高校網(wǎng)絡(luò)安全問(wèn)題處在輿論聚光燈之下。

近日，網(wǎng)傳中國(guó)人民大學(xué)一名畢業(yè)生盜取全校學(xué)生的個(gè)人信息，并制作網(wǎng)頁(yè)任人查看，還可給該校女學(xué)生的顏值打分。

7月2日，中國(guó)人民大學(xué)官方微博發(fā)布情況通報(bào)：昨日學(xué)校已關(guān)注到部分學(xué)生信息被非法獲取的情況，對(duì)此高度重視，第一時(shí)間聯(lián)系警方，目前正積極配合警方等相關(guān)部門開(kāi)展調(diào)查。學(xué)校強(qiáng)烈譴責(zé)侵犯?jìng)€(gè)人隱私、危害信息安全的行為。感謝社會(huì)各界對(duì)學(xué)校的關(guān)心。

7月3日，據(jù)@平安北京海淀，針對(duì)“中國(guó)人民大學(xué)部分學(xué)生信息被非法獲取”的情況，海淀警方接到報(bào)警后，立即開(kāi)展調(diào)查。經(jīng)查，嫌疑人馬某某（男，25歲，該校畢業(yè)生）涉嫌非法獲取該校部分學(xué)生個(gè)人信息等違法犯罪行為。目前，馬某某已被海淀公安分局依法刑事拘留，案件正在進(jìn)一步調(diào)查中。警方高度重視公民個(gè)人信息保護(hù)，對(duì)于相關(guān)違法犯罪，將依法予以嚴(yán)厲打擊。

信息如何泄露？

馬某某是通過(guò)何種渠道獲取的學(xué)生信息，目前尚未有官方信息披露。

據(jù)《中國(guó)新聞周刊》報(bào)道，馬某某就讀期間，曾在學(xué)校信息中心勤工儉學(xué)，做過(guò)學(xué)生助理，“學(xué)生助理有機(jī)會(huì)使用到高權(quán)限賬號(hào)，應(yīng)該是那時(shí)通過(guò)超級(jí)管理員登錄的。”

“從泄露的信息來(lái)看包含學(xué)號(hào)、姓名、學(xué)院、家鄉(xiāng)、生日、照片等，應(yīng)該是通過(guò)學(xué)校的學(xué)生檔案庫(kù)拿到的相關(guān)數(shù)據(jù)?！?月3日，互聯(lián)網(wǎng)安全組織“網(wǎng)絡(luò)尖刀”創(chuàng)始人曲子龍向澎湃新聞?dòng)浾叻治?，部分高校的系統(tǒng)可能較為陳舊，學(xué)生在校園網(wǎng)里很多系統(tǒng)基本是‘裸奔’狀態(tài)，防護(hù)措施未必到位。對(duì)于具體的數(shù)據(jù)獲取方式，可能是通過(guò)黑客手段，也有可能是掌握了一定權(quán)限，目前尚不好判斷。

“大部分學(xué)校的內(nèi)部系統(tǒng)的組成都很復(fù)雜，不同系統(tǒng)來(lái)源于不同供應(yīng)商，有的理工類學(xué)?？赡苓€會(huì)‘自研’，各系統(tǒng)之間的代碼語(yǔ)言、系統(tǒng)環(huán)境、應(yīng)用程序各不相同，加上學(xué)校畢竟不像企業(yè)一樣，有專業(yè)的運(yùn)維、安全團(tuán)隊(duì)來(lái)維護(hù)，在安全的投入上參差不齊，可能會(huì)存在較大的安全隱患?！鼻育埍硎尽?/p>

“在數(shù)字化社會(huì)，不法分子違法獲取公民個(gè)人隱私信息的行為呈現(xiàn)多場(chǎng)景、多維度、技術(shù)化的特征?！比A東政法大學(xué)競(jìng)爭(zhēng)法研究中心執(zhí)行主任翟巍告訴記者，這類違法獲取、使用隱私信息的行為不僅侵犯?jìng)€(gè)人的隱私權(quán)及數(shù)據(jù)自決權(quán)益，而且會(huì)衍生出侵害個(gè)人人格尊嚴(yán)等負(fù)面后果，“大規(guī)模個(gè)人隱私信息不可逆地被公布、泄露，還可能被犯罪分子用于詐騙等刑事犯罪，導(dǎo)致社會(huì)公共安全風(fēng)險(xiǎn)?！?/p>

如何防范風(fēng)險(xiǎn)？

“此次信息泄露事件的發(fā)生，說(shuō)明高校作為《中華人民共和國(guó)個(gè)人信息保護(hù)法》上的個(gè)人信息處理者在網(wǎng)絡(luò)信息安全保護(hù)上尚存在一定漏洞，也為相關(guān)高校敲響警鐘。”南開(kāi)大學(xué)法學(xué)院副院長(zhǎng)、教授，競(jìng)爭(zhēng)法研究中心主任陳兵認(rèn)為。

“根據(jù)《中華人民共和國(guó)個(gè)人信息保護(hù)法》，個(gè)人信息處理者是個(gè)人信息保護(hù)的主要責(zé)任人，應(yīng)與個(gè)人信息提供者一道發(fā)揮個(gè)人信息保護(hù)的作用。個(gè)人信息處理者應(yīng)當(dāng)對(duì)其個(gè)人信息處理活動(dòng)負(fù)責(zé)，并采取必要措施保障所處理的個(gè)人信息的安全。此前，人們對(duì)個(gè)人信息處理者的定義普遍是企業(yè)、政府等，但是往往忽視高校也有海量數(shù)據(jù)，對(duì)于個(gè)人信息處理者的范疇需要做全面、準(zhǔn)確、整體的認(rèn)識(shí)?！标惐硎?。

學(xué)校應(yīng)該如何防范此類風(fēng)險(xiǎn)再次發(fā)生？翟巍建議，首先要強(qiáng)化網(wǎng)絡(luò)信息安全的硬件和軟件建設(shè)，應(yīng)當(dāng)采取技術(shù)措施，全面評(píng)估自身信息存儲(chǔ)、處理設(shè)施的安全性，并進(jìn)行必要的技術(shù)升級(jí)和設(shè)施替換，以有效監(jiān)測(cè)、防御、應(yīng)對(duì)網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)。

其次，要設(shè)定學(xué)校內(nèi)部的網(wǎng)絡(luò)信息安全負(fù)責(zé)人，對(duì)學(xué)校內(nèi)部負(fù)責(zé)網(wǎng)絡(luò)信息安全的人員進(jìn)行定期技能培訓(xùn)與技能考核。第三，要制定學(xué)校網(wǎng)絡(luò)信息安全事件處置預(yù)案，確保能夠迅速、有效處置網(wǎng)絡(luò)信息安全事件，并采取具有針對(duì)性的補(bǔ)救措施。第四，要推動(dòng)學(xué)校網(wǎng)絡(luò)信息安全的制度性建設(shè)，制定全鏈條、全天候、全場(chǎng)景的學(xué)校網(wǎng)絡(luò)信息安全規(guī)范，確立學(xué)校網(wǎng)絡(luò)信息安全行為規(guī)范，在教師守則和學(xué)生守則中列入保護(hù)網(wǎng)絡(luò)信息安全的義務(wù)和責(zé)任條款，引導(dǎo)教師、學(xué)生提升網(wǎng)絡(luò)信息安全保護(hù)意識(shí)。

承擔(dān)哪些法律責(zé)任？

對(duì)于學(xué)生的信息泄露，相關(guān)當(dāng)事人和學(xué)校是否應(yīng)當(dāng)承擔(dān)法律責(zé)任？一位律師告訴記者，從相關(guān)報(bào)道來(lái)看，學(xué)校顯然沒(méi)有盡到防止未經(jīng)授權(quán)的訪問(wèn)、以及防止相應(yīng)的個(gè)人信息泄露丟失的義務(wù)。這說(shuō)明學(xué)校有可能沒(méi)有盡到《中華人民共和國(guó)個(gè)人信息保護(hù)法》第51條所規(guī)定的義務(wù)，在其中的一項(xiàng)或幾項(xiàng)措施上出了問(wèn)題。

上海申倫律師事務(wù)所律師夏海龍向記者表示，這位人大畢業(yè)生所獲取的學(xué)生信息包括人像照片、姓名、學(xué)號(hào)、生日等，均屬于《個(gè)人信息保護(hù)法》所規(guī)定的個(gè)人信息甚至敏感個(gè)人信息，在未取得信息主體同意前不得獲取、處理，“本案中，由于行為人獲取的信息數(shù)量龐大，因此可以推測(cè)其采取了侵入相關(guān)信息系統(tǒng)等非法手段，可能涉嫌非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪、侵犯公民個(gè)人信息罪等多個(gè)罪名?！?/p>

“如果學(xué)校在管理學(xué)生數(shù)據(jù)時(shí)未依法采取必要保護(hù)措施，根據(jù)《個(gè)人信息保護(hù)法》第六十六條、《數(shù)據(jù)安全法》第四十五條等規(guī)定，可能會(huì)受到罰款等行政處罰。此外，學(xué)校及該畢業(yè)生也可能被相關(guān)學(xué)生提起民事侵權(quán)訴訟或被提起公益訴訟，承擔(dān)民事賠償責(zé)任?！毕暮｝埍硎?。