警方现场查获的学生个人信息泄露资料。警方供图
中高考落幕,学生个人信息泄露进入高发时段。四川乐山警方近期侦破一起覆盖全省17个市州的特大侵犯公民个人信息案,查获泄露学生信息90余万条,成功斩断一条由高校招生内部人员牵头、校外招生团队分销牟利的黑色产业链。
如今,手握公民隐私数据的行业“内鬼”已取代网络黑客,成为个人信息泄露的核心源头。层出不穷的医疗、出行信息倒卖案件警示,搭建技术、制度、司法三位一体的个人信息防护体系,已是迫在眉睫。
U盘拷贝核心数据
今年4月,四川乐山峨眉山市多位考生家长陷入“电话轰炸”的恐慌。家长吴先生的黑名单里,积攒了一两百个陌生号码。对方不仅能准确叫出孩子的名字,甚至连各科成绩、班主任姓名都了如指掌。
这种“精准骚扰”的背后,潜藏着一条庞大的个人数据交易网。
接到报案后,峨眉山警方迅速出击,在一家校外招生团队的办公点发现端倪。现场查获的纸质资料背后,一个存储着超过79万条学生信息的U盘浮出水面。警方追溯发现,这些数据覆盖四川17个市州,信息维度非常详细,不仅包括姓名、身份证号、户籍,甚至囊括了历次模拟考成绩。
在四川省公安厅统筹指挥下,专案组顺藤摸瓜,揭开了这条黑色产业链的“三级架构”:源头层——眉山某学院招生办主任何某某,扮演数据“总批发商”,利用职务之便将海量数据打包外泄;扩散层——德阳某校招生办主任吴某某等人,作为中间商购入数据后,再向下“分销”;落地层——校外招生团队,凭借精准数据对家长展开定向骚扰和违规招生许诺。
犯罪嫌疑人的反侦察意识极强。办案民警介绍,听到风声后,吴某某驾车逃窜至成都,途经成都环城高速时,竟将存有数据的U盘、手机及电脑硬盘抛入河道,妄图“物理消灭”证据。然而,在警方完整的证据链面前,这一手段并未奏效,吴某某最终被依法刑事拘留。
6月初,专案组在成都市温江区精准收网,成功抓获该案顶层信息泄露源头人员,此次案件共封存学生信息90余万条。
四川省乐山市公安局网络安全保卫支队副大队长袁磊介绍,不法分子利用考生成绩、报考信息编造“内部录取”“助学金申领”等骗局,迷惑性强,极易造成财产损失。
梳理类似案例可见,“内鬼”已日益成为个人信息泄露的主要元凶。最高法2026年5月发布的典型案例显示:博某软件公司在为医院开发维护挂号系统期间,在后台私自搭建数据库,非法获取287万余条患者信息用于商业营销;铁路车站客运员陈某某利用内部系统查询他人的高铁出行信息,以每条10至60元的价格出售……
清华大学网络研究院博士段宇飞认为,这种“内部威胁”相比外部黑客攻击,破坏力更大、防范更难,它绕过了层层防火墙,直接从核心数据库“搬”走数据。
暴露三重深层风险
记者调研发现,四川“90余万条学生信息泄露”等案例暴露出个人信息泄露存在三大深层风险,值得警惕。
风险一:监管存漏洞,安全治理“灯下黑”,从“防黑客”转向“防内鬼”。
长期以来,公众和企业将安全防范重点放在抵御外部网络攻击上,认为筑高“防火墙”便可高枕无忧。然而,此案与最高法典型案例共同指向一个残酷现实:堡垒容易从内部攻破。
四川智慧社会智能治理重点实验室主任、四川大学法学院教授王竹认为,当前个人信息泄露治理的深层症结在于,许多泄漏并不发生在核心数据库,而是出现在接口调用、外包服务、渠道代理等治理薄弱环节。
本案中,高校管理层、校内招生办人员等本应是学生信息的守护者,却成为明码标价的“特殊商品”供应商。
业内人士直言,这类“内鬼”作案具有“合法授权下的非法利用”特征,他们拥有合法系统访问权限,行为初期极难被入侵检测系统识别。记者了解到,该团伙为规避监管,采用“线下点对点、人工U盘拷贝”等隐蔽方式交易,资金结算也滞后至“招生返点”到账后才进行分配。这种回归原始的作案手法,让以监测网络流量为主的传统网络安全手段失效,暴露出数据内部流转环节的监管漏洞。
风险二:数据失控,学生、医疗与出行数据成“唐僧肉”。
记者了解到,目前,未成年人及学生数据、医疗健康数据、出行数据三类数据已成为黑产眼中的“唐僧肉”。四川案中泄露的学生数据维度就非常细致,这类信息不仅侵犯隐私,更因高精准度,常被用于伪造学历、骗取就业资格或实施精准诈骗,可能严重破坏社会诚信体系。
王竹分析,随着算法的广泛运用,泄露的个人信息也更容易被快速整合、分析和再利用,进而被用于精准营销、交易诱导乃至电信网络诈骗等活动。“今天的个人信息泄露,已经不只是信息从某一环节流出的问题,而是可能直接进入数字社会中的身份识别、行为分析和交易决策过程,并在多个应用场景中持续放大影响。这一变化也表明,个人信息保护正面临新的难点:受害后果更加严重,损害链条更长,风险传播更快,违法处理与具体损害结果之间的关联也更难识别和证明。”王竹说。
风险三:权限失守,管理规范形同虚设。
如果说外部攻击是“硬碰硬”,内部泄露则是“监守自盗”。段宇飞认为,“安全分级管控”“最小化权限”等防护理念在实际落地中常因“嫌麻烦”而被架空。“理想的安全状态应该是‘数据可用不可见’,且每一次数据调取都应留有痕迹并设置审批流程。但现实中,由于缺乏有效的日常巡查和权限动态回收机制,离职员工或内部人员拥有‘超期、超限’权限的现象也时有发生。”段宇飞说。
需筑牢立体防护线
面对“内鬼”操控的个人信息交易频发态势,业内人士呼吁,应从源头治理、技术赋能与司法救济三个维度,构建全链条数据安全防护体系。
源头防控,把住“人”的关口。多位业内人士建议,应完善法律法规,围绕金融、医疗、未成年人保护等个人信息泄露的高风险场景,构建覆盖“收集前、收集中、收集后”的全过程监管闭环。王竹呼吁,在高风险领域强制推行“个人信息保护影响评估制度”;在学校、医院、快递等掌握海量敏感数据的机构中,严格落实“最小必要原则”,员工只能接触完成本职工作所必需的最少数据,批量导出、复制、外传行为须经多重审批,并利用加密技术等,确保每一次数据触碰都能追溯到具体责任人。
司法亮剑,破解“举证难、赔偿低”困局。针对普通民众维权成本高、举证难的问题,王竹建议,应当适当减轻受害人的证明负担:当个人已经能够初步证明其信息由特定机构控制,且泄露后的使用情形与该机构业务具有较强关联时,可以要求掌握信息的一方就处理行为是否合法、安全措施是否充分以及风险来源作出更充分说明,避免将证明压力全部转嫁给个人。
多位业内人士呼吁,还应当进一步完善公益诉讼、代表人诉讼等制度,使大规模、分散化的个人信息侵害能够获得更有效的回应。
技术赋能,堵住“碎片化”泄露漏洞。除了法律震慑,技术升级同样不可或缺。针对各平台通过验证机制“无意间”泄露信息的现状,段宇飞建议,由政府牵头出台统一规范,尽量防止不同平台泄露的信息碎片被拼凑还原成完整隐私。在技术防护层面,应在数据存储端普及加密与动态脱敏技术,确保即使数据被非法导出也无法直接读取;教育、医疗等系统应建立更严格的数据安全系统,例如对异常的大批量数据下载行为实时阻断并报警、采用更高安全性的隐私增强技术保护必要计算过程等。
目前,四川案件正在进一步办理中。四川乐山警方也提醒,个人也应强化防护意识,不在非官方平台随意填报敏感信息,遇到陌生招生电话务必通过官方渠道核验。筑牢防线,既需要制度的刚性、技术的锐度,也需要司法的力度,而这一切的起点,是让每一个手握数据的“守门人”,真正意识到自己守护的不是冰冷的代码,而是千万人的信任与安全。