01、引言

昨天(2023年7月3日),北京警方通報中國人民大學畢業生馬某某涉嫌非法獲取該校部分學生個人信息等違法犯罪行為,目前已被刑事拘留。引發轟動的人大信息洩露事件暫告一段落,警方後續處理結果還有待調查。

據悉,馬某為人大高瓴人工智能學院2019級研究生,目前已畢業入職騰訊北京微信團隊搜索算法部門,他在讀研期間曾利用自己的專業技術,非法竊取全校學生的照片、姓名、學號、籍貫、生日等個人信息,並將這些信息按照不同的類別進行整理,搭建了一個網站,給全校學生進行顏值打分。

雖然此事件反映了高校對學生信息保護和監管不嚴的漏洞,但是網絡上三天沸沸揚揚的輿論監督、以及校方和警方的火速出動,反而從另外一個層面映射出社會對於個人信息的保護相較於20年前已經不可同日而語。因為20年前,還在哈佛就讀的紮克伯格就曾侵入學校的計算機系統,將同學們的照片下載並上傳一個名為Facemash的網站供大家評分。

02

一、扎克伯格的成功已經不可複制

當年扎克伯格系列操作的原因是由於女友和他分手,他為了發洩心中的不滿故意為之,結果卻弄巧成拙獲得了大量關注,也一舉成為校園風雲人物,後來此事件也在2010年成為了電影《社交網絡》的劇情。馬某某很明顯是模仿了當年的紮克伯格,作為一名計算機專業的學生,馬某某肯定也看過這部電影,了解扎克伯格當年的故事。

可以想像,大概率就是出於這種對偶像狂熱崇拜和想要獲得關注的心理,馬某某才做出此事。但是他卻沒有意識到20年前的世界和現在已經完全不一樣了,2003年互聯網才還未進入蓬勃發展期,人們還沒有意識到數據和個人信息保護的重要性,所以當年離經叛道的行為反而成為了人們口中的天才行為。但是隨著移動互聯網的發展和AI科技的進步,信息數據已經成為了社會第三生產力,無論是我國還是世界各國,都加強了對個人信息和數據的立法保護。

03

馬某某可能面臨的法律責任

(一)民事責任

我國2021年生效的《個人信息保護法》第2條規定:“公民個人信息受法律保護,任何組織、個人不得侵害。”我國2020年生效的《民法典》第111條規定:“自然人的個人信息受法律保護。任何組織或者個人需要獲取他人個人信息的,應當依法取得併確保信息安全,不得非法收集、使用、加工、傳輸他人個人信息。”馬某某的行為明顯違反了兩部法律的規定,侵犯了人大學生的個人信息。而將這些信息上傳到網站上供大家評頭論足,對他人的容貌進行打分的行為涉嫌侮辱,屬於對個人信息的“二次加工”,在某種程度上構成了對他人名譽權和人權的侵犯。

雖然馬某某已被公安機關刑事立案,但並不意味著就沒有了民事責任。根據《民法典》規定,民事主體因同一行為應當承擔民事責任、行政責任和刑事責任的,承擔行政責任或者刑事責任不影響其承擔民事責任;民事主體的財產不足以支付的,優先用於承擔民事責任。若在刑事立案之前,被洩露信息的學生已經就同一事實向法院提起民事訴訟,一般可根據'先刑後民'的實踐原則,中止對民事案件的審理,或將案件材料直接移送至有管轄權的公安機關、檢察機關。

(二)行政責任

另外,學生個人信息亦屬於個人隱私,馬某某通過網絡散佈其他學生的個人信息的行為還觸犯了《治安管理處罰法》第42條規定:“偷窺、偷拍、竊聽、散佈他人隱私的,處五日以下拘留或者五百元以下罰款;情節較重的,處五日以上十日以下拘留,可以並處五百元以下罰款,警方可對馬某某予以治安處罰。”隨著信息技術的發展,重要的信息數據明顯已經成為了隱私的一部分。雖然其已經被刑事拘留,但是不排除警方經過調查後發現其行為還未達刑事處罰標準,最終決定以行政處罰進行處理的結果。

(三)刑事責任

從非法獲取的信息內容上看,馬某某涉嫌侵犯公民個人信息罪。根據已有報導,涉案信息屬於識別特定自然人身份或者反映特定自然人活動情況的信息,屬於該罪的犯罪對象。馬某某獲取信息的數量、違法所得的金額大小以及造成的經濟損失、社會影響大小等將進一步影響對其定罪量刑。

從非法獲取信息的手段來看,馬某某涉嫌非法獲取計算機信息系統數據罪。由於涉案信息保存在學校的服務器內,馬某某若使用技術手段從服務器竊取涉案信息,從而導致服務器負荷超載、不能正常運行等,造成計算機系統被破壞的話,有可能觸及該罪名。

非法獲取計算機信息系統數據罪是2009年《刑法修正案七》增設的,侵犯公民個人信息罪則是2015年的《刑法修正案九》增設的。根據侵犯公民個人信息犯罪司法解釋規定,洩漏個人信息達到一定數量,就屬於“情節嚴重”。具體到本案,洩漏的都是學生敏感信息,“或已經觸犯了刑事法律”。

04

個人信息保護建議

(一)對校方的建議

此事件引起巨大轟動的原因一方面在於犯罪人的行為性質惡劣,另一方面也是因為人大作為頂級學府,自己的網絡系統被自己培養的學生侵入,反映了學校網絡平台監管薄弱和對學生培養不全面的問題。另外,根據《個人信息保護法》第六十六條以及《數據安全法》第四十五條,視具體情節輕重,校方可能被予以警告或承擔行政罰款責任。

一方面,高校應當加強自身網絡信息服務平台的監管和保護,嚴格管理學生信息的收集、錄入、刪除、轉移等流程,不能隨意向不相干人員洩露超級管理員的登錄賬號和密碼。針對不同類型的信息設置差異化查看權限,比如姓名、年齡、出生日期等為普通信息,而身份證號、銀行卡號和家庭成員信息等設置為敏感信息,進行信息分級的差異化保護。同時,要隨時更新信息系統,防止病毒軟件的入侵和系統漏洞的存在。

另一方面,學校應該加強對計算機專業學生的教育,除了計算機和網絡科技相關內容的課程外,還應該將數據和信息法學的相關課程納入到必修科目中,同時通過選修課、講座或者知識教學等多種形式,普及違法侵犯數據和信息安全導致的後果。讓計算機專業的學生不但擁有專業的計算機技術能力,還擁有優秀的信息數據保護素養。

(二)對相關企業的建議

很多企業在招聘算法、人工智能、深度合成等關鍵崗位時,都更青睞擁有高績點、實習經驗豐富或參與賽事經驗豐富的學生,但是對於學生的綜合素質等卻不夠重視。建議科技企業在進行招聘的時候,應該加強對應聘者的盡職調查,對於其是否因違反相關法律從事計算機犯罪等情況進行重點關注,同時重視校友和師長的口碑評價。另外,對於互聯網行業的企業而言,確有必要在公司章程或勞動合同中明確規定,對於計算機信息技術專業人員,必須遵守相關法律法規,否則公司有權懲罰或者辭退。

(三)被侵權人

雖然此事件中高校的學生作為被動方,並沒有權利拒絕校方收集自己的個人信息,此事件在事發前學生的可操控性並不強,但是在事發後可以通過向校方投訴、向法院起訴、向公安機關報警等方式積極維護自己的合法權益。對於其他信息洩露事件中的被侵權人而言,可以在事發生前盡量防止自己的個人信息被洩露,比如不註冊使用那些未經審核的軟件和網站,拒絕將自己的重要個人信息洩露和授權給未知軟件。

比如2021年,上海市奉賢法院審理的一起侵犯公民個人信息罪刑事附帶民事公益訴訟案,就是用戶下載了一款免費的“顏值檢測”軟件,然後使用該軟件拍照後其通過打分的形式來“檢測”用戶的顏值。實際上,該軟件的顏值檢測分數都是隨機產生的,和用戶之間的五官以及面容的情況並無關聯。軟件製作者就是通過這種方式來收集用戶的姓名、身份證號、年齡、手機等基本註冊信息,以及人臉這種敏感信息,最後將這些信息進行了非法處置。最終法院判處被告有期徒刑三年,處罰金人民幣一萬元。

05

結論

人大學生個人信息被洩露事件雖然是學校信息保護漏洞的體現,但是社會和政府的反應卻正好映射瞭如今對於個人信息和數據的保護已經越來越重視,社會已經不是20年前扎克伯格的時代。

大數據時代,個人信息具有人格與財產雙重屬性,作為市場中的重要生產力要素,對其監管既是人權保護的重要體現,也是營造良好營商環境的必然要求。我國重視公民的信息保護及數據管理,自2017年《網絡安全法》及2021年底《數據安全法》、《個人信息保護法》“三駕馬車”陸續生效起,相關法律法規及政策文件正圍繞其日益完善。事關人人,信息洩露事件既為信息保護義務者敲響警鐘,也傳達著全社會對數據安全的關切與監管部門的嚴正態度。