论高考生电子档案数据的安全保护
——以“徐玉玉”案为例

袁 野

（中国刑事警察学院, 辽宁 沈阳 110854）

高考考生电子档案作为高校录取新生、新生入学资格审查、招生录取工作备查等方面的主要依据，包含考生大量的个人真实信息，比如姓名、身份证号码、住址、电话号码、电子邮箱等。2016年8月21日，山东准大学生徐玉玉因其个人的高考电子档案信息泄露被骗9900元学费，报警回家途中突然昏迷，后虽经医院全力抢救，但仍不幸离世。

一、徐案简述

2016年8月21日徐玉玉案发生，2017年2月28日，该案经临沂公安机关依法侦查终结后移送检察院审查起诉；4月17日，检察院向临沂市中级人民法院提起公诉；2016年7月19日，“徐玉玉被电信诈骗案”一审公开宣判，主犯陈文辉犯诈骗罪和侵犯公民个人信息罪，其余六名被告犯诈骗罪；8月24日，另案处理的杜天禹侵犯公民个人信息一案公开审理并当庭宣判，其罪名为非法侵犯公民个人信息。2018年2月，“徐玉玉”案当选为2017年推动法治进程十大案件之首①搜狗百科.2017年推动法治进程十大案件[EB/OL].http://baike.sogou.com/v167251471.htm?fromTitle=2017年推动法治进程十大案件，2021-4-24.。

二、徐案暴露出的与个人信息安全有关的问题

1.个人信息被非法窃取。据罪犯杜某描述，他当时浏览了一遍“山东省2016高考网上报名信息系统”这个网站，凭经验觉得这个网站可能存在系统漏洞，经过简单测试后发现该网站确实存在安全漏洞，于是上传一个木马获取到该网站的权限，将60多万条考生的个人信息下载,许多高考考生的电子档案，其中包括徐玉玉申请助学金的信息资料就这样被轻易窃取。

2.个人信息被批量倒卖。在徐案发生前后，罪犯陈某从杜某手里以5角钱一条的价格购买第一批考生信息后，先后又有十多次在互联网上非法购买了总计数万条的考生个人信息，信息内容包括姓名、学校、家庭住址和联系电话等。而罪犯陈某之所以选择以学生信息为目标是因为学生的个人信息最便宜、成本最低。

3.个人信息泄露造成的后果严重。徐玉玉给罪犯陈某汇过去的9900元学费，差不多是她3年高中生活费的总和，也是父亲辛苦几个月的工资。一个打到徐玉玉母亲手机上的诈骗电话，不仅将徐玉玉的学费全部骗光，也骗走了这个准大学生的年轻生命；徐玉玉在8月19日的报案回家途中，因为伤心过度，引发心脏骤停而昏迷不醒，虽经医院全力抢救，但最终还是不幸离世[1]。财产损失暂且按下不表，就徐玉玉的家庭而言，她的父母白发人送黑发人，这一生都无法享受天伦之乐，这是无法用金钱抚慰的伤痛。一如徐玉玉的父亲说他的钱能追得回，可他的女儿玉玉却永远不会回来了。

三、高考生电子档案信息安全保护的现状

（一）当前承担信息保护的主要责任主体

省级相关部门发布的招生工作办法规定，有关考生的个人信息和在高校招生录取的各个阶段需要保密的工作信息，禁止任何单位及个人非法提供给他人和向社会公开，严禁非法传播与出售①关于印发《湖南省2017年普通高等学校招生工作实施办法》的通知[EB/OL]. http://xsc.gov.hnedu.cn/c/2017-05-26/8735 06.shtml，2020-11-26.。目前承担考生个人信息安全保护责任的主体主要有以下六类。

1.考生本人。考生本人登录采集报名信息的网站，进入网上采集系统，按照要求输入本人的基本信息（身份证上的信息除外）；考生要妥善保管好网站的登录密码，因考生本人告知他人密码或密码遗失或委托录入、填报等，造成的个人信息泄露、被篡改等后果由考生本人负责。

2.报名点（中学）。报名点（中学）的主要责任是组织管理本报名点内考生志愿的网上填报，并制定中学内部的工作方案和应急预案；登录招生考试信息管理系统，打印校对表供考生校对。设置本报名点内的网络管理员，专门负责考生网上填报志愿所需软硬件设施的配备安装、安全检查和故障维修等工作，并确保填报志愿期间的网络安全和畅通②关于印发《湖南省2019年普通高等学校招生考生电子档案信息采集方案》的通知[EB/OL].http://jyt.hunan.gov.cn/jyt/sjyt/hnsjyksy/ksytzgg/201905/t20190507_fc543383-8e45-405f-93eb-550daee0de52.html，2020-11-26。根据最新规定，为了强化信息安全，保障考生合法权益，报名点已不再统一采集考生的通信地址、收件人姓名和联系电话等敏感信息③湖南2018高考报名11月1日开始：考生须网上报名|湖南|高考|报名_新浪教育_新浪网[EB/OL].http://edu.sina.com.cn/gaokao/2017-10-18/doc-ifymviyp2182347.shtml，2020-11-26.。

3.市（州）和县（市）区招考机构。这两级招考机构的责任类似，只是管理的地区范围大小不一。其主要责任有以下几方面：第一，负责辖区范围内的网上志愿填报工作，制定相应的实施方案和应急预案，检查所辖地志愿填报场所的硬件设备和网络运行等情况，管理报名点（中学）或本单位等的工作人员登录网上志愿填报系统的权限；第二，统计考生的志愿填报信息，出现异常情况及时向上级招考机构汇报。同时还要对管理和维护电子档案的工作人员的权限进行严格划分，并要求有保密义务的人员不得擅自提供考生的电子档案信息给其他任何单位或个人④湖南2017年普通高等学校招生考生电子档案信息采集方案[EB/OL].http://gaokao.chsi.com.cn/gkxx/zc/ss/201705/20170516/1605058340.html，2020-09-16.。

4.省级招办。省级招生机构的主要责任是根据上级教育行政部门发布的招生信息标准、要求制定符合本省实际的考生信息采集办法，并建立相应的信息安全管理制度（全国各地具体情况具体分析），在此过程中主要负责做好以下两项工作。其一，组织采集信息的部门或单位仔细核对与校验已经采集好的考生个人信息，并进行汇总和整理；其二，保证考生的个人电子档案、纸介质表（卡）和相应的电子信息数据库内容的一致性、完整性、准确性和安全性，按照规定的电子格式建立本省（区、市）考生的电子档案信息库⑤360搜索.2021年普通高等学校招生工作规定[EB/OL].https://baike.baidu.com/item/2017年普通高等学校招生工作规定/20452861?fr=Aladdin，2017-07-26.。

5.电信业务经营者。首先依照国家法律法规的要求，电信用户使用电信网络传输的信息内容，电信业务者的经营者及其工作人员禁止擅自向其他单位或个人提供①《中华人民共和国电信条例》第六十六条第二款。；其次，电信业务经营者要按照国家和电信管理机构（省、自治区、直辖市通信管理局）的有关规定，设立相应的网络与信息安全管理岗位，配备专职的网络与信息安全管理员；第三，建立相应的制度保障网络的传播安全、监测违法违规信息和网络运行安全、保护用户的信息安全、处置网络突发事件等，并采取相应的技术措施保障制度的有效实施②《电信业务经营许可管理办法》第二十六条。。

6.公安机关。根据《中华人民共和国人民警察法》《中华人民共和国计算机信息系统安全保护条例》《企事业单位内部治安保卫条例》等法律法规的有关规定，指导监督企事业单位内部的保卫工作是公安机关的日常工作之一，相对于高考考生信息的保护而言，主要是指导监督相关单位内部的计算机信息系统的安全管理工作，检查、监督计算机信息系统安全保护工作，查处危害计算机信息系统安全的违法犯罪案（事）件及其他监督管理计算机信息系统安全的工作。因此，一旦有危害与高考招生相关的单位内部计算机信息系统安全的违法犯罪行为发生，公安机关都有义务预防、制止和惩治。

（二）当前保护考生个人信息安全的主要措施

在高考和招生录取期间，全国各地的各级招委以及开展招生录取工作的有关单位承担着对重要设备、信息系统和网站运行的24小时安全监控和监测工作；同步采取技术措施防止黑客病毒攻击、防止信息窃密和被篡改、防止网络瘫痪等问题的发生。及时发现和处理网络安全隐患、突发事件，并对考试数据做好备份③教育部关于做好2017年普通高校招生录取工作的通知[EB/OL]. http://www.moe.gov.cn/srcsite/A15/moe_776/s3258/201702/t20170224_297252.html，2020-08-31.。具体有以下三种主要的措施。

1.设定采集考生个人信息的方式。通过互联网，用分散与集中、平时与实时相结合的办法采集考生信息，制成相应的考生个人电子档案，由报名点（中学）、县（市、区）、市（州）、省四级单位分工负责；采用自下而上，逐级采集、分级汇总的管理模式对考生的电子档案信息予以安全管理。

2.规范计算机软硬件配置要求。基于网络的安全性考量，操作系统要求使用MicrosoftWindows系列操作系统，应用软件需要有InternetExplorer（版本须为6.0及以上）、VisualFoxPro数据库管理系统、防病毒软件等。此外，涉及高考考生信息的有关部门应严格按照要求配备、更新相应的设备设施，并做到专机专用。同时将可以防病毒攻击等的软件及时升级或更新，以保证设备使用的稳定性和安全性④湖南2017年普通高等学校招生考生电子档案信息采集方案[EB/OL].http://gaokao.chsi.com.cn/gkxx/zc/ss/201705/20170516/1605058340.html，2021-05-16.。

3.明确高考报名及招录过程中的管理责任。国家考试招生管理部门通过下发文件，严格要求各省教育行政部门、招生部门、考试机构和学校重视录取过程中的考生的个人信息安全，完善相关保密制度、强化保密设施、做好应急处置准备，落实好信息系统的安全等级保护要求。安全保护不仅要落实到信息生成、传输、存取等各个环节，还包括信息发布、志愿填报、网上录取等相关设备设施、应用系统等的安全管理与防护。同时，各地公安、工信及有关的考试招录机构应当整体联动、适时协调联合做好相关网络和信息系统的实时监测、研判等工作，认真落实24小时值班制度，发现问题在第一时间向本地上级招生部门通报或报告，并做到快速处置异常情况或不法攻击（如木马、病毒及黑客等）①教育部办公厅关于做好2017年全国普通高校招生录取工作的通知[EB/OL].http://www.moe.gov.cn/srcsite/A15/moe_776/s3258/201707/t20170710_309000.html，2020-10-11.。

四、引发徐案的原因分析

（一）单位网站有安全隐患

首先是网站自身建设不够完善，其次是建设后的防范措施不到位。360互联网安全中心发布的《2016年中国网站安全漏洞形势分析报告》显示，2016年补天平台收录备案的网站漏洞中，政府机关网站的漏洞数量占比为16.0%，从高危漏洞网站来看，政府机关的占比为41.7%②2016年中国网站安全漏洞形势分析报告[EB/OL].http://zt.360.cn/1101061855.php?dtid=1101062368&did=210133742，2021-01-05.。徐案中，据罪犯杜某描述，他只是凭经验觉得网站有漏洞，上传了一个木马程序就获得了大批个人信息。一个收录有许多高考生个人信息的政府网站，让人（并且不是专业黑客）觉得有漏洞，并且是真的有漏洞，该网站自身的防范水平可见一斑；另外，网站被木马病毒入侵之后，技术人员可有注意到，有没有采取相应防范和应对措施？在徐案中，我们只能看到大批的考生信息被人窃取和买卖。中国信息安全研究院的工作人员左某表示在建一个系统、开发一个应用的同时，要同步进行安全防护设施的部署，因为防御要面对的复杂风险比攻击大得多[2]，但实际上很多单位或机构都没有做到这一点，普遍存在的问题就是重建设轻安全管理③徐玉玉案信息泄露源头查明嫌疑人攻破山东高考报名系统[EB/OL].http://www.bjnews.com.cn/feature/2016/09/10/416471.html，2020-09-10.。徐玉玉案绝不是个案，现代社会建立在对个人信息非常广泛和深入的利用基础上，社会管理者和服务者必须获取当事人的全部或部分个人信息，否则民事主体就不能完全参与社会生活，但是，以牺牲个人隐私为代价的便利到底该如何选择依旧是未知数。

（二）犯罪成本低

2016年4月至9月，相关部门开展的打击整治侵犯公民个人信息的网络犯罪专项行动，先后破获了1200多起案件。3300多名犯罪嫌疑人被抓捕归案，其中包括银行、教育、快递等行业的工作人员270多名，网络黑客90多名，缴获的公民个人信息多达290亿条。这类违法行为高发的原因笔者认为有两点：首先是实施犯罪（非法获取个人信息）的物质成本低，在徐案中，罪犯杜某通过腾讯QQ、支付宝等工具在网上非法出售考生信息，仅仅是以五角钱一条的价格出售；其次是刑法打击的力度低，刑法第二百三十五条规定非法获取、向他人出售公民个人信息的，最高处3年到7年有期徒刑，并处罚金；第二百六十六条规定诈骗罪的最高刑是十年以上有期或无期徒刑，并处罚金或没收财产。通常犯罪分子非法获取的个人信息都用于实施电信网络诈骗等财产犯罪，假设公民的个人信息被成功地非法获取、买卖，但最后的电信诈骗却没有实施成功，那么诈骗罪是犯罪中止或者未遂，该诈骗犯罪就有可能减轻或不予处罚，最终就是以刑法第二百三十五条定罪量刑（假定只触犯这两个罪）。从该假设来看，受害人似乎没有损失，但其实只是没有财产损失，因为受害人的个人信息（如联系电话、家庭住址等）永远地落在了犯罪分子手里，但兜售这些个人信息的犯罪分子肯定不止卖给一个人，这之后的兜售行为导致的潜在危险又该如何化解？相比较诈骗罪而言，刑法对非法获取、向他人出售公民个人信息行为的处罚力度相对较轻。

（三）受害人防范意识不强

徐玉玉听到对方准确说出了自己个人信息，自然地放松警惕，相信对方说的任何话，甚至在听到打钱激活银行卡的谎话时也未多想，没有想过核实对方身份，骗子让其在20分钟内赶到银行，并称激活银行卡就可以拿到这笔助学金，徐玉玉的单纯和不谙世事，再加上前几天她的确曾接到过真正的发放助学金的电话，一时间真假难辨，而她自己也没有太多防备之心，于是将银行卡里的9900元全部汇了过去①还原徐玉玉案：黑客卖信息电信诈骗按剧本分工[EB/OL].http://www.sohu.com/a/114917803_454426，2016-09-23.。直到徐玉玉把钱全部汇过去，拨打对方电话却关机时，她才意识到这是个骗局。

五、进一步强化信息安全保护的建议

（一）完善个人信息保护的立法

首先，个人信息从理论上来说属于公民的隐私，信息收集者即使知悉并保存，但在没有法定理由、未经法定程序的情况下是不能提供给他人的，如果这些被收集的信息被窃取，信息收集者是否需要承担责任？在实践中，每个人都仿佛在“裸奔”，刚买车就有人打电话问你要不要买保险，刚考完试就有人发短信问你要不要报面试班，为什么这么巧？他们怎么知道受害人准备或者已经忙于何事。当然，并不是每个信息收集者都是个人信息泄露的源头，但是笔者认为如果不对这些收集者们科以一定的义务和责任，恐怕公民的个人信息安全还得继续“裸奔”。第二，目前关于个人信息保护的基本法律主要是《中华人民共和国网络安全法》《中华人民共和国民法典》，它们都是侧重于立法角度的考量，抽象地宣告个人信息受法律的保护，但具体到公民个人信息如何保护以及权益受到侵犯时如何救济却没作过多规定，保护个人信息的法律规制基本上散见于其他各部法律里面，目前并没有形成一部独立的、完整的专门保护个人信息的法律。且民法典也只是把个人信息规定为一种受保护的人格法益（包括个人信息和死者人格利益），而不是一种专门的人格权，其受保护的程度次于一般人格权和具体人格权。第三，如果仅仅是知道自己的个人信息遭泄露后、被诈骗电话和短信骚扰后向哪个部门投诉，用什么方式投诉都找不到明确的依据；于是在实践中就出现了犯罪分子无处不在，受害人无能为力的情况。因此，可以制定一部“个人信息保护法”，明确个人信息的权利边界、个人信息收集及使用者的责任和义务、受害人被侵权后寻求法律救济的方式和途径；同时完善个人信息保护法律的配套实施细则、法律解释等，增加个人信息保护法律制度的可操作性②《新闻1+1》20180111 我的隐私，你凭啥替我作主？[Z].http://tv.cctv.com/2018/01/11/VIDEzbKVUXsVi2DN5D3qEqki 180111.shtml，2021-03-09.。

（二）加大相关单位的网络安全防护力度

网上录取方式有利有弊，有利的是提高了招生工作的录取效率,不利的是单位内部网络自身的漏洞导致的不安全因素会扰乱正常的招生录取秩序，从而影响录取工作效率，因此有必要采取有效的防护措施保障相关单位的网络信息安全，同时，为电子数据的安全、备份和恢复确定适当的投资标准和防护等级是一个管理问题，而不是技术问题。

1.建立完善的网络安全管理制度。大多数的网络安全事故是由于管理失误或不善造成的，因此，建立一个相对完善的安全管理制度，加强对操作人员的管理，提升操作人员的业务素质和提高网站漏洞的修复率，可以在一定程度上保证网络的安全性（包括网络的运行安全和数据的传输安全）；安全管理制度包括人员培训和管理、机房管理、计算机软件管理、安全监督等方面。

2.建立合理的网站访问控制策略。访问控制策略是保证网络安全、维护网络秩序、确保网络资源绿色共享的手段之一，它可以将网站的操作权限进行分配，确保网络资源免遭非法访问和使用；建立访问控制策略的手段包括控制互联网的访问权限、网络系统的操作权限以及属性安全控制、网络服务器的安全控制等。

3.应用先进的网络安全防护技术。网络安全技术指的是指对网络进行有效的介入控制以及保证数据传输安全性的技术手段；防护技术可以对网络的运行安全进行监测，并抵御一部分的黑客攻击。其主要手段包括：防火墙技术（不同的单位可以根据单位的信息安全级别购置不同的防火墙产品）、入侵检测技术（它被认为是防火墙之后的第二道安全门）、计算机病毒预防技术（如木马查杀程序）、其他网络防护技术[3]。

（三）提高考生本人的风险防范能力

1.树立安全意识。一是守法意识，即自觉遵守国家的法律法规，从思想上维护社会和谐稳定的意识，凡不费劲就能获得好处的事情要三思而后行；二是防范意识，即有意地关注、收集有关电信网络诈骗的特点、安全防范方法等信息，并在日常使用个人电子信息的过程中（如考试报名、网购）加以运用，以确保个人信息相对安全的意识。

2.学习安全知识。一是广泛积累安全知识，了解一些常见的电信诈骗手段、电信诈骗的犯罪趋势以及有关部门发布的电信诈骗典型案例，以便自己防范各种电信诈骗；二是经常学习法律知识[4]，如果自己的合法利益遭到侵害，法律在一般情况下不允许人们私力救济，但法律另有规定（如正当防卫、紧急避险）的除外，因此，学会在遵纪守法的基础上运用法律武器维护自己的合法权益是很有必要的。

3.养成安全习惯。一是不轻信，不轻信来历不明的陌生电话和信息，不管对方使用什么甜言蜜语和花言巧语都不要相信，并且要果断挂掉电话；既不要回复短信，也不要点击短信中的链接，不给诈骗分子进一步设圈套的机会。二是不透露，无论什么情况，都不随意向对方透露自己及家人的个人信息、存款数目及银行卡等情况，如果有疑问，要先向亲戚、朋友当面或电话核实，在紧急情况下可拨打110报警电话求助①【电信诈骗】电信诈骗事件频发电信诈骗怎么防范？[EB/OL].http://www.maigoo.com/news/463433.html，2020-11-22.。