每条均价约2毛 浙江50余万条学生数据遭泄露

　　今年暑假开始前，嘉兴平湖一位家长接到当地一家教育培训机构的电话，推销一对一家教辅导业务。让家长纳闷的是，对方能直接报出孩子的姓名、学校、年级等信息，这让家长很害怕，于是报了警。平湖警方调查后抽丝剥茧，突破6道贩卖关，终于找到源头——一个30岁的技术青年。

　　同样是在暑假，8月发生在山东的准大学生徐玉玉被不法分子诈骗9900元后死亡的案件，源头也是信息被泄露。

　　面对几乎“全线失守”的家庭信息，一些家长拨打110或向当地警方咨询，但得到的答复却往往是，学生家庭信息遭遇泄露是肯定的，但需构成“情节严重”才能立案调查。

　　很多家长质疑，怎样才算“情节严重”？信息泄露者缘何能“逍遥法外”？

　　浙江50余万条学生数据被贩卖

　　一条完整的学生信息均价约两毛

　　今年6月25日，平湖一名学生家长跑到派出所报案称：他接到当地一家教育培训机构的电话，推销一对一家教辅导业务，让他纳闷的是，对方能直接报出孩子的姓名、学校、年级等信息，而且准确无误。

　　接到报案后，平湖警方于6月27日对该培训机构进行突击检查，抓获机构负责人杨某，并从他的聊天记录中找到了相关实证。6月28日，翟某、周某、陈某等5人被警方抓获。

　　人是抓住了，可他们的信息又是从哪儿来的呢？

　　警方一路追查源头。经查证，最终的泄露源是浙江一家教育公司的技术维护人员曹某，不过对方已经离职。7月4日，警方赶赴湖南，将曹某一举抓获。曹某，30岁，湖南人，大专学历，目前自己创业，开了一家做短信平台的网络科技公司。

　　警方介绍，曹某之前所在的教育公司主要是给各个学校做类似“校讯通”之类的短信平台，系统内掌握了全省大量学校信息。

　　据警方统计，曹某泄露的信息共涉及全省杭州、嘉兴、湖州、绍兴、金华、衢州、宁波、台州、舟山、温州等10地市254所学校，共计50余万条数据，包括学生姓名，所在学校、班级、家长信息，十分全面。

　　曹某交代，从去年三四月份开始，他就和另一名犯罪嫌疑人阎某有“合作”，一条学生信息卖1毛多，有时还有打包价，“城区的学生信息比较受欢迎，乡下学校的学生一般不上辅导班，所以作为信息附赠。”

　　曹某离职后，阎某又找他帮忙，但那时曹某的公司个人账户已被封了，不过他记得以前的测试账号，他于是用测试账号进入公司数据库，导出了50多万条学生数据，共获利14万元。

　　警方算了下，其实泄露的学生数据比50万条还要多，均价大概在两毛一条。

　　曹某说，自己只把信息卖给了阎某。而从事教育培训行业的阎某也交代，他只把学生信息卖给同行，价格2.5毛一条，一个学校打包价700元。

　　有关此案，平湖警方共抓获25名嫌疑人，将这条非法获得学生信息并进行倒卖的黑色产业链全部摧毁。

　　警方表示，万幸这次信息都是在教育培训机构之间贩卖，他们用于推销业务，如果被诈骗分子利用，后果不堪设想。

　　平湖警方还建议大家要向平湖的这位家长学习，对个人信息要警觉一点，接到奇怪的电话，不要慌，向110报警或直接去最近的派出所咨询。

　　山东徐玉玉案信息泄露源头查明嫌疑人攻破一省高考报名系统

　　大家可能对前一阵子山东准大学生徐玉玉遭电信诈骗后死亡的事件还记忆犹新。9月10日，公安部公布徐玉玉案诈骗细节，嫌疑人通过攻击“山东省2016高考网上报名信息系统”，盗取了包括徐玉玉在内的大量考生报名信息。

　　8月19日，山东省临沂市高考录取新生徐玉玉被不法分子冒充教育、财政部门工作人员诈骗9900元，并导致徐玉玉死亡。徐玉玉案发生后，“信息是如何泄露的”成为民众关注的焦点问题之一。

　　经查，犯罪嫌疑人杜某利用技术手段攻击了“山东省2016高考网上报名信息系统”并在网站植入木马病毒，获取了网站后台登录权限，盗取了包括徐玉玉在内的大量考生报名信息。

　　7月初，另一犯罪嫌疑人陈某在江西省九江市租房设立诈骗窝点，通过QQ搜索“高考数据群”“学生资料数据”等聊天群发布个人信息购买需求后，从杜某手中以每条0.5元的价格购买了1800条今年高中毕业学生资料。

　　同时，陈某雇佣郑某、黄某等人冒充教育局、财政局工作人员拨打电话，以发放助学金名义对高考录取学生实施诈骗。

　　8月19日16时许，该团伙诈骗徐玉玉9900元，在徐玉玉向嫌疑人冒用他人身份证开设的银行卡账户汇款6分钟后，陈某即操控在福建泉州的犯罪嫌疑人郑某某组织熊某、陈某某等人在泉州市一银行ATM上取走赃款。

　　公安机关进一步查明，犯罪嫌疑人彭某通过网络多次向陈某犯罪团伙售卖非实名手机卡，供犯罪团伙作案使用。

　　目前，以上8名犯罪嫌疑人均已被抓获。

　　>>>追问

　　系统重建设轻安全

　　网络安全责任制如何落实

　　在徐玉玉案中，信息泄露的源头在于犯罪嫌疑人攻破了山东省高考网上报名信息系统。这暴露了一些网络信息系统存在什么问题？针对这些“漏洞”又要如何补救？

　　中国信息安全研究院副院长左晓栋表示，建一个系统、开发一个应用，应该同步部署安全设施，“但实际上很多机构做不到，存在重建设轻安全、重发展轻管理的问题。”

　　从公安部通报的情况来看，山东高考报名信息系统被嫌犯攻破后盗取了信息。左晓栋称，从技术方面来说，网站的软硬件方面漏洞是广泛存在的，关键是要及时做风险评估、打补丁等；此外，除了技术有问题，管理方面的原因也脱不了干系。

　　对于如何补救漏洞，左晓栋认为，对于维护网络系统安全，目前已有不少相关法规、标准和一般操作规范，但问题关键还是网络安全责任落实不到位，“一般来讲，出了安全生产事故，追责是比较明确的。但是在网络安全领域，出了问题要怎么承担责任？目前还不明确。”

　　看起来各部门都尽责了信息泄露者缘何能“逍遥法外”

　　今年8月中旬，兰州市公安局曾向社会通报了两起近乎相同的针对学生的“虚构绑架电话诈骗”案件。其情节之“离奇”让许多家长闻之色变。两起案件中，诈骗分子均对受害者的个人信息掌握十分充分，并进行了“周密”的设计。

　　“到底是谁泄露了个人信息？”“为什么在侦办电信诈骗案件后，原始的信息泄露者却逍遥法外？”一些家长追问。

　　兰州市城关区法院曾审理过这样一起案件。一位考生状告当地有关部门在事业单位公开招考中泄露了其个人信息，使他频频受到培训机构的电话、短信骚扰。

　　对此，有关部门辩称，在收到考生投诉书后的第二天，有领导就作出批示：查清情况，如有必要，请公安网监部门帮助弄清情况，并向当事人反馈。之后，纪检部门将考生反映的情况送公安网监大队并报案。市公安局立即对该考试系统进行了全面调查取证，但一直没有破案。

　　有关部门就此认为自己履行了法定行政职责，而对于查处个人信息泄露问题，只能配合公安部门调查取证。最终，法院以不构成“情节严重”驳回了考生的诉讼请求。

　　《刑法》第二百五十三条明确规定，“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金。”“窃取或者以其他方法非法获取上述信息，情节严重的，依照前款的规定处罚。”

　　有律师指出，“现在最关键的是，对‘情节严重’如何认定、公安机关能不能立案、法院该不该审理，都存在模糊认识，诈骗事实发生了肯定是‘情节严重’，但是频繁的骚扰算不算，谁也说不清楚。难道等恶果酿成才叫‘情节严重’？”

　　骗子获取个人信息都涉嫌违法

　　到底怎样才能堵上信息泄露的暗门

　　“发生学生及家庭信息泄露，从学校到教育主管部门都可能有责任，即使构不成法律意义的‘情节严重’，公安、法院不介入，行政监督、纪检监察也应当介入。”有学生家长表示。

　　有关人士认为，保护个人隐私需要各相关部门主动作为。“现在运营商不积极主动担责，警方也说‘情节不够严重’，那么到底怎样才能让个人信息的暗门在第一时间被堵上？”

　　一般说来，骗子获取个人信息的方式主要有两种：利用黑客技术或高价收买，后者是主要方式。而不管哪种方式，都涉嫌违法。相关法律明确，任何人或机构不得以公民个人信息进行非法营利，否则就会构成犯罪。

　　一些受访法律界人士认为，遏制电信诈骗，并非无法可依。如果相关部门能及时介入，严肃查处，水落石出并非天大难事。关键在于职能部门能否担当起来，做到违法必究，执法必严，“针对个人隐私泄露，要发现一起，查处一起。”

　　(信息来源：长江日报、嘉兴电视台、新华社、新京报、工人日报)

　　官方声音

　　北京上亿条公民个人信息遭泄露中消协呼吁有效保障信息安全

　　近年来，短信、电话、互联网等信息骚扰已成为全民公敌，由此导致的公民个人信息泄露情况相当严重。据统计，仅北京地区法院确认的2010年至2016年公民个人信息被泄露就超过1.6亿条。对此，中消协公开表态，经营者必须有效保障消费者个人信息安全，通讯运营商必须严格落实实名制登记，加强对利用通讯服务实施骚扰和诈骗行为的监控，建立不良号码“黑名单”，对问题多发、未尽到审查和保障责任的网点、平台及从业人员要严肃问责。

　　中消协指出，通讯运营商必须严格落实实名制登记，在强化消费者个人信息保护的同时，加强对利用通讯服务实施骚扰和诈骗行为的监控。通讯运营商要升级和创新安全技术手段，畅通消费者对异常号码、号码段、信号源的投诉举报渠道，建立不良号码“黑名单”，并及时有效告知消费者。通讯运营商要加强“源头”管理，做好实名登记，落实审查责任，完善消费者个人信息安全保障措施，对问题多发、未尽到审查和保障责任的网点、平台及从业人员要严肃问责。

　　中消协呼吁，政府及有关部门要加强联动协作，强化个人信息保护力度，形成打击通讯诈骗的强大合力。立法部门要加快推进个人信息保护立法，加强对消费者个人信息的制度保护。工信部门要依法严查各类“伪基站”“钓鱼网站”等非法信息源，采取有效的技术措施，消除骚扰诈骗类信息的传播渠道。公安部门要加大对通讯诈骗案件的打击力度，加强与政府有关部门和社会组织的协调和联动，建立和完善应对通讯诈骗的防控体系，让通讯诈骗无处可使、无地可容。

　　中消协提醒，全社会要加强个人信息安全教育，提高消费者风险防范意识和自我保护能力。整治和预防通讯诈骗离不开全社会的共同努力。希望广大消费者，不要随意点击短信中、网页里的链接或浮动弹窗，不要轻易将个人敏感信息(如身份证号、银行卡号、家庭住址等)提供给他人，更不要轻易输入动态验证码或转告他人，守住个人信息和财产的安全防线。据法制日报

　　人民银行等六部门

　　联合整治非法买卖银行卡信息

　　记者12日从中国人民银行获悉，为保护银行卡持卡人合法权益，人民银行等六部门近日发布通知，决定于2016年9月至2017年4月在全国范围内开展联合整治非法买卖银行卡信息专项行动。

　　人民银行有关负责人表示，近年来，银行卡作为方便、快捷的非现金支付工具被社会公众广泛接受并运用于日常生活中。2015年我国银行卡欺诈率为1.99BP(每万元中发生的欺诈金额占比)，远低于国际平均水平。银行卡风险总体可控，但安全问题依然不容忽视。不法分子通过电信技术、黑客技术和改造银行卡收单受理终端等手段，窃取银行卡信息进而盗取卡内资金的违法犯罪活动日益猖獗，对社会公众利益和金融体系安全造成了严重威胁。

　　据介绍，专项行动将采取六方面的行动：破获一批非法买卖银行卡信息的犯罪案件；集中整治用于非法采集银行卡信息的钓鱼网站、恶意程序(APP)；检查银行、支付机构、银行卡清算机构的账户信息保护内控管理措施和支付业务系统安全性，排查存放大量公民个人信息的互联网站和重点行业、单位和企业的信息保护制度和系统的风险漏洞；组织开展对银行和支付机构布放的POS机具的安全性和标准符合性检查；依法关停一批发布银行卡信息非法买卖交易的网站和网络账号；加强社会公众安全使用银行卡的宣传教育。

　　人民银行有关负责人表示，社会公众在日常生活中应当加强对银行卡信息的保护，包括妥善保管好自己的身份证件、银行卡、网银U盾、手机；开通银行账户变动短信提醒；不随意丢弃银行卡刷卡消费或使用ATM设备的交易凭条；不轻易向外透露身份证件号码、账号、卡片信息；不轻信、不回拨收到的异常信息或电话；谨防木马病毒；妥善设置银行卡密码；使用资金额较少的银行卡或开立个人Ⅱ类、Ⅲ类户专门用于办理网络支付；将银行卡磁条卡更换为芯片卡等。

　　据新华社

　　各方评论

　　不能再以个体生命为电信诈骗埋单

　　包括19岁的熊超在内的四名犯罪嫌疑人于8月26日夜被抓获，山东临沂罗庄徐玉玉被骗案主要犯罪嫌疑人已经缉拿归案，但徐父“抓住了骗子就能让更多的孩子不再受骗”的淳朴愿望真的可以成真吗？

　　舆论力量的推动和有关部门的全力处置大大加速了徐玉玉一案的破获，但不得不承认的是，不是每一个受骗的人都可以借力舆论，不是每一次被骗的金额都足以立案定罪，也不是每一次诈骗破案都会得到社会如此高的关注。

　　生命逝去的背后，是一个亟须多部门合力整治的“陈年旧疾”。避免类似徐玉玉悲剧重演，不仅需要加强公众的防范意识，监管机构更责无旁贷。

　　首先，在“裸奔”的信息社会，公民信息安全保护和监管工作必须启动问责机制。今年上半年，全国共破获电信网络诈骗案件5.7万起，是去年同期的2.5倍；查处违法犯罪人员2.8万名，是去年同期的2.7倍，但在这些案件中可以发现，依然存在不法分子的“数据黑色交易”，也有数据维护者的监守自盗，如果任由携带个人特质的信息片段，随意被公开、买卖，那么受骗悲剧仍将继续发生。

　　其次，通信业主管部门、电信运营商和虚拟运营商须尽可能从技术角度杜绝诈骗电话存在。实名制落实不力、运营商态度不明、相关监管措施不力，电信诈骗的多发已让通信业走到了不得不理清头绪、查堵漏洞的关口。在已曝光的电信诈骗犯罪中，实名制这道“马奇诺防线”却常常被绕过，这也暴露出其技术上的薄弱。人们不禁疑问，在科技如此发达、通讯技术产品屡屡出口国外的今日，防堵电信诈骗的技术为何如此经不起考验？

　　沉疴用猛药，治乱需重典。对于外漏的公民个人信息，一旦流到非法市场，将会给当事人带来无法估量的严重后果。有关专家指出，据对以往判决的分析，侵犯公民个人信息犯罪的量刑在实操中过于宽松，已不适应日益猖獗的个人信息犯罪。

　　相关职能部门不仅要在类似重大舆情案件面前挥出重拳，更要在日常为老百姓构建一道安全可靠的防火墙，真正把每一个公民的生命财产安全放在心上。

　　据新华社

　　打击个人信息泄露

　　须用好现有法律

　　对于个人信息泄露，还需回归到治本之策上来：一方面，一些公益组织可以提起公益诉讼，为个人撑腰；另一方面，个人信息保护法也应提上议程，让惩戒更加可具操作性。

　　网络时代，个人信息安全越发让人感到不安。中消协近日发布《2014年度消费者个人信息网络安全报告》，结果显示约有三分之二的受访消费者过去一年里遭遇过个人信息被泄露或窃取。

　　众所周知，信息泄露本身，便是对公众权益的一种侵害。倘若法律还不能及时亮剑，很好地保护公众的权益，难免会形成公众不希望看到的“破窗效应”：看到有破窗的房子，人人都会扔块砖头。这便是说，一旦泄露他人信息者无需承担过重的责任，那么一些意图不轨的工作人员，如银行职员、互联网信息部门的职员、售楼小姐、销售人员等，便会公然地泄露甚至贩卖他人的个人信息。这般忧虑，早有现实进行了佐证。

　　就现实而言，虽然个人信息保护法暂时没有出台，但并不意味着对个人信息泄露的处罚处于监管的盲区。众所周知，早在2009年，我国便修订了刑法，其中明确了出售、非法提供公民个人信息罪、非法获取公民个人信息罪这两项新罪——国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，情节严重的，构成犯罪。遗憾的是，法律有了，执行力却不够，遭遇信息泄露只有少数人去维权便是最为真切的注脚。

　　在这样的现实境况下，我们不能责怪公众不去维权，毕竟，“防范难、举证难、索赔难”这三座大山是他们很难通过个体力量绕过去的。如今，在打击个人信息泄露上，又有过于依赖媒体造势的嫌疑，这样的方法短期或能奏效，但并非治本之策，因为媒体的关注度总有消散的一天。因而，对于个人信息泄露，还需回归到治本之策上来：一方面，一些公益组织可以提起公益诉讼，为个人撑腰；另一方面，个人信息保护法的确应尽早提上议程，让惩戒更加具法律上的操作性。

　　据法制日报