全。