视频 | 人大毕业生盗取信息被刑拘 信息安全如何守护？

这两天，人大一硕士毕业生窃取学生照片以及其他个人信息数据并制作成颜值打分网站的事件，引发社会关注。

3日，北京海淀警方发布通报称，25岁的嫌疑人马某某，因涉嫌非法获取学校部分学生个人信息等违法犯罪行为已被刑事拘留，目前，案件正在进一步调查中。对于马某某到底是如何获取学生个人信息的，警方的通报和学校都没有提及。不过，据媒体报道，马某某在人大读硕士研究生期间，用类似“蠕虫”等软件病毒侵入人大网络系统，盗取全校学生包括照片、姓名、学号等在内的个人信息，并搭建了给学校学生颜值打分的网站，该网站在7月1日晚已经打不开。

此外，有网络截图显示，2020年，马某某还曾在个人社交账号上发布动态炫耀此事，称“和志同道合之士完成了这件我大二就想做的坏事”，与此同时，他的一些背景信息也被扒出，比如曾经获得国家奖学金、三好学生等。

根据公开信息推测，这一颜值打分网站存在了长达3年之久。如今，随着警方的介入，这场窃取风波算是告一段落。那么，马某某的行为到底犯了哪些法？对此，法律界人士表示，马某某非法获取公民个人信息并在网上公开这一行为，涉嫌侵犯公民个人信息罪。他获取信息的数量、违法所得的金额大小以及造成的经济损失、社会影响大小等将进一步影响对其定罪量刑。其次，由于涉案信息保存在学校的服务器内，马某某若使用技术手段从服务器窃取涉案信息，从而导致服务器负荷超载、不能正常运行等，造成计算机系统被破坏的话，马某某则涉嫌破坏计算机信息系统罪。而如果完整公开了他人可以形成有效身份辨识的照片、信息，并对他人颜值等进行带有“诋毁”“讽刺”“侮辱”性质的所谓“测评”，导致受害人名誉等受损，情节严重的，还有构成侮辱罪的风险。

上海政法学院教授张继红则指出，此次事件中，中国人民大学也应承担相应的法律责任。张继红说，中国人民大学作为学校网络运营者、个人信息处理者，按照网络安全法、数据安全法以及个人信息保护法的相关规定，同时结合本次事件的情节轻重，需要承担相应的行政与民事责任。学校应当积极配合警方调查学校内网及安全管理制度的漏洞，及时完成整改工作。这一事件也提醒高校或教育机构，要加强对学员或者学生个人信息的保护。

相关报道显示，马某某目前就职于一家互联网公司，从事网络技术工作。如果其最终获刑，未来还能从事相关工作吗？对此，法律界人士表示，根据网络安全法第二十七条规定，任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动。违反上述规定，受到治安管理处罚的人员，五年内不得从事网络安全管理和网络运营关键岗位的工作；受到刑事处罚的人员，终身不得从事相关工作。

马某某事件将高校网络信息安全问题再度推到公众视野，也引发了人们对个人信息保护和网络安全的担忧。一名学生究竟是如何凭一己之力侵入学校信息系统的呢？对此，复旦大学信息科学与工程学院副教授凌力在接受看看新闻Knews采访时表示，在这一事件中，学校在信息系统的保护上肯定是有漏洞的，但马某某未必是像网上报道的那样是通过木马病毒或者“蠕虫”病毒侵入学校信息系统的。在凌力看来，更可能是马某某利用他所学的专业知识，对学校的信息系统发起了一种“越权攻击”的操作，简单说就是把学生登陆学校系统的普通权限升级为高级权限，然后盗取了学校信息系统数据库的所有数据。由于当时操作时，并没有对学校信息系统造成破坏，所以学校可能也一直没有察觉。

“高校要更加夯实网络安全和信息安全责任，堵住漏洞。”凌力表示，此次个人信息泄露发生在高校，事实上，除了高校，还有很多其他部门也都保存着大量公共数据信息。公民的个人信息安全事关重大，非法获取并公开展示公民个人信息，不但侵犯个人信息安全，还为电信诈骗等违法犯罪提供了便利，严重危害公民人身、财产安全。因此，学校或者相关政府部门作为网络数据处理者应当在网络安全等级保护制度的基础上，履行数据安全保护义务，开展数据分类分级保护工作，建立重要数据保护目录。同时，要打造网络数据安全监测预警体系，构建精准的网络数据安全管理及风险防控措施，防止个人信息被盗用、被滥用。

（看看新闻Knews编辑：彭晓燕 翟静 陈昱卉）