5月13日,上游新闻刊发的《上游调查丨起底数据黑市:上千万条学生信息被疯狂倒卖》报道显示,记者调查发现,教培行业已成为学生信息泄露高发领域,在黑市流通的学生数据超过千万条,涉及江苏、广东、浙江等多地中小学生,单条信息售价0.5元至十余元不等。不法分子为规避监管,采用现金等隐秘方式进行交易,并借助社交平台引流成交。泄露信息涵盖学生姓名、出生日期、家长联系方式、家庭住址,部分包含身份证号、在读班级等敏感内容,部分数据源与官方教育平台高度重合,高精度私密数据多进行高价私下交易。
针对如何保障数据安全,相关部门如何做好数据流转监管工作,5月14日,上游新闻记者专访了中国政法大学教授、博士生导师,中国政法大学数据法治研究院院长、中国政法大学竞争法研究中心(CCCL)主任时建中。
在黑市疯狂倒卖的数据中,包括学生家庭住址等大量隐私信息。上游新闻记者 苏笃 摄
上游新闻:中小学生信息属于敏感信息,法律有哪些强制性规定和特殊保护?
时建中:根据《中华人民共和国个人信息保护法》第二十八条,不满十四周岁未成年人的个人信息属于敏感个人信息。这一法律定性带来三重特殊保护:
第一,处理门槛提升。 依据该法第二十九条,处理敏感个人信息须取得单独同意,不得以用户协议中的概括授权替代。第三十一条进一步要求,处理不满十四周岁未成年人信息,须取得监护人同意,且处理者须制定专门的信息处理规则。
第二,“最小必要”原则的严格适用。 《中华人民共和国个人信息保护法》第六条规定,处理个人信息应当与处理目的直接相关,采取对个人权益影响最小的方式。最高法指导性案例265号(2025年8月发布)确立了“必要性”审查标准:不得将画像分析、行为追踪等功能捆绑为系统必选项。
第三,法律责任加重。 违法处理敏感信息,依据该法第六十六条,最高可处五千万元或上一年度营业额百分之五的罚款;构成犯罪的,依《中华人民共和国刑法》第二百五十三条之一追究刑事责任,情节特别严重的处三年以上七年以下有期徒刑。
上游新闻:教培机构批量获取、倒卖学生信息的行为,涉嫌违反哪些具体法律条款?追责难点在哪儿?
时建中:法律定性上,该行为同时触犯行政法与刑法。行政层面违反《中华人民共和国个人信息保护法》第十条(禁止非法买卖、提供个人信息);刑事层面构成《中华人民共和国刑法》第二百五十三条之一侵犯公民个人信息罪,且若信息来源于履行职责或提供服务过程(如教育系统工作人员、第三方运维人员),依据该条第二款从重处罚。追责难点有以下几种。
难点一:主观明知认定。 涉案教培机构常以“不知信息非法”抗辩。两高《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第三条确立了“应当知道”的推定规则——交易价格异常、渠道隐蔽、信息颗粒度过细等,均可推定明知。四川冕宁县人民法院(2025年2月)判决中,副校长杨某以2万元购买初三学生信息,法院即据此认定其主观明知。
难点二:损害量化与证明困难。 信息泄露的损害多为潜在风险,单个家长难以举证实际损失。《中华人民共和国个人信息保护法》第六十九条虽设定了过错推定原则,但因果关系的证明标准在司法实践中仍不统一,民事赔偿诉讼动力不足。
难点三:刑事追诉的罪量门槛。 侵犯公民个人信息罪以“情节严重”为入罪条件(一般五千条以上或违法所得五千元以上),教培机构购买后主要用于营销,违法所得难以量化,导致部分案件立案存在障碍。检察公益诉讼可在一定程度上弥补个体维权短板。
上游新闻:不少泄露数据的源头指向教育系统官方平台,公共服务平台存在哪些安全漏洞?
时建中:调查发现的现象属实的话,从法律与合规视角分析,教育官方平台存在三类系统性安全漏洞:
第一,权限治理违反“最小必要”原则。 《中华人民共和国个人信息保护法》第六条要求处理信息应与目的直接相关,采取对权益影响最小的方式。但第三方运维人员常被授予全量数据访问权限,远超其履行职责所必需,违反了第五十一条关于“采取有效措施防止未经授权的访问”的法定要求。
第二,数据流转缺乏法定审计与溯源能力。 该法第五十一条要求采取加密、去标识化等安全措施,并建立操作审计。大量平台未对数据导出行为实施实时记录与溯源,导致泄露后无法逆向锁定责任人。
第三,外包管理中的监督责任悬空。《中华人民共和国个人信息保护法》第二十一条规定,委托处理个人信息的,委托方应对受托方进行监督并承担责任。实践中,教育机构与第三方运维服务商的合同往往缺乏明确的数据安全义务条款,监督缺位。
四川冕宁案中,省级教育资源公共服务平台的第三方运维人员彭某利用维护权限批量导出学生信息,经雷某、马某等人转手贩卖,最终流向多家教培机构,正是上述漏洞的典型写照。
在被倒卖的数据中,学生信息精确到了班级。上游新闻记者 苏笃 摄
上游新闻:针对教育类官方平台,应建立怎样的闭环管理机制?
时建中:从法律义务落实角度,建议围绕《中华人民共和国个人信息保护法》第五十一条规定的“安全保障义务”构建闭环管理机制:
其一,落实最小权限原则。 对数据操作权限实行分级管控,运维人员仅应获得维护所需的最小必要权限,业务数据的批量导出须经双人复核授权。
其二,建立全流程审计与溯源能力。 对所有数据导出、复制行为进行实时记录,并采用数字水印等技术实现泄露后的反向溯源。
其三,部署异常行为实时预警与熔断机制。 对非工作时间、超量导出等异常操作,系统应自动触发警报并阻断操作,同时同步向监管机构报告。
其四,强化外包服务合规管理。 在采购教育信息化服务时,须将数据安全保护义务、违约责任作为合同强制性条款,并定期对受托方进行安全审计,以履行《中华人民共和国个人信息保护法》第二十一条规定的监督责任。
上游新闻:目前个人信息保护还需要从哪些方向进行治理和改进?
时建中:第一,激活公益诉讼的制度功能。《中华人民共和国个人信息保护法》第七十条明确规定了检察公益诉讼。针对教育数据大规模泄露而个体维权困难的情形,检察机关应积极提起民事公益诉讼或刑事附带民事公益诉讼。已有地方检察院实践,如浙江余姚市检察院针对培训机构非法使用学生信息案启动公益诉讼程序。
第二,降低受害者的举证负担。 司法实践中应更充分地适用《中华人民共和国个人信息保护法》第六十九条的过错推定原则,由信息处理者自证不存在过错;对于因果关系,可借鉴“高度盖然性”标准,减轻受害人证明责任。
第三,完善教育数据合规的激励与约束机制。 一方面,建立教培机构数据合规信用档案,将合规认证与行政处罚减免挂钩;另一方面,通过行业规范明确教育SaaS服务商的数据安全准入门槛,从供应链源头控制风险。2026年网信办等多部门的教育领域专项治理已为此提供政策基础。
家长接到教培电话后,询问信息来源,客服未正面回答。图片来源/受访者供图
上游新闻:网信、教育、公安、市场监管等部门应如何协同发力?
时建中:第一,网信部门承担统筹监管职责。 依据《中华人民共和国个人信息保护法》第六十条,网信部门负责统筹协调个人信息保护工作。在2026年专项治理框架下,网信部门应牵头建立教育数据安全态势感知平台,开展合规检查,对存在重大泄露隐患的官方平台进行约谈与通报。
第二,教育部门落实源头治理。 教育部门作为行业主管机关,应当制定教育数据分类分级指南和第三方服务安全评估细则,并在信息化项目采购中将数据安全合规作为硬性准入条件。对发生重大泄露事故的学校负责人,应依法追责。
第三,市场监管与公安机关聚焦末端打击。 市场监管部门在执法检查时,应将教培机构“学员名单”来源合法性列为必查项;公安机关应深挖“内鬼”,重点打击利用职务便利获取并倒卖信息的行业内部人员,依法从重处罚。
第四,建立跨部门常态化协同机制。 四部门应建立数据安全联席会议制度,实现线索移送、联合调查、结果反馈的闭环,并推动跨区域执法联动。
教培机构倒卖学生信息黑色产业链的治理,本质上是将《中华人民共和国个人信息保护法》《中华人民共和国刑法》等法律规范从“纸面”落向“地面”的过程。法律条文已提供了完整的制度工具,关键在于强化执法力度、填补权限治理与外包监督的合规漏洞、激活公益诉讼的规模化效应,让违法成本真正高于犯罪收益。
上游新闻记者 苏笃
热门跟贴