7月3日,北京市公安局海淀区公安分局官方微博账号发布消息称,针对“中国人民大学部分学生信息被非法获取”的情况,海淀警方接到报警后,立即开展调查。经查,嫌疑人马某某(男,25岁,该校毕业生)涉嫌非法获取该校部分学生个人信息等违法犯罪行为。目前,马某某已被海淀公安分局依法刑事拘留,案件正在进一步调查中。
据媒体报道显示,马某某窃取人民大学学生信息主要是为在其创建网站上对学生颜值进行“打分”。不少人记起,FaceBook(脸书)创始人扎克伯格大学时间也有过类似操作。这种行为到底犯了哪些法?
马某某此举可涉几宗罪?
据相关媒体报道,马某某在中国人民大学读硕士研究生期间,利用专业技术盗取全校学生个人信息,包括照片、姓名、学号、籍贯、生日等,并搭建了给学校学生颜值打分的网站。有网络截图显示,该生还曾在个人社交账号上发布动态炫耀此事。该动态发布于2020年10月,但目前其社交账号上相关内容已经清空。
有网友提出,扎克伯格大学时期亦窃取了母校哈佛的学生信息进行形象测评,却只受到学校处分。但分析认为,扎克伯格的行为发生在20多年前的美国,彼时信息数据的价值和体量与现在无法相比,信息流失后带来的后果严重程度也不可同日而语。
从事网络安全研究和应用的高级工程师、中科锐眼(天津)科技有限公司总工程师赵洪宇接受中新社国是直通车采访时表示,用类似“蠕虫”等软件病毒侵入人民大学网络系统,不仅导致大量个人信息泄露这一严重后果,这种木马病毒还有失控可能,如果导致系统瘫痪、崩溃甚至涉密的高科数据、成果泄漏,其危害不堪设想。
我国刑法典对此类违法行为有明确界定。根据目前的公开信息,马某某在该事件中涉嫌违法的行为有以下三个:
一、利用疑似“蠕虫”等木马病毒的工具,窃取了人民大学系统内的个人信息;
二、将非法获取的信息发布在网络上;
三、对信息中涉及的个人照片进行颜值“评价”。
刑事专家、首都师范大学法律系教授、北京市冠衡律师事务所兼职律师肖怡接受中新社国是直通车采访时表示:
侵入计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,则有非法侵入计算机信息系统罪或者非法获取计算机信息系统数据罪的可能。
一般情况下,以上罪名因为是同一行为而有触犯多个罪名的可能,按照想象竞合原则,一般是择一重罪,即符合多个罪名要件的犯罪行为按照所构成罪名中刑罚最重罪名来认定。
肖怡还表示,故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的——比如在犯罪实施过程中,因为使用病毒等工具手段或故意对系统、数据等进行损害,造成系统“瘫痪”或重要数据被篡改、丢失等严重后果的,则存在构成量刑更重的破坏计算机信息系统罪的风险,即处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。该行为与侵犯公民个人信息的行为属于不同行为,一般会数罪并罚。
至于马某某对他人“颜值”进行测评是否构成侮辱罪,肖怡认为,如果完整公开了他人可以形成有效身份辨识的照片、信息,并对他人颜值等进行带有“诋毁”“讽刺”“侮辱”性质的所谓“测评”,导致受害人名誉等受损,情节严重的,除构成上述前两款罪名,还有构成侮辱罪的风险。这是在非法获取并提供信息之外的另一个行为,大概率会数罪并罚。
如何防止数据信息被盗?
相关报道显示,马某某非法获取人民大学网络系统内信息的行为是在2020年左右甚至更早就已经完成,在近期才被网络曝出而被关注。
赵洪宇表示,网络安全法、数据安全法、个人信息保护法三部网络数据安全领域基础性法律的颁布和实施,标志着数字应用、数据发展进入新阶段,而高校作为国家基础科研领域的核心,更应建立以个人信息保护和数据为中心的安全保障体系。
赵洪宇说,网络数据处理者应当在网络安全等级保护制度的基础上,履行数据安全保护义务,开展数据分类分级保护工作,建立重要数据保护目录,打造网络数据安全监测预警体系,构建精准的网络数据安全管理及风险防控措施,防止个人信息和高校数据滥用。
一是应加快数据安全管理能力体系建设,构建数据安全保护的“度量衡”,通过建章立制完善网络数据安全管理组织及各业务部门的责任分工,逐步形成管理办法、规范要求、实施指南等一套数据安全制度体系,加强各组织沟通协作,提高数据安全综合管理水平。
二是厘清重要信息系统的网络数据处理活动情况,摸清“数据安全家底”形成数据资产保护目录,建立数据资产安全保护清单,夯实工作基础。
三是以数据资产为核心,探索形成一套网络数据安全风险监测预警体系,形成对重要信息系统开展收集、存储、使用、加工、传输、提供、公开等数据生命周期安全监测预警能力,实现对数据的异常操作使用、未授权访问、异常账户使用、异常接口调用,以及个人敏感信息传输、数据跨境流动等的安全风险监测能力,防范化解重大网络数据安全风险,遏制重大网络数据安全事件。
“没有网络安全,就没有国家安全”,赵洪宇认为,维护网络安全不仅需要相关责任单位在依法履责前提下,进一步做好监测防护、科学处置等网络安全保护工作。对于高端网络技术人才的遴选与培养,也需要注重“德才兼备”。