近日，“人大毕业生泄露全校学生个人信息”一事引发热议。有网友爆料称，中国人民大学某毕业生在校期间盗取学校内网数据，在网站上发布全校学生照片、姓名、学号、籍贯、生日等个人隐私信息并进行颜值打分。7月3日，据北京海淀公安分局官方消息，嫌疑人马某某涉嫌非法获取该校部分学生个人信息等违法犯罪行为，已被刑事拘留。

(资料图片)

多位法律专家告诉南都记者，从目前情况看，马某某可能主要涉及两项罪名。一是根据《刑法》，涉嫌非法获取计算机信息系统数据、非法控制计算机信息系统罪；二是侵犯公民个人信息罪。根据情节严重与否，马某某可能面临三至七年有期徒刑或拘役，并处罚金等。

另外，专家建议网友，谨慎使用“颜值检测”等需要上传读取人脸信息的相关软件，尽量选择大平台下载的正规软件，查看其用户协议等了解其人脸信息的存储、删除规定。

人大毕业生窃取发布学生信息进行颜值打分

首先回顾一下事情经过。7月1日，有网友爆料称，中国人民大学（以下简称“人民大学”）某硕士毕业生在校期间利用专业技术盗取学校内网数据，收集全校学生个人隐私信息，包括照片、姓名、学号、籍贯、生日等，公开发布在网站上进行颜值打分。目前，该网站已无法进入。

7月2日，中国人民大学发布情况通报称，学校已关注到部分学生信息被非法获取的情况，对此高度重视，第一时间联系警方，目前正积极配合警方等相关部门开展调查。学校强烈谴责侵犯个人隐私、危害信息安全的行为。

7月3日，据北京海淀公安分局官方消息，嫌疑人马某某（男，25岁，该校毕业生）涉嫌非法获取该校部分学生个人信息等违法犯罪行为。目前，马某某已被海淀公安分局依法刑事拘留，案件正在进一步调查中。警方高度重视公民个人信息保护，对于相关违法犯罪，将依法予以严厉打击。

据多家媒体报道，马某某曾在个人社交账号上发布动态公开此事。网传截图显示，该动态发布于2020年10月。南都记者查询疑似马某某的社交账号时发现，目前这些账号上的相关内容已被清空，发送私信无回应。

嫌疑人或面临3至7年有期徒刑或拘役

此事一经爆出便备受关注，短短几天内相关词条频繁登上微博热搜。其中最受关注的问题是：马某某存在哪些违法犯罪行为？可能要承担什么法律责任？

北京网络行业协会法律委员会副主任、北京京师律师事务所律师王琮玮分析，根据目前情况，马某某可能面临多方面的刑事责任。

一是根据《刑法》，马某某获取学校内网数据的行为涉嫌构成非法获取计算机信息系统数据罪。二是如果人民大学的计算机信息系统被认定为国家事务、国防建设、尖端科学技术领域的计算机信息系统，而马某某通过违法手段入侵，则涉嫌构成非法侵入计算机信息系统罪。三是如果马某某没有权限或超越权限，通过破解保护口令等非法方式入侵学校计算机系统，还涉嫌破坏计算机信息系统罪。

不仅如此，据网传消息，马某某收集发布的学生个人信息数量庞大，无疑还会构成侵犯公民个人信息罪。

北京高勤律师事务所合伙人王源指出，马某某可能主要涉及两项罪名。一是非法获取计算机信息系统数据、非法控制计算机信息系统罪；二是侵犯公民个人信息罪。根据情节严重与否，马某某可能面临三至七年有期徒刑或拘役，并处罚金等。

网友对马某某行为表达不满的同时，也有不少人对人民大学的数据管理提出质疑。7月3日，南都记者尝试致电人民大学，未成功接通。

王琮玮表示，我国《网络安全法》《个人信息保护法》都要求个人信息持有者或网络服务提供者采取技术措施、管理措施等保证个人信息安全、数据安全。一方面，如果马某某被证实是采取了黑客攻击、暴力破解等手段攻破了学校的安全防护措施从而获得数据，则人民大学学生信息存储系统的安全防护工作可能存在疏漏，学校应承担一定责任。

另一方面，如果人民大学曾授予马某某对被获取数据的管辖权限，而马某某超越权限非法获取并使用其管理的信息数据，那么这种行为涉嫌构成犯罪的同时，人民大学作为承担管理职责的一方，其授权的主体没有尽到应有的管理或注意义务，也应为个人信息泄露负责。

王源表示，由于暂无证据显示已造成严重后果，人民大学在此事件中应该不会涉嫌刑事犯罪，但可能面临治安处罚或被主管部门点名通报批评等。

值得一提的是，据报道，有网友指认马某某现就职于腾讯公司，其曾发表过多篇学术论文，并拿到过腾讯、阿里、百度、字节等诸多头部公司的录用通知。

对此王源表示，企业在为算法、人工智能、深度合成等关键岗位进行招聘时，需加大对应聘者背景调查的力度和范围，“比如是否受过治安管理处分，通过公开信息搜寻应聘者是否有涉嫌违法犯罪的行为等。”另外，企业可以在劳动合同中约定和员工守则中规定，即使未构成刑事犯罪或治安处罚，但若造成了重大数据泄露事件等，也属于违反公司规章制度情形，有权解除劳动合同。

慎用“颜值检测”类软件，关注使用说明

据了解，马某某在校期间盗取全校学生照片等个人信息，分门别类制作成“颜值排行榜”发布在其搭建的颜值打分网站上。

南都记者注意到，类似“颜值检测”“肤质测试”“人像美化”等需要使用者上传照片进行扫描检测的App或网站近年来并不鲜见，主要涉及美容护肤、图片美化等领域。不过，有些软件打着“检测”的幌子，实为窃取人脸信息。

2021年，上海市奉贤区人民法院审理了一起侵犯公民个人信息罪刑事附带民事公益诉讼案。被告人制作一款“颜值检测”软件供人免费下载，实际上软件无检测功能，只为盗取个人信息。该软件非法获取安装者相册照片共计1751张，其中部分照片含有人脸信息、自然人姓名、身份证号码、联系方式、家庭住址等100余条公民个人信息。最终法院判处被告有期徒刑三年，处罚金人民币一万元。

那么，该如何看待此类“人脸检测”软件？用户在使用时需要注意什么？

王源认为可以分成三种情况讨论。一是软件在获取个人明确同意的情况下，利用用户照片进行分析等，此类经营模式是合理的。二是软件在未能对用户进行明确告知的情况下，通过诱导、欺骗手段收集用户人脸信息，可能涉嫌违法。三是类似于此次“人大事件”，即未经个人同意，使用个人信息的范围超出了收集目的，比如盗窃大量个人信息进行模型训练等，同样涉嫌违法。

王琮玮建议，在使用这类软件时需注意三个方面。首先，人脸等生物识别技术已广泛应用于支付、安防、金融、医疗等场景，直接关系个人的隐私及财产安全，用户需衡量使用这类软件是否必要。其次，用户应对使用后可能产生的后果进行风险评估。此外，用户应尽量选择大平台下载的正规软件，其安全防护措施相对完善，风险较低。

同时，“用户在上传人脸信息时，还应多关注用户协议、隐私政策中是否有相关说明。比如是否在完成一次测试后，软件就会及时删除数据等。如果没有相关说明，我倾向于不要使用这些应用并上传自己的敏感个人信息。”她说。

采写：南都记者樊文扬