5月13日,上游新闻刊发的《上游调查丨起底数据黑市:上千万条学生信息被疯狂倒卖》报道显示,教培行业已成为学生信息泄露高发领域。不法分子为规避监管,采用现金等隐秘方式进行交易,并借助社交平台引流成交,部分数据源与官方教育平台高度重合。
5月18日,上游新闻(报料邮箱:cnshangyou@163.com)邀请北京市京师律师事务所权益合伙人范辰、上海市锦天城律师事务所律师陆凤阳、北京泽亨律师事务所律师胡磊及北京中闻律师事务所律师刘长、卢义杰、赵鹏乐等6名律师,围绕上千万条学生信息被疯狂倒卖行为的法律定性、维权途径、各方责任界定及惩处标准展开全面法律解读。
教培机构外呼团队在拨打学生家长电话。上游新闻记者 苏笃 摄
上游新闻:家长频繁接到培训机构打来的骚扰电话,有哪些有效救济途径?
陆凤阳:第一,家长可以向国家互联网信息办公室或省级网信办举报。依据《个人信息保护法》相关规定,网信办有权责令企业整改、罚款,情节严重者可暂停业务、吊销证照;第二,家长可以向工业和信息化部门投诉。依据《电信和互联网用户个人信息保护规定》及《广告法》,工信部门可对相关企业及号码实施整改、罚款,并有权要求电信运营商配合封停骚扰号码;第三,可以向市场监督管理部门投诉,市场监管部门对教培机构的广告及商业推销行为具有监管权限,可就其违法经营行为启动行政调查;第四,当骚扰行为具有威胁性、多次针对特定家长或涉嫌利用个人信息实施诈骗时,家长可直接向属地公安机关报案;第五,教培机构若系持证经营的教育机构,教育局对其具有行业监管权,可就数据滥用行为启动行政调查,并将违规情况纳入机构信用记录。
卢义杰:在民事层面,依据《个人信息保护法》,家长有权明确拒绝非必要营销,告知对方永久停止拨打并删除本人信息,同时留存通话录音、聊天记录等证据。若骚扰次数较多、严重影响正常生活,可提起民事诉讼,主张停止侵害、赔礼道歉并要求赔偿精神损害抚慰金。在行政层面,可向12321网络不良与垃圾信息举报受理中心举报骚扰电话和短信,也可拨打12345政务服务热线投诉培训机构违规营销。在刑事层面,若有证据显示培训机构存在大规模购买、获取公民信息的情况,还涉嫌侵犯公民个人信息罪,可直接向公安机关报案,要求追究刑事责任。
上游新闻:教培机构为引流,在社交平台公布个人敏感信息及相关信息,是否也存在违法行为?
范辰:《治安处罚法》规定,“违反国家有关规定,向他人出售或者提供个人信息的,处10日以上15日以下拘留;情节较轻的,处5日以下拘留。《刑法》规定,违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。教培机构在社交平台公布个人敏感信息,严重侵犯公民个人信息,涉嫌行政违法或刑事犯罪,应被追究行政责任,或以侵犯公民个人信息罪追究刑事责任。
胡磊:教培机构在社交平台公开流通包含学生姓名、班级、住址、联系方式乃至身份证号码等信息的学生数据,用于引流或交易,严重违反《个人信息保护法》中关于个人信息处理应当遵循合法、正当、必要原则的规定,属于未经同意擅自公开、交易个人信息的违法行为。敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括不满十四周岁未成年人的个人信息。
处理敏感个人信息应当取得个人的单独同意,处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意,并采取严格保护措施。教培机构公开流通此类数据,不仅侵害个人信息权益,还可能构成侵犯公民个人信息罪的 "提供" 行为。若公开数据达到情节严重标准,如数量较大或者获利达到一定数额,相关责任人员将承担刑事责任。同时,该行为还违反《网络安全法》关于网络运营者保护用户信息的义务,可能面临行政处罚,包括责令改正、没收违法所得、罚款乃至责令停业整顿。教培机构以此方式引流,属于以非法手段获取并利用个人信息,依法应当承担民事、行政乃至刑事责任。
上游新闻:不少教培人员认为,隐藏敏感信息只传播电话号码,或仅使用其进行推销,不构成犯罪,该说法是否准确?
赵朋乐:这种说法是完全错误的,是对法律的严重误解。第一,电话号码属于受法律保护的个人信息。无论是《民法典》还是《个人信息保护法》,都明确将能够识别特定自然人的电话号码纳入个人信息范畴;第二,仅倒卖电话号码,达到一定数量或获利即构成犯罪。根据司法解释,非法获取、出售或者提供一般公民个人信息(包括电话号码)五千条以上,就达到了“侵犯公民个人信息罪”的立案标准。司法实践中,单纯“倒卖电话号码”数量未达五千条,但获利五千元以上,也构成犯罪;第三,如果信息被用于犯罪,门槛更低。司法解释明确规定,如果明知他人利用信息实施犯罪仍向其出售,或者出售的信息被用于犯罪,那么不论数量多少,都直接认定为“情节严重”,构成犯罪。
陆凤阳:《个人信息保护法》规定,联系方式为个人信息。同时,相关司法解释中对公民个人信息的界定同样明确涵盖联系方式,包括手机号码、电话号码、电子邮箱等。更为关键的是,我国已全面推行手机实名制。依据《电话用户真实身份信息登记规定》,手机号码与用户实名身份信息实行一一对应注册,任何人均可通过手机号确定唯一一个真实自然人。这意味着手机号码具备直接识别性,是可识别特定自然人的个人信息。涉案数据包中绝大多数同时包含学生姓名、班级、家庭住址等多维信息,即便涉案人员声称“只传手机号”,购买方将购得的手机号码与公开可查的学校学生名单、班级信息进行交叉比对,即可在极短时间内完成对特定自然人的精准识别。“只传手机号”的辩解在实质上只是主动剥离了部分字段,但信息的识别功能并未因此丧失,不影响整体数据的个人信息属性,更不影响单条手机号码本身的法律定性。
被公开流通的学生信息中,包含学生身份证及家庭住宅信息。上游新闻记者 苏笃 摄
上游新闻:有迹象表明大量被倒卖数据与官方平台数据相似,此类情况下,教培机构、官方平台维护商及主管部门各自应承担怎样的法律责任?
刘长:《个人信息保护法》规定:“个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。若官方或官方平台维护商擅自将学生信息提供给教培机构,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,还可能面临罚款、吊销营业执照等处罚,严重者可能构成刑事犯罪。若教培机构教唆官方或官方平台维护商提供学或出售生个人信息,甚至是共谋,可能构成侵犯公民个人信息罪的共犯。
赵朋乐:教培机构作为直接实施者,其非法获取和使用信息的行为违反《个人信息保护法》。如果购买信息数量达到刑事立案标准,将作为“侵犯公民个人信息罪”的共犯或正犯被追究刑事责任,同时承担民事赔偿和行政处罚。
平台维护商作为泄露源头,其内部人员利用职务便利非法出售或提供信息,则构成“侵犯公民个人信息罪”,依法应从重处罚。报道中提及“江苏某信息化服务平台维护方负责人因涉嫌泄露数据被抓”,这正是“内鬼”被刑事追究的典型案例。司法解释规定,这种“内鬼”犯罪的入罪门槛(数量标准)减半计算,将面临更重的刑罚。其所在单位也因未尽到数据安全保护义务,需承担相应责任。主管部门作为监管方,负有不可推卸的监督管理责任。如果因监管不力、制度缺失导致所属平台发生大规模泄露,相关负责人可能面临行政处分。如果存在玩忽职守等行为,相关责任人员还可能涉嫌渎职犯罪。
上游新闻:虽然我国已有法律保障个人信息,但泄露事件仍有发生,应该从哪些方面进行完善?
卢义杰:一是健全数据溯源机制。在技术条件成熟后,对于包含学生信息在内的敏感数据文件,法律可要求导出时通过数字水印、区块链存证等技术手段溯源,一旦信息泄露,能够精准溯源到是哪个账号、哪台设备、什么时间导出的;二是建立过错推定责任,只要发生信息泄露,且无法提供完整的、未被篡改的技术操作日志来证明泄露与处理者无关,则直接推定平台方或维护商存在过错,必须承担全部责任,这样可倒逼官方平台和维护商真正投入资源保护数据,而不是停留在纸面合规,也可以降低家长的维权难度、维权成本;三是加强普法与行业约束,向教培机构、官方平台工作人员、学生家长普及个人信息保护相关法律知识,明确违法后果,引导教培行业规范经营,强化行业自律,从源头减少个人信息泄露行为。
胡磊:应当从源头治理、过程监管、责任追究和协同治理多方面完善法律制度。首先,细化《个人信息保护法》在教育领域的实施细则,明确学校、教培机构及平台维护商处理学生个人信息时的告知同意、目的限制、最小化处理等具体要求,特别是针对未成年人信息设定更高保护标准;其次,强化源头管控,要求官方平台建立严格的访问日志、数据导出审批和加密传输制度,禁止未经授权批量导出,并对维护商实施定期审计和责任追溯机制;再次,完善行刑衔接机制,加大对侵犯公民个人信息犯罪的打击力度,提高罚金刑和资格刑适用标准,并推动公益诉讼与附带民事诉讼并行,切实填补受害者救济空白。此外,应建立跨部门协同监管机制,由教育、网信、公安、市场监管等部门联合开展专项治理,督促学校和平台落实个人信息保护负责人制度和技术防护措施。同时,通过立法明确数据出境、第三方共享的严格审批程序,加大对违法行为的信用惩戒和行业禁入力度,形成全链条闭环保护体系,从根本上减少学生个人信息泄露事件的发生。
上游新闻记者 苏笃
热门跟贴