130萬考研者信息被叫賣 專家吁出臺信息保護法

• 2025考研復試標準班
• 26考研全科上岸規劃營「擇校▪規劃▪備考」
• 2026考研專業課復習資料「真題▪筆記▪講義▪題庫」

“2014年12月份研究生名單，要得M(私密聊天)”“去年只有55萬條，這次總共130萬條”“15000元打包賣，單賣1條信息1毛錢”……

距離今年考研還有一個月左右的時間，有人開始在QQ群中叫賣考研學生的個人信息。

2014年已經步入尾聲，今年以來備受關注的信息安全問題，未來依舊是重頭戲。

130萬考研信息15000賣

“數據包一共有130萬條信息，全部是今年報名參加考研的學生，覆蓋全國范圍。打包賣15000元，這已經是轉手幾次的價格了，要是獨家賣的話，肯定不是這個價。”考研信息賣家在群中這樣介紹。

為了證明數據庫中數據的真實性，考研信息“賣家”貼出了部分考研學生信息的截圖。從截圖中可以看到，除了考生姓名、性別外，能夠買到的信息還包括手機號碼、座機號碼、身份證號、家庭住址、郵編、學校、報考專業等敏感信息，非常詳細。至于這些信息是從何而來，賣家并不愿多說。

近期網上有關考研信息泄露的消息引發關注后，有人將矛頭指向了中國高等教育學生信息網(以下簡稱“學信網”)，認為只有學信網才能擁有如此詳細的考生信息。

據了解，學信網是由教育部下屬的全國高等學校學生信息咨詢與就業指導中心主辦，接入了集高校招生、學籍學歷、畢業生就業和全國高校學生資助信息一體化的大型數據倉庫。

法治周末記者致電學信網客服，詢問了有關考研學生信息泄露的相關情況。客服人員表示：“確實看到有相關報道反映此事，學信網對此事也正在核實中。學信網對外不會泄漏考生的個人信息，官方目前對此也沒有相關消息公布，建議您以教育部官方的告知為準。”

盡管目前泄露信息的來源并無準確消息，但這些信息的泄露確實為部分考生造成了現實的困擾。

“從泄露的考研信息中，可以知道相關考生的聯系方式，報考的城市、學校、專業等資料。根據這些資料，不法分子可以利用來進行精準營銷、推送有針對性得到廣告，比如針對不同城市、特定學校和專業的考驗培訓班、復習資料等。更有甚者，還有人會提供代考、假文憑等違法犯罪活動。”重慶大學法學院教授齊愛民說。

“我驗證過賣家提供的一些考生信息，打電話過去后，對方確實是今年正在準備考研的考生。這些考生反映，已經接到了非常多的騷擾電話，都是賣考研資料、推銷考研培訓的。”一名長期接觸信息販賣黑色產業的互聯網安全工作人員李樂(化名)表示，“這些考生也很疑惑，為什么打騷擾電話來的人非常清楚他們的報考學校和專業？這些信息他們很少對外人說。實際上，他們的這些詳細資料，早就在網上被轉手賣了好幾次了。”

庖丁解牛般的信息解構

中國政法大學副教授朱巍告訴法治周末記者，網絡個人信息分為三種大類型，一是身份信息，即用戶姓名、聯系方式、住址、IP地址、銀行卡號等；二是注冊信息，即用戶在使用網絡服務時依據服務或產品類型，按照“網民協議”提交網站的除身份信息外的其他資料；三是行為信息，即用戶網絡所有行為的數據。

“近年來，涉及泄密的信息大都是第一類信息和第二類信息，第三類數據是大數據范圍，一般不在泄露之列。這些數據被廣泛使用在特性化服務、精準營銷、針對性廣告、商業性推薦等方面。”朱巍說。

金山毒霸反病毒工程師李鐵軍表示，網民只要在網絡上使用過相關服務，都會在網上留下相關信息，一旦泄漏出去就會非常麻煩：“舉個例子，有網上購物習慣的網民，身份證號、手機號、銀行卡號這些信息在網上都會留存。當信息泄露達到一定程度的時候，不法分子就可以利用網上泄露的這些信息、運用技術手段去將銀行卡關聯的手機號更改，進而通過一系列驗證程序，盜取銀行卡上的錢財。”

齊愛民介紹，看似簡單的個人信息，實際上能夠反映很多內容，比如一個人的經濟階層、消費能力、消費習慣、消費偏好等；數據公司能夠對個人信息進行分析、解構，如同庖丁解牛一般，利用個人信息將一個人“定位”，進而結合其聯系方式，被各種利用。

“從商業利用的角度上看，各類營銷機構會利用這些信息開展營銷活動，從而對信息所有者造成騷擾，比如收到各種信息、電話、郵件，打擾生活的安寧。”齊愛民說，“而更嚴重的影響，在于一旦這些泄露的信息被犯罪分子掌握，就會威脅到信息所有者的人身財產安全，比如因信息泄露而誘發的詐騙、勒索、強奸、綁架案件，在當下都已經不算是新聞了。”

信息泄露存在行業差別

130萬考研信息的泄露，只是當下信息安全問題的一個縮影。在國內最大的漏洞發布平臺烏云網上，法治周末記者發現，涉及用戶信息泄露的相關報告非常多；最近比較引人關注的，還有智聯招聘86萬份簡歷信息泄露、東方航空公司大量用戶訂單信息泄露等。

為何當下信息泄露事件頻發？

朱巍認為，用戶個人信息的泄密原因主要在于三點：“首先，技術性原因，網站作為信息儲存者在安全防護技術上存在漏洞；其次，制度上原因，網站缺乏對用戶信息保存有效監管制度，缺乏應急機制，內部人員管理存在混亂；最后，法律上的原因，我國仍沒有個人信息保護法，現有其他法律規定過于抽象，缺少對大數據背景下個人信息保護的針對性規定，缺乏數據合理使用范圍界定。同時，現行法律對侵害個人信息處罰力度過低，違法成本小于違法收益。”

李鐵軍表示，還有一個很重要的原因在于，民眾自己保護個人信息的意識不強，很多信息都是網民自己泄露出去的：“非常多的網民不太關注個人信息保護，一個不好的習慣就是，在網上遇到填表的時候，一股腦全部填入自己的個人真實信息，完全沒有防范意識。”

而從另一個角度，在李鐵軍看來，信息泄露的安全風險，在傳統行業與互聯網行業之間，存在著明顯的行業性差別：“中國的互聯網企業，在經歷一些安全事件之后，安全意識提高了一些；但是傳統企業在接觸互聯網時、在企業的互聯網化過程中，往往將互聯網僅當作一種發揮作用的工具，卻忽視了互聯網上的安全風險。這與傳統企業在接觸網絡時的安全防范經驗不足、意識不足有關。”

齊愛民坦言，我國信息泄漏事件層出不窮，確實是我國當下的一大信息安全問題；但我們也應當認識到，即便是再發達的國家、再先進的軟硬件水平，都存在信息泄露的風險，“美國、英國、德國等西方發達國家，也經常會曝出信息泄露事件，很多時候是由于黑客入侵造成的”。

個人信息保護法出臺迫在眉睫

無論信息泄露的原因是什么，都會造成一定危害。除了上文提到的對信息所有者的影響外，在齊愛民看來，信息泄露事件的發生，對于相關企業也存在著負面影響。

“信息泄露事件對于企業的信譽影響很大，任何一個單位都不愿意被曝出信息大量泄露；特別是對于互聯網公司來說，這可謂是一個命門。”齊愛民表示。

如何防范信息安全風險？齊愛民認為，從公民、企業、國家三個層面，都應當有所作為。

在齊愛民看來，公民個人的意思和行為規范不斷提高，是防范信息泄露的第一道閥門：“任何一個社會中，個人權利的保障首先在于自己。如果自己的保護意識和手段都不夠，如何僅僅依靠外部力量來實現個人信息的保護呢？這是不現實的。因此，公民應當盡量避免盲目對外提供個人的真實信息，從自身開始提高意識、注意風險。”

而從企業層面上，齊愛民認為，企業應該提供符合行業通行標準的安全措施，并且對于信息的存儲、提供、傳輸等方面建立信息倫理制度：“簡單來說，就是什么人能夠接觸什么這些信息，能接觸多少信息，通過什么制度信息才能對外提供，能夠提供給什么人，都需要企業內部完善相應的規章制度。另外，企業也可以考慮采取合同的方式，對能夠接觸到這些信息的員工進行約束，在發生違規情況時進行懲處。”

齊愛民還提到，應當考慮建立互聯網信息安全協會，讓互聯網公司在我國相應立法沒有出臺之前，通過行業自律設立業界通行的安全標準，對相關網站信息安全的各項指標(軟硬件功能、信息倫理制度、操作規程、合同規范等方面)進行認證，從而讓網民能夠選擇信任的公司去接受服務。

“從國家層面上來說，個人信息保護法的推出時不我待、刻不容緩，沒有法律對個人信息保護明確標準、對個人信息泄露行為苛以責任，保護力度就永遠跟不上。比如以法律的形式明確企業應當履行的信息保護安全措施標準后，就可以以此來衡量企業是否盡到相應義務、是否應當對發生的信息泄露事件承擔責任。如果企業已經盡到義務、存儲信息的服務器依然被黑客攻破而導致信息泄露，這個責任就應當由非法入侵者承擔。”齊愛民說。

李鐵軍表示，面對當前的環境，企業應當增加在信息系統有關網絡信息安全防范的投入，建立專門的安全團隊；如果自身缺乏相關的專業人員來維護，就應當將網絡安全維護外包給專業的安全公司去做。

“最后，還需要對普通網民提個醒：在上網過程中，除了使用賬戶名、密碼來驗證身份外，盡量增加動態密碼的驗證過程，即采取兩步驗證措施，這樣上網的安全性會提升很多；另外，很多網民雖然在不同網站上有不同賬號，但往往都使用同一個密碼，一旦發生信息泄露，就有可能導致與其關聯的所有賬號被盜的風險。網民應當避免這種重復使用密碼的情況發生。”李鐵軍說。