中高考学生个人信息泄露案的个人信息保护与法律责任透视

2026-06-29

前言

2026年4月以来，四川峨眉山市警方陆续接到多名家长报警，反映中考、高考应届考生及家长频繁遭遇校外招生中介骚扰，违规招生电话、短信高频推送，严重干扰正常生活。有家长反映，初三寒假开始每天接到十几个招生骚扰电话，黑名单里存了一两百个号码，对方不仅能精准说出出孩子姓名，甚至班主任是谁、各科分数都一清二楚。

警方排查后锁定当地校外违规招生团队，并对查获的总计90余万条学生个人信息予以封存。随着侦查深入，一条触目惊心的黑色产业链浮出水面：当地某中学副校长黄某、招生办主任吴某，以及某职业学院招生办主任何某等人涉嫌倒卖学生信息。为销毁证据，吴某甚至将U盘、手机、电脑硬盘打包丢入河中。目前，涉案5人因涉嫌侵犯公民个人信息罪已被警方刑事拘留，查获的学生信息总计达90余万条。

本文将从本案涉及的违法行为、法律后果层面拆解教育机构对个人信息保护的法律责任与合规启示。

一、90万条个人信息，已远超“情节特别严重”认定标准，面临顶格刑罚

（一）已构成侵犯公民个人信息罪

《中华人民共和国刑法》第二百五十三条之一第一款规定：“违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金”。

本案中，副校长、招生办主任等教育系统内部人员利用职务便利，将履职过程中合法获取的学生信息非法出售给校外招生团队，行为已完全符合该罪构成要件，既存在“出售”行为，亦违反“国家有关规定”，且对象系履行职责过程中获得的公民个人信息。

（二）“情节特别严重”的量刑标准

根据最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》，侵犯公民个人信息罪的量刑主要依据信息类型与数量包括：

行踪轨迹、通信内容、征信信息、财产信息等信息：50条以上即“情节严重”，500条以上“情节特别严重”；

住宿信息、通信记录、健康生理信息、交易信息等信息：500条以上“情节严重”，5000条以上“情节特别严重”；

姓名、电话等基础识别信息等信息：5000条以上“情节严重”，50000条以上“情节特别严重”。

本案涉案信息达90余万条，远超五万条的“情节特别严重”标准。更值得关注的是，这些信息不仅包括学生姓名、性别、身份证号码、户籍信息、就读学校和班级，甚至涵盖历次各科考试成绩、执教老师及监护人信息、联系电话等，部分信息已接近“重要信息”甚至“敏感信息”的范畴。无论从信息数量还是信息类型判断，涉案人员均面临“三年以上七年以下有期徒刑”的法定刑幅度。

（三）从重处罚情节，教育系统“内鬼”难逃严惩

《刑法》第二百五十三条之一第二款明确规定：“违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。”

本案中，黄某身为中学副校长、吴某身为招生办主任、何某身为职业学院招生办主任何某，三人均为教育系统内部管理人员，学生信息系其在履职过程中合法获取。根据司法解释，行为人违反规定将在职务过程中知道的公民个人信息出售，依法构成侵犯公民个人信息罪，且应从重处罚。这种“监守自盗”的行为性质，比一般个人信息贩卖更为恶劣。

二、学校作为个人信息处理者，或将因未尽保护义务面临高额行政处罚

除刑事责任外，本案涉及的相关主体还将面临严厉的行政处罚。

《中华人民共和国个人信息保护法》第六十六条规定：“违反本法规定处理个人信息，或者处理个人信息未履行本法规定的个人信息保护义务的，由履行个人信息保护职责的部门责令改正，给予警告，没收违法所得，对违法处理个人信息的应用程序，责令暂停或者终止提供服务；拒不改正的，并处一百万元以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。”

学校作为学生信息的收集者和处理者，属于《个人信息保护法》所規制的“个人信息处理者”，负有确保信息安全、防止信息泄露的法定义务。本案中，副校长和招生办主任能够轻易将海量学生信息导出并贩卖，暴露出涉事学校在学生信息管理方面存在严重漏洞，即招生档案、学生学籍、考试成绩等核心数据的存储、调取、流转缺乏严格权限管控，私人存储设备可以随意导出，数据全流程没有监管痕迹，学校可能因未尽到信息保护义务而面临行政处罚。

三、民事责任与公益诉讼：受害者的维权路径

（一）个人侵权损害赔偿

《中华人民共和国民法典》第一千零三十四条明确：“自然人的个人信息受法律保护。”《个人信息保护法》第六十九条规定：“处理个人信息侵害个人信息权益造成损害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任。”

本案中，90万余名学生及其家长因个人信息泄露遭受频繁骚扰，有权向侵权人主张损害赔偿。损害赔偿数额可按照个人所受损失或侵权人所得利益确定，难以确定的，由法院根据实际情况裁量。

（二）检察公益诉讼，为众多受害者“代言”

对于大规模个人信息侵权案件，个体维权往往面临举证困难、诉讼成本高等现实障碍。《个人信息保护法》第七十条为此提供了有力武器：“个人信息处理者违反本法规定处理个人信息，侵害众多个人的权益的，人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。”

这意味着，检察机关可代表不特定多数受害者提起民事公益诉讼，要求侵权人停止侵害、删除信息、赔礼道歉并支付公益损害赔偿金。实践中已有类似先例，非法向教培机构贩卖未成年人个人信息的案件，法院判令侵权人支付公益损害赔偿金，彰显“任何人不得从其违法行为中获利”的司法立场。

四、从权限管控到分级保护，教育机构须尽快补齐数据安全“短板”

本案为广大教育机构敲响了警钟。结合案件暴露的问题，建议学校及教育机构从以下方面加强个人信息保护合规建设：

第一，建立严格的分级授权制度。学生信息的批量导出、复制、外传行为，必须经过多重审批并留下可追溯的电子痕迹。

第二，强化技术防护措施。对存储学生信息的系统实施严格的权限管控，禁止私人存储设备随意接入和导出数据，对异常访问和批量下载行为实时监控预警。

第三，落实数据分类分级管理。根据信息的敏感程度实施差异化保护，考试成绩、身份证号等高敏感信息应加密存储并限制访问范围。

第四，完善内部问责机制。学校出现信息泄露问题的，除追究直接责任人刑事责任外，还应倒查主要负责人的管理责任。对于利用职务之便倒卖学生信息的人员，可考虑在一定期限甚至终身禁止其从事教育工作。

第五，加强从业人员法治教育。定期开展《个人信息保护法》《刑法》等相关法律法规培训，让每一位教育工作者清楚认识到：学生信息不是个人资源，倒卖信息不是“行业潜规则”，而是赤裸裸的犯罪行为。

结语：守不住信息底线，便守不住育人初心

教书育人，先正己身。四川峨眉山这起案件再次证明，个人信息保护的薄弱环节往往不在外部黑客，而在内部“守门人”的失守。90万条学生信息的泄露，影响的不仅是数据本身，更是无数学子的隐私尊严和家庭的安宁生活。在《个人信息保护法》实施已逾数年的今天，任何组织和个人都应当清醒认识到，个人信息受法律保护，侵犯必受严惩。

本文作者：

声明：

本文由德恒律师事务所律师原创，仅代表作者本人观点，不得视为德恒律师事务所或其律师出具的正式法律意见或建议。如需转载或引用本文的任何内容，请注明出处。