泄露事件频发,聚焦学生个人信息风险防范

来源:观韬中茂律师事务所

文章摘要
2020年3月,上海市虹口区检察院针对非法买卖学生个人信息案件提起刑事附带民事公益诉讼[1];2019年8月,浙江省台州市椒江区市场监管局查处5起教育机构及其从业人员购买、交换、销售学生个人信息案件[

2020年3月,上海市虹口区检察院针对非法买卖学生个人信息案件提起刑事附带民事公益诉讼[1];2019年8月,浙江省台州市椒江区市场监管局查处5起教育机构及其从业人员购买、交换、销售学生个人信息案件[2];2018年9月,常州大学怀德学院被曝有超过千名学生遭遇个人信息泄露,他们的个人信息被不法企业用于虚报员工身份及工资记录,疑被用于偷逃税款[3];2016年8月,山东省临沂市高考录取新生徐玉玉被不法分子冒充教育、财政部门工作人员诈骗,在报警后因心脏衰竭死亡[4]……如此之多的学生个人信息侵害事件相继发生,对学生及其家长的人身、财产安全带来巨大威胁,引发了社会的关注。
一 学生个人信息泄露的主要来源
在市场上被不正当交易的学生个人信息主要有三大来源:
(1)学校。学校为了统一管理进行教学工作需收集大量学生个人信息。学生在参加社团活动和社会实践时,亦会留下很多个人信息。学生缺乏个人信息保护意识,而掌握学生信息的校方亦可能对个人信息保护不够重视。比如一些学校在公布某些资助或获奖名单时,往往直接将学生个人信息公布于网上而未做任何处理,这对学生个人信息的安全构成潜在威胁。
(2)教育机构。从事校外培训的教育机构掌握着大量学生个人信息。同时,为吸引学生参加课程,教育机构亦具有购买学生个人信息的需求。实践中,教育机构购买、出售、交换学生个人信息的事件频见报端。
(3)教育移动互联网应用(以下简称“教育APP”)。随着在线教育的不断发展,教育移动互联网应用已经逐渐深入学生的日常生活,学生使用教育APP所留下的各类个人信息正逐渐成为隐患。
二 学生个人信息的侵害特点
学生个人信息相较于一般个人信息具有如下特点,这些特点导致学生个人信息的侵害风险进一步增加:
(1)影响范围广。学校、教育机构中的学生数量庞大,对学生个人信息往往采取集中收集存储的方式,这导致一旦泄露将涉及大量学生的合法权益。学校、教育机构一般直接向学生本人收集个人信息,信息真实性较高,包含许多可直接识别个人信息主体身份的信息,比如学生的姓名、出生日期、身份证号码、学籍号、所在学校、年级、户籍地址、家庭住址、家长姓名、家长电话等等。这些信息的泄露不仅可能会带来接二连三的营销电话,亦可能被不法企业冒用学生身份以偷逃税款,甚至被用于拐卖、诈骗等犯罪目的。同时,应用广泛或者被学校或教育机构强制使用的教育APP亦存在上述问题。
(2)学生处于劣势地位。学校、教育机构、教育APP(尤其是强制使用的教育APP)与学生之间的地位并不平等,学生无法决定是否提供自己的个人信息。为参与教学活动或使用教育APP,学生必须提供自己的个人信息,但是却对其个人信息的管理和保存缺乏控制力。此外,还存在超过必要限度收集个人信息的现象,这一点在教育APP中尤为突出。[5]
三 加强学生个人信息保护的建议
(一)遵循合法、正当、必要原则
学校、教育机构及教育APP(以下合称“信息处理者”)应当通过合法途径获取个人信息。若信息处理者将非法获取的个人信息用于营销等目的,将可能违反《消费者权益保护法》而面临行政处罚。在上文提及的椒江区市监局查获的侵犯学生个人信息案件中,教育机构通过购买的学生个人信息拨打营销电话,未获得消费者同意,其使用消费者个人信息向消费者推销课程违背了消费者留存个人信息的本来目的,违反了《消费者权益保护法》第二十九条的规定。市监局根据《消费者权益保护法》第五十六条第一款第(九)项之规定处以罚款。
虽然学生在信息处理者要求收集使用个人信息的场景中缺乏同意的自由,但信息处理者仍应遵循合法、正当、必要原则。学校、教育机构等线下机构不得滥用权力过度收集或使用学生个人信息。2017年11月,全国学生资助管理中心发布第9号预警《保护学生个人信息和隐私,资助工作者要“拧紧这根弦”》,强调严禁公示个人敏感信息,尊重保护学生个人隐私。《教育部等八部门关于引导规范教育移动互联网应用有序健康发展的意见》(以下简称“《意见》”)指出,教育APP不得以默认、捆绑、停止安装使用等手段变相强迫用户授权,不得收集与其提供服务无关的个人信息。(关于更多教育APP合规要点分析的内容,可点击《团队原创|教育APP全面规范引导,教育提供者合规要点分析》)
(二)加强内部人员管理,控制学生个人信息处理权限
学生个人信息往往由内部人员泄露,比如上文提及的虹口区检察院起诉的非法买卖学生个人信息一案,在该案中,三位犯罪嫌疑人均为教育机构从业人员,通过出售其所掌握的个人信息牟取经济利益。因此,需建立合理的个人信息处理制度,明确个人信息处理权限,防止学生个人信息在不必要的范围内扩散,也有利于在侵害事件发生时追溯负责人。
(三)公开处理目的与处理规则
公开处理目的和处理规则有利于约束信息处理者超范围收集个人信息的行为,并为学生监督信息处理者行为提供可能。学校或教育机构可制定个人信息处理制度并通过适当方式向学生公示。教育APP可通过用户协议、隐私政策等方式实现告知,《意见》要求教育APP提供者应按照“后台实名、前台自愿”的原则,对注册用户进行身份信息认证;收集使用个人信息应明示收集使用信息的目的、方式和范围,并经用户同意。同时,处理规则应明确个人信息的存储期限,一旦到期或完成收集目的即应立即删除相关个人信息。以学校为例,学校为组织评奖评优等活动需收集并公示学生的个人信息,而一旦评奖评优等活动结束,即应立即删除不必要的个人信息。此外,还应为学生提供畅通的申诉渠道以全面保障学生个人信息权益。
(四)采取数据分类、重要数据备份和加密等必要技术措施保障学生个人信息安全
《意见》要求教育APP应建立覆盖个人信息收集、储存、传输、使用等环节的数据保障机制。同时,教育APP提供者在取得ICP备案(涉及经营电信业务的,还应申请电信业务经营许可)、网络安全等级保护定级备案的证明、等级测评报告后,应向机构住所地的省级教育行政部门进行教育业务备案,登记单位基本信息和所开发的教育APP信息。
学校、教育机构等线下单位往往忽略自身的网络安全管理责任。随着互联网的不断普及,教务管理系统等技术应用已经越来越常见,这也是学校、教育机构收集学生个人信息的重要方式。此时,其实际上已经具备网络运营者的身份。而当学校或教育机构自主开发或委托开发教育APP时,其作为网络运营者的安全保障义务更应得到重视。《网络安全法》第四十二条规定,网络运营者应采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。2017年9月,淮南职业技术学院即因未落实网络安全管理制度,未建立网络安全防护技术措施、网络日志留存少于六个月,未采取数据分类、重要数据备份和加密措施,致使系统存储的4353名学生的身份信息泄露,而被处以立即整改和行政警告的处罚措施。[6]
此外,还应制定安全应急预案。学生个人信息往往未经去标识化等特殊处理而直接以原始状态存储或使用,一旦泄露或滥用影响巨大。信息处理者应制定严格的安全应急预案,以提高风险处理效率、防范险情控制损失。
四 结语
近年来,学生个人信息泄露的事件屡见不鲜。信息处理者应当通过合法途径获取学生个人信息,非法获取、购买、出售、交换学生个人信息,不仅面临民事赔偿、行政处罚,还可能因触犯侵犯公民个人信息罪而面临刑事处罚。在合法获取学生个人信息后,还应采取相应的安全保障措施以防范个人信息泄露、损毁或者丢失的风险。
【参考资料】
[1] 虹口检察:《京沪50余万条学生个人信息遭侵犯!两起刑事附带民事公益诉讼宣判!》.2020-03-17.https://mp.weixin.qq.com/s/uI82jwKxj1nczb6VEyqBRQ.
[2] 中国市场监管报:《椒江查处5起侵犯消费者个人信息案》.2020-03-27.http://www.cicn.com.cn/zggsb/2020-03/27/cms125473article.shtml.
[3] 中国青年报:《泄露学生个人信息没有理由放过》.2020-02-07. http://zqb.cyol.com/html/2020-02/07/nw.D110000zgqnb202002073-02.htm.
[4] 央视新闻:《徐玉玉诈骗案核心细节曝光,她的个人信息原来是这样泄露的》.2016-09-10.https://www.sohu.com/a/114103137467356.
[5] 公安部网安局:《关于教育类APP的安全分析》2020-3-24.https://mp.weixin.qq.com/s/9S4
rQfwBttiSu4jppD7bw.
[6] 淮南网警巡查执法:《关于对淮南职业技术学院未落实网络安全等级保护制度泄露学生身份信息案件调查处理情况的通报》2017-10-12https://mp.weixin.qq.com/s/FaW8NDHHDxmz-skPoLjEXQ.

技术驱动法律,专业成就未来