谁泄漏了个人隐私信息：教育机构信息安全投入不足

　　关于这些个人隐私数据的来源，绝大多数卖家都不愿透露。

　　有一位卖家称，他们获得电话号码的其中一个来源，是通过财经网站提取的。

　　李铁军解释，这可能是通过一个程序，只要用户登录这个网站，电话号码就会被抓取，但这些电话号码绝大多数不是实名的。

　　前述卖家还透露，其出售的数据的另一个来源是，自己去“开发”。这个所谓“开发”，正是向银行、证券公司、大型门户网站、购物网站等机构里的个人去购买。

　　不过该卖家称，现在这样的渠道越来越难了。

　　除了上述渠道，李铁军告诉澎湃新闻（www.thepaper.cn）记者，黑客正成为泄漏个人信息产业链上最大一环，一部分黑客开始专门倒卖各种数据，一些教育机构、医疗机构的数据往往很容易被盗取，因为这些机构的业务现在与互联网的结合很紧密，但这些机构在国内一直是比较缺钱的部门，而做好信息安全需要比较大的投入，其在选择安全方案上就受限，这还包括后续的投入和维护，所以这些机构面临掌握了大量信息，但安全方面却是做得不够。

　　按教育部、公安部发布的《教育行业信息系统安全等级保护定级工作指南（试行）》、《教育部 公安部关于全面推进教育行业信息安全等级保护工作的通知》，在全国开展信息系统安全等级定级备案工作。两份通知中，对教育行业建议的最高安全保护等级为第三级（级数越高要求越高），当然学校可以根据自己需求提升安全保护等级。

　　可资对照的是，银行部分系统的最高防护等级为第四级。

　　“另外一个情况是，这些教育机构网站存在的漏洞并不高深，很容易被入侵“，李铁军表示。

　　上述资深计算机技术人员也表示过，其了解到，一个黑客团队几分钟内绕过某市教育局的网站防火墙进入后台。

监管缺位：防范仍只能靠个人

　　那么，问题这么多，监管去哪儿了。

　　关于个人隐私泄漏带来的损失甚至灾难，一位地方经侦警官表示很无奈，他们很理解也很同情受害者，但他们对这类案件也很苦恼，有时候牵涉金额不大，但案件的调查却很复杂，一方面涉及查案侦查地域范围会很广，另一方面一些零碎案件可能要积累到一定时候才一起侦办，对他们来说，精力很有限，不太可能到处去灭火。

　　这名警官认为，如果不从根本上解决问题，很难通过公安、司法机构来减少案件的发生。

　　据光明网报道，北京市公安局网络安全保卫总队与360互联网安全中心联合发起成立的网络诈骗全民举报平台——猎网平台于去年底发布的《现代网络诈骗产业链分析报告》初步统计，在中国，从事网络诈骗产业的人数至少有160万人，“年产值”超过1100亿元。

　　李铁军直言，现在中国个人信息泄漏正面临失控的危险，每个人都不安全，但这个系统的改善需要花的时间会非常长，包括国家相关法律法规的出台、司法机关办案能力是否跟的上、还有管理数据机构能力是否能提升等等，这中间需要花的时间和代价都会很大。

　　光明网在一篇评论中直言，骗子之所以得手，其“成功”之处远不止于电信主管部门和电信运营商对“骗子专用号段”公然存在的无睹和无视，其他掌握公民个人信息的部门和机构、以及负责审核（骗子开卡）客户信息的相关银行，都不能与此撇开关系。

　　李铁军提醒，在相关监管完善之前，最主要的防范还是靠自己，尽可能保护个人的信息，“比如在提供个人数据时，只有在那些必须提供个人真实数据的地方提供。”

　　另外，李铁军还认为，在这些容易泄露信息机构缺乏安全方面的管理人才时，这些机构找是不是可以找专门的第三方安全服务公司，比如现在用的较多的云技术，可以将他们的资料交给专业公司的云服务器托管，这些专业公司被黑客攻陷的可能远要低于他们本身。虽然无法从根本上解决这个问题，但可以安全方面上个台阶。

　　李铁军，社会不应该通过一个少女的死亡来警醒民众。在法制、网络安全相对滞后的今天，需要改善的地方也有太多，更需要个人清醒认识到这种电信骗局，让悲剧不再发生。

　　相关：山东又一大学生疑遭电信诈骗后离世 宋振宁资料照片介绍