01、引言
昨天(2023年7月3日),北京警方通报中国人民大学毕业生马某某涉嫌非法获取该校部分学生个人信息等违法犯罪行为,目前已被刑事拘留。引发轰动的人大信息泄露事件暂告一段落,警方后续处理结果还有待调查。
据悉,马某为人大高瓴人工智能学院2019级研究生,目前已毕业入职腾讯北京微信团队搜索算法部门,他在读研期间曾利用自己的专业技术,非法窃取全校学生的照片、姓名、学号、籍贯、生日等个人信息,并将这些信息按照不同的类别进行整理,搭建了一个网站,给全校学生进行颜值打分。
虽然此事件反映了高校对学生信息保护和监管不严的漏洞,但是网络上三天沸沸扬扬的舆论监督、以及校方和警方的火速出动,反而从另外一个层面映射出社会对于个人信息的保护相较于20年前已经不可同日而语。因为20年前,还在哈佛就读的扎克伯格就曾侵入学校的计算机系统,将同学们的照片下载并上传一个名为Facemash的网站供大家评分。
02
一、扎克伯格的成功已经不可复制
当年扎克伯格系列操作的原因是由于女友和他分手,他为了发泄心中的不满故意为之,结果却弄巧成拙获得了大量关注,也一举成为校园风云人物,后来此事件也在2010年成为了电影《社交网络》的剧情。马某某很明显是模仿了当年的扎克伯格,作为一名计算机专业的学生,马某某肯定也看过这部电影,了解扎克伯格当年的故事。
可以想象,大概率就是出于这种对偶像狂热崇拜和想要获得关注的心理,马某某才做出此事。但是他却没有意识到20年前的世界和现在已经完全不一样了,2003年互联网才还未进入蓬勃发展期,人们还没有意识到数据和个人信息保护的重要性,所以当年离经叛道的行为反而成为了人们口中的天才行为。但是随着移动互联网的发展和AI科技的进步,信息数据已经成为了社会第三生产力,无论是我国还是世界各国,都加强了对个人信息和数据的立法保护。
03
马某某可能面临的法律责任
(一)民事责任
我国2021年生效的《个人信息保护法》第2条规定:“公民个人信息受法律保护,任何组织、个人不得侵害。”我国2020年生效的《民法典》第111条规定:“自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息。”马某某的行为明显违反了两部法律的规定,侵犯了人大学生的个人信息。而将这些信息上传到网站上供大家评头论足,对他人的容貌进行打分的行为涉嫌侮辱,属于对个人信息的“二次加工”,在某种程度上构成了对他人名誉权和人权的侵犯。
虽然马某某已被公安机关刑事立案,但并不意味着就没有了民事责任。根据《民法典》规定,民事主体因同一行为应当承担民事责任、行政责任和刑事责任的,承担行政责任或者刑事责任不影响其承担民事责任;民事主体的财产不足以支付的,优先用于承担民事责任。若在刑事立案之前,被泄露信息的学生已经就同一事实向法院提起民事诉讼,一般可根据‘先刑后民’的实践原则,中止对民事案件的审理,或将案件材料直接移送至有管辖权的公安机关、检察机关。
(二)行政责任
另外,学生个人信息亦属于个人隐私,马某某通过网络散布其他学生的个人信息的行为还触犯了《治安管理处罚法》第42条规定:“偷窥、偷拍、窃听、散布他人隐私的,处五日以下拘留或者五百元以下罚款;情节较重的,处五日以上十日以下拘留,可以并处五百元以下罚款,警方可对马某某予以治安处罚。”随着信息技术的发展,重要的信息数据明显已经成为了隐私的一部分。虽然其已经被刑事拘留,但是不排除警方经过调查后发现其行为还未达刑事处罚标准,最终决定以行政处罚进行处理的结果。
(三)刑事责任
从非法获取的信息内容上看,马某某涉嫌侵犯公民个人信息罪。根据已有报道,涉案信息属于识别特定自然人身份或者反映特定自然人活动情况的信息,属于该罪的犯罪对象。马某某获取信息的数量、违法所得的金额大小以及造成的经济损失、社会影响大小等将进一步影响对其定罪量刑。
从非法获取信息的手段来看,马某某涉嫌非法获取计算机信息系统数据罪。由于涉案信息保存在学校的服务器内,马某某若使用技术手段从服务器窃取涉案信息,从而导致服务器负荷超载、不能正常运行等,造成计算机系统被破坏的话,有可能触及该罪名。
非法获取计算机信息系统数据罪是2009年《刑法修正案七》增设的,侵犯公民个人信息罪则是2015年的《刑法修正案九》增设的。根据侵犯公民个人信息犯罪司法解释规定,泄漏个人信息达到一定数量,就属于“情节严重”。具体到本案,泄漏的都是学生敏感信息,“或已经触犯了刑事法律”。
04
个人信息保护建议
(一)对校方的建议
此事件引起巨大轰动的原因一方面在于犯罪人的行为性质恶劣,另一方面也是因为人大作为顶级学府,自己的网络系统被自己培养的学生侵入,反映了学校网络平台监管薄弱和对学生培养不全面的问题。另外,根据《个人信息保护法》第六十六条以及《数据安全法》第四十五条,视具体情节轻重,校方可能被予以警告或承担行政罚款责任。
一方面,高校应当加强自身网络信息服务平台的监管和保护,严格管理学生信息的收集、录入、删除、转移等流程,不能随意向不相干人员泄露超级管理员的登录账号和密码。针对不同类型的信息设置差异化查看权限,比如姓名、年龄、出生日期等为普通信息,而身份证号、银行卡号和家庭成员信息等设置为敏感信息,进行信息分级的差异化保护。同时,要随时更新信息系统,防止病毒软件的入侵和系统漏洞的存在。
另一方面,学校应该加强对计算机专业学生的教育,除了计算机和网络科技相关内容的课程外,还应该将数据和信息法学的相关课程纳入到必修科目中,同时通过选修课、讲座或者知识教学等多种形式,普及违法侵犯数据和信息安全导致的后果。让计算机专业的学生不但拥有专业的计算机技术能力,还拥有优秀的信息数据保护素养。
(二)对相关企业的建议
很多企业在招聘算法、人工智能、深度合成等关键岗位时,都更青睐拥有高绩点、实习经验丰富或参与赛事经验丰富的学生,但是对于学生的综合素质等却不够重视。建议科技企业在进行招聘的时候,应该加强对应聘者的尽职调查,对于其是否因违反相关法律从事计算机犯罪等情况进行重点关注,同时重视校友和师长的口碑评价。另外,对于互联网行业的企业而言,确有必要在公司章程或劳动合同中明确规定,对于计算机信息技术专业人员,必须遵守相关法律法规,否则公司有权惩罚或者辞退。
(三)被侵权人
虽然此事件中高校的学生作为被动方,并没有权利拒绝校方收集自己的个人信息,此事件在事发前学生的可操控性并不强,但是在事发后可以通过向校方投诉、向法院起诉、向公安机关报警等方式积极维护自己的合法权益。对于其他信息泄露事件中的被侵权人而言,可以在事发生前尽量防止自己的个人信息被泄露,比如不注册使用那些未经审核的软件和网站,拒绝将自己的重要个人信息泄露和授权给未知软件。
比如2021年,上海市奉贤法院审理的一起侵犯公民个人信息罪刑事附带民事公益诉讼案,就是用户下载了一款免费的“颜值检测”软件,然后使用该软件拍照后其通过打分的形式来“检测”用户的颜值。实际上,该软件的颜值检测分数都是随机产生的,和用户之间的五官以及面容的情况并无关联。软件制作者就是通过这种方式来收集用户的姓名、身份证号、年龄、手机等基本注册信息,以及人脸这种敏感信息,最后将这些信息进行了非法处置。最终法院判处被告有期徒刑三年,处罚金人民币一万元。
05
结论
人大学生个人信息被泄露事件虽然是学校信息保护漏洞的体现,但是社会和政府的反应却正好映射了如今对于个人信息和数据的保护已经越来越重视,社会已经不是20年前扎克伯格的时代。
大数据时代,个人信息具有人格与财产双重属性,作为市场中的重要生产力要素,对其监管既是人权保护的重要体现,也是营造良好营商环境的必然要求。我国重视公民的信息保护及数据管理,自2017年《网络安全法》及2021年底《数据安全法》、《个人信息保护法》“三驾马车”陆续生效起,相关法律法规及政策文件正围绕其日益完善。事关人人,信息泄露事件既为信息保护义务者敲响警钟,也传达着全社会对数据安全的关切与监管部门的严正态度。