专家解读 | 从学校系统数据泄露案看公共服务领域的制度改进

发布时间：2025-09-26 15:44:32  浏览量：1

2025年9月18日，公安部网安局公布6起“护网—2025”专项工作中，涉及不履行网络安全、数据安全、个人信息保护义务的行政执法典型案例。（公安部公布“护网—2025”专项工作6起行政执法典型案例）本期特邀请北京航天航空大学法学院裴炜教授解读案例三“河南公安机关侦办的某学校系统遭攻击导致数据泄露案”。

基本案情

2025年3月，不法分子在境外网上兜售舞钢市某学校个人信息数据。河南公安机关网安部门查明，相关数据泄露源头为该校 慧刷卡计费系统。由于该系统存在高危漏洞且数据未采取加密存储，系统未设置访问控制、安全认证等技术措施，导致系统数据被犯罪嫌疑人网络攻击窃取，且该校在委托第三方公司处理业务数据和个人信息时，未在合同中明确接收方的数据安全保护义务并监督其履约。当地公安机关已依法对该校予以行政处罚并责令限期改正。犯罪嫌疑人已依法另案处理。

在社会各领域数字化转型持续推进的当下，教育系统的信息化、数字化不断深入拓展，各类智慧校园平台的广泛应用在提升管理效率的同时，也带来了前所未有的数据安全和个人信息保护的挑战。2025年3月，河南舞钢市某学校学生及教职工个人信息在境外被非法兜售一案，正是这一转型阵痛的集中体现。该案是一起典型的因技术防护缺失、管理制度缺位、外包监管空白导致的个人信息泄露事件，深层次地揭示了教育数据治理在制度建构与责任落实层面的结构性困境。案件的依法查处展现了公安机关在维护网络安全和个人信息保护中的积极作为，同时也为我们深入反思公共服务领域的数据治理提供了现实契机。

近年来，我国已初步建立起覆盖法律、行政规章与行业标准的个人信息保护规范体系。其中，《个人信息保护法》《数据安全法》《网络安全法》作为顶层立法，确立了个人信息处理的基本原则与数据安全的底线要求。在此框架下，教育部陆续出台《教育系统核心数据和重要数据识别认定工作指南（试行）》《关于加强教育系统数据安全工作的通知》等政策文件，推动教育数据的分类分级管理与全生命周期安全防护。尤为值得关注的是，2025年5月发布的《智慧教育平台 个人信息保护通用要求》《中小学教职工基础数据》两项行业标准，为教育数据的采集、存储、传输与使用提供了明确的技术指引，成为衡量教育机构数据合规性的关键标尺。

在现有规范体系下，任何个人信息处理者都必须采取必要措施保障信息安全。《网络安全法》第59条规定，网络运营者未履行网络安全保护义务，导致危害发生的，由主管部门责令改正并给予处罚。《数据安全法》第27条则要求数据处理者采取相应的技术措施，防范数据泄露、损毁等风险。《个人信息保护法》第51条明确，个人信息处理者应当采取相应措施防止信息泄露、篡改和丢失，否则有可能承担相应的法律责任。

尽管法律规范不断完善，但规范的落实仍然面临一系列挑战。本案暴露出在公共服务系统中，部分个人信息处理者仍存在技术防护不足、管理机制不完善等问题。这些问题并非个别现象，而是教育、医疗等公共服务领域在数字化进程中普遍面临的自身合规体系缺陷和安全能力不足的问题。本案中，舞钢市某校的智慧刷卡计费系统在建设与运维过程中，既未对数据实施加密存储，也未设置访问控制与身份认证机制，导致系统长期存在高危漏洞，暴露出其数据治理理念和治理能力的严重滞后。

公共服务机构的自身缺陷促使其依赖第三方开展数据处理工作。通过这种分包方式，公共服务机构自身的能力缺陷得以弥补，同时也提高了数字化的运行效率。然而这一过程也潜藏合规风险。例如《个人信息保护法》第21条明确要求，个人信息的委托处理必须通过合同约定处理方式和安全措施，并由委托方履行监督义务。学校作为“个人信息处理者”，应当采取加密、访问控制等必要措施保障信息安全，并在委托处理时通过合同明确受托方义务并实施监督。

然而实践中，这种委托合同的条款往往相对笼统，监督环节不免流于形式，正如本案中，舞钢市某校并未在委托第三方处理数据时通过合同明确安全义务并实施有效监督。如何通过统一合同范本、行业规范与常态化监督来强化委托处理环节，已经成为亟需解决的问题。

此外，作为智慧刷卡系统的开发、运维或数据处理服务提供方，第三方公司并不因受托处理数据而免除自身个人信息保护和数据安全方面的法律义务，例如其提供的产品和服务应当满足《网络安全法》第22条关于“网络产品、服务应当符合相关国家标准的强制性要求”的规定；即便合同未约定安全责任，受托方仍需履行《个人信息保护法》中规定的安全保障等义务。

根据《个人信息保护法》第69条规定，个人信息处理活动侵害他人权益的，处理者应当依法承担侵权责任。无论是个人信息处理者还是受其委托处理个人信息的第三方，在违反相关法律义务的情况下，均有可能面临相应的法律责任。这不仅包括行政处罚，还涉及到民事赔偿乃至可能的刑事责任。值得注意的是，修订中的《网络安全法》强化惩戒措施，将部分违法行为的处罚幅度大幅提高，并增加对管理责任人的处罚条款。这意味着《网络安全法》修订正式通过后，类似案件一旦发生，责任主体将面临更严厉的法律后果。本案中公安机关依法作出的行政处罚，正是这一法律精神的具体体现，既回应了现实问题，也在制度层面发挥了警示作用。

具体到教育场景，教育机构在数字化管理中往往掌握着涵盖身份识别、学习生活记录乃至家庭情况的大量个人信息。这类信息一旦泄露，极易被不法分子利用，造成诈骗、骚扰等风险，影响教育秩序与社会信任。尤为值得警醒的是，本案中数据在泄露后迅速跨境扩散，极大加剧了危害后果。一旦个人信息进入境外非法交易平台，不仅意味着境内监管与执法手段的失效，更可能被用于跨国电信诈骗、身份盗用、精准网络钓鱼等犯罪活动，受害者将面临持续且难以防范的长期风险。

因此，教育领域的数据保护应当被视为公共服务信息治理的重要环节，需要更高水平的制度保障。未来，相关工作应在以下几个方面继续深化：一是确立并落实教育等重点领域数据安全的强制性标准，将其纳入重点监管范围，推动形成制度的刚性约束；二是完善委托处理的合同范本和监管机制，确保责任清晰、落实到位；三是健全行政、民事、刑事三位一体的责任体系，并进一步发挥公益诉讼在公共信息保护中的作用；四是推动政府、机构、企业和社会多方协同，形成预防为主、事前防控的长效机制。

可以预见，在技术持续迭代的背景下，教育数据的采集、处理与应用场景将更加多元。公共服务领域在享受数字化便利的同时，也必须正视个人信息保护的制度挑战，在制度设计与技术应用之间搭建贯通的治理桥梁，切实守护公民的个人信息权益。