02
专家:企业等单位应设定并实施数据合规制度
关于马某某获取学校内网数据的途径,目前尚不清楚。而在以往案例中,不少犯罪分子是借着"职务之便",获取大量学生个人信息。52份裁判文书中,至少有1/3都是此类情况。
多个案例都告诉我们,学生信息泄露的漏洞往往在于接触到数据的员工。
而学生个人信息泄露的责任通常归咎于个体,不会落到公司头上。在52份相关文书中,仅有两例是公司需要为个人信息泄露负责,而其他50例都是由个体来承担责任。
一份判定公司违法的文书提到,某教育咨询公司法定代表人从网上购买了27万余条学生信息,并雇佣他人使用这些信息,以打电话、上门免费授课等方式推销教育软件。该公司借此获利至少六万元。最终法院判定该公司及其负责人犯侵犯公民个人信息罪,并合计处以14万元的罚金。
"数据安全法和个人信息保护法等法律法规都对运营单位赋予了必要的法定义务。"浙江垦丁律师事务所创始合伙人麻策说,企业等单位应当在内部制定并实施数据合规制度,采取必要组织和安全权限措施,比如设置信息安全部门,指定个人信息保护负责人。此外,企业等单位也应当培养员工的数据合规意识,明确违规红线,以此来隔绝或减少员工的犯罪牵连概率。
在大规模信息泄露事件中,麻策建议用户直接报警,尤其是当个人信息仍持续面临扩大化泄露风险的情况下,而企业等单位也有义务通知用户,"目前鲜有企业会实施通告,这无疑会影响用户采取保护措施的时机"。
