“孩子才刚放假,我就已经被各种暑假培训班的电话轰炸好几轮了。”近日,一位家长在广东省网络数据安全与个人信息保护协会“个人信息侵权投诉反馈平台”上投诉,称自己在某社交平台看到有人兜售学生信息,怀疑自家信息正是这样被泄露的,才会频繁接到培训机构的骚扰电话。
南都记者据此展开调查,发现确有大量学生信息在社交平台上被肆意贩卖、交换,一条包含学生姓名、就读学校、年级、父母姓名及联系电话的详细数据,被标价每条0.6元公开兜售。与此同时,部分机构通过投放教培广告非法收集并倒卖个人信息,“内鬼”也成为精准学生数据泄露的关键源头之一。
“拉黑一个又来一个” 家长每日遭遇电话短信轰炸
与投诉家长有着相同遭遇的不在少数。“一上来就问是不是xx妈妈。”家长杨女士家的孩子即将面临小升初,她在网上发帖吐槽:最近手机要被各类培训机构的电话“打爆”,“一上来就精准报出孩子姓名、学校、年级,我一开始还以为是学校老师,生怕错过什么急事,结果是卖小升初培训班课程的推销电话”。杨女士表示从来没有给孩子报过任何校外辅导班,根本不知道对方是如何获取到电话号码。
“拉黑一个号码,又有新的号码打进来,让人防不胜防。”家长李先生也发文求助如何屏蔽培训机构的骚扰电话。根据李先生提供的通话记录截图,他从今年6月中旬开始,便频繁接到各类教育咨询服务、精品课程的推销电话,平均每天3-4个,“怎样才能让他们不要再打过来?”评论区中也有不少网友感同身受,更有甚者表示每天至少接到10个机构电话,“拉黑起不到任何作用,很无奈”。
除了电话,培训机构的骚扰短信同样让家长不堪其扰。林女士的孩子在广州某中学就读初二,她向南都记者展示,近期手机通知栏时常被各类“名校名师”的短信占满:“我是华附退休特级教师,和同事带暑期特训班”“限收2名初中学生一对一”“分数不到不收费”……短信轮番变换号码发来,几小时一条。“可笑的是,我要求对方出示证件证明老师身份,他们却以‘保护老师隐私’为由拒绝。”林女士说。
在社交平台上,不少家长发文吐槽被培训机构电话、短信骚扰。
让家长们困惑的是,这些精准的信息究竟是如何泄露的?有家长回忆,只在一家培训机构填写过信息,却接到另一家从未接触过的机构电话,怀疑个人信息被行业内部交换共享。也有家长只通过学校提供的渠道填写过详细资料,担忧是学校环节不慎泄露,进而被层层倒卖到培训机构手中。
社交平台上叫卖: “广州小升初数据,每条0.6元”
根据家长在投诉中提供的线索,南都记者以“教培**”“**资源”等关键词在部分社交平台检索,瞬间出现不少贩卖数据的帖子,声称手握“大量教培客资名单,可以精准电销”“全国各地都有”。评论区里,求购留言活跃,“买家”询问指定地区或年级的学生数据,“广州有吗?”“需要海口的。”“需要高三和初三的学生。”
某社交平台上,有人发布贩卖数据的帖子。
南都记者通过相关帖文联系上一名贩卖广州地区信息的“卖家”。对方称,其手上的数据包含学生姓名、就读学校名称、入学年份、家长姓名、联系方式等详细信息,而且“每一个(家长的电话号码)都是双电话”。为了证明“货真价实”,该“卖家”在线发来多条学生信息供免费测试,经南都记者核实,这些信息均为真实。
根据对方提供的截图统计,其手中仅广州地区“准备小升初”的学生信息就累计近7万条,覆盖天河、越秀、白云、从化等11个区,单价0.6元一条,并声称“全拿优惠会大一点”。据称,除了广州,该“卖家”还能提供全国多地数据。
另一名“卖家”则发帖称“暑期招生旺季到来,数据库已经更新,各地区数据都有”,并同样表示可以测试。在明确具体年级和地区需求后,对方发来可出售的学生信息总量,仅广州越秀、天河、荔湾,深圳福田以及佛山顺德几个地区,合计就超过6万条。其提供的免费测试数据同样包含学生姓名、学校、年级及家长电话等详细信息。
更令人担忧的是,这些学生信息还在“卖家”群体内部以“交换”“共享”的形式流传。调查过程中,不少平台用户声称拥有某地学生数据,希望与人“交换”“共享”,评论区也常见大量响应的留言。
学生信息如何被倒卖? 教培广告、“内鬼”成泄露源头
这些数据是怎么泄露的?南都记者调查发现,家长上网时随手点击的教培广告,很可能就是信息泄露的第一步。一名倒卖学生信息的“卖家”向南都记者透露,他们公司的客户数据全是靠网络平台广告投流获得,“客资比较精准,锁定的都是有需求的群体。”其提供的视频资料显示,该公司在短视频及社交平台上大量投放课外辅导、名师一对一等教育类广告,诱导用户点击。家长在广告详情页填写的姓名、电话号码、孩子就读年级等信息会同步至后台,随即成为可售卖的“一手数据”。“卖家”给出报价:“100元一条数据,30条起拿。”这名“卖家”告诉南都记者,他们投流广告获取的数据成本较高,不支持免费测试。
如果说这类投流广告收集的信息还相对粗糙,那么精准到学生姓名、就读学校、家长姓名及电话的信息又是从哪里泄露的?数据安全专家指出,泄露原因可能是外部的,也可能是内部的,甚至二者兼有。外部可能是攻击者利用系统漏洞或窃取特权账户,获取了相应数据库管理员的权限,从而完成“拖库”行为。内部则分两种情况:一种是运维人员不当操作导致数据意外泄露,另一种是有“内鬼”凭借系统权限,批量下载数据库中的信息并倒卖。
事实上,“内鬼”正逐渐成为学生数据泄露的主要“元凶”之一。今年4月,四川警方打掉一个倒卖学生数据的违规团伙,数据泄露源头直指当地某职业学院招生办主任。警方公开的案件细节显示,涉案的79万多条学生公民个人信息,不仅涵盖学生姓名、性别、身份证号码、户籍信息、就读学校和班级,甚至历次各科考试成绩、执教老师以及监护人信息、联系电话都在其中,几乎把学生隐私“扒了个精光”。此外,此前有媒体曝光,被公开流通买卖的学生信息,与某地中小学校阳光食堂信息化服务平台、家校平台等官方平台公布的信息高度重合,相关官方平台维护方负责人后因涉嫌数据泄露被抓。
倒卖或涉嫌侵犯公民个人信息罪 专家建议平台主动清查违规内容
“姓名、学校、电话号码这些均属于敏感个人信息,非法买卖、提供这些信息,直接侵害了他人的隐私权和个人信息权益。”上海申伦律师事务所律师夏海龙告诉南都记者,侵权者需承担民事责任,同时也违反了行政法规,情节严重,则涉嫌侵犯公民个人信息罪。他进一步建议,要强化网信、教育、公安等部门的跨部门协作执法机制,提升技术监管能力,加强对倒卖个人信息行为的打击,严格依法监管、处置。互联网平台要落实好对平台内容的审核义务,加强对违规内容的治理清查,同时要建立投诉举报机制,并积极履行报告和配合调查义务。
还有多位专家建议围绕教育、未成年人保护等个人信息泄露的高风险场景构建全过程监管闭环,确保每一次数据触碰都能追溯到具体责任人。同时,将滥用信息的教培机构列入黑名单并向社会公示,倒逼机构主动规范信息使用行为。
出品:南都大数据研究院
采写:南都研究员 罗韵
设计:何欣
热门跟贴