2026年5月13日,江苏、浙江、广东等多地曝出超千万条中小学生个人信息被倒卖事件,涉及学生姓名、班级、家庭住址、身份证号及家长电话等敏感信息,单条售价0.5元至十几元不等。这条黑色产业链有多猖獗?家长和孩子如何保护隐私?

确实令人感到深深地不安,在国家严厉打击信息泄露的今天,千万条学生信息仍然正在暗网和微信群公开叫卖,一条最低五毛,最贵十几块。

看来这条黑色产业链,远比普通人想象的庞大、精密且毫无底线。

打开网易新闻 查看更多图片

把这条链条拆开看,上游是数据盗取者。他们的来源有三个:内部人员监守自盗,比如学校教务人员、教育局工作人员拷贝学生信息出售,有人甚至只收两千块感谢费就把全校学生信息打包给了熟人;第三方服务商,校讯通、智慧校园、在线阅卷系统、课后托管平台,数据库弱口令、未加密,黑客轻松批量下载;老旧教育系统漏洞被拖库,一个弱口令就能登录后台,把整个数据库搬走。

中游是数据批发商。他们整合来自不同渠道的学生信息,按新旧程度和完整度分级定价。滞后一到两年的旧数据约五毛一条;含姓名和电话的最新数据二到五元一条;包含身份证号和详细住址的完整信息,要价超过十元一条。这些人在微信群、暗网论坛公开叫卖,交易方式包括虚拟货币和线下现金。

下游是买家。教培机构是最大客户,部分机构每年投入上百万元购买信息用于精准招生。民办学校也在买。

至于诈骗团伙,他们用这些信息冒充班主任在家长群发紧急通知、冒充学校老师打电话说孩子受伤急需押金、冒充教育局发放教育补贴。每一句话、每一个字段,都是子弹。

打开网易新闻 查看更多图片

最让人脊背发凉的是信息的精度。过去的泄露是大海捞针,现在的泄露是精确制导导弹。

学校加班级,骗子就知道孩子在几班、班主任叫什么、甚至坐在哪个位置。

2024年公安部网安局公布的典型案例中,江苏某地诈骗团伙正是利用精确到班级的学生信息,冒充班主任在家长群行骗,数十名家长上当,涉案金额超过两百万元。

当一个人能在群里说你的孩子坐在第三排靠窗的位置,你会本能地相信对方。

可你是否想过,这些数据是从哪里流出去的?

倒卖者毫不避讳:数据来源肯定是官方渠道。裁判文书网上以侵犯公民个人信息罪、学生、教育局为关键词,可以检索到数十份判决。

打开网易新闻 查看更多图片

典型模式是教育系统工作人员利用职务便利拷贝学生信息出售,涉案数万至数百万条,违法所得数千至数万元。

2024年,国家信息安全漏洞共享平台收录了多个教育类应用程序和智慧校园平台的高危漏洞,涉及全国数十万所学校。官方渠道这三个字,比暗网更让人不寒而栗。

那么违法成本有多低呢?低到荒谬。根据侵犯公民个人信息罪的司法解释,买卖普通学生信息五千条才够刑事立案;教育平台内部人员泄露,立案标准减半,两千五百条就入刑;五万条以上属于情节特别严重,判三到七年。

学生信息中的姓名、电话、住址不属于法定的敏感信息,入罪门槛偏高。实践中,卖了几十万条甚至上百万条信息的人,被判两三年还大量适用缓刑,一天牢没坐是常见现象。

风险与收益严重不对等。一个倒卖者被抓了,后面还有一百个在排队。数据就是他们的金矿,而挖矿的成本低得可笑。

打开网易新闻 查看更多图片

对比一下:欧盟通用数据保护条例对泄露个人数据的机构,最高可处全球年营业额百分之四的罚款。美国家庭教育权利和隐私法案规定,教育机构泄露学生信息,可能被切断联邦教育资金。而在我们这里,出卖几十万条学生信息,换来的可能只是一纸缓刑判决书。

很多人问,不就是姓名和电话吗?以前不也泄露过?不一样。这一轮的核心是精准。

有了班级和座位号,骗子可以做到像素级伪装。家长群里的那个头像和昵称,和真班主任一模一样,你不会怀疑。

电话里那个声音报得出孩子的血型和过敏史,你来不及思考。每一个字段都是骗子的弹药,每一个班级都是一个靶场。

更令人无奈的是,当学生信息被泄露并被用于诈骗后,追责极其困难。

打开网易新闻 查看更多图片

倒卖者可能永远抓不到,即使抓到也可能只判缓刑。泄露源头的机构最多被约谈、整改,极少被实质处罚。

个人维权几乎不可能,你无法证明就是这个机构泄露的,因为你的信息可能已经倒卖了五手。你只能自认倒霉。

作为家长,在制度真正完善之前,有几件事必须现在就做。

任何在群里发起的资料费、服装费、疫苗费,无论对方头像和昵称是不是班主任,都要先电话核实。

骗子能复制一切,但无法接听你的回拨电话。接到孩子受伤送医的电话,先挂断,再拨打学校官方电话,不要相信来电显示。

定期通过中国人民银行征信中心官网查询孩子的身份信息是否被冒用,未成年人一般不会有贷款或信用卡记录,如有异常立即报警。

打开网易新闻 查看更多图片

谨慎授权任何要求填写学生详细信息的应用程序、小程序、问卷,能不填就不填,能填假名就不填真名。那些免费赠书、学习测评,大概率是信息收集陷阱。

发现被骗或信息泄露,立即保存证据并报警,截图、录音、转账记录一个都不要删,拨打反诈专线。

我的看法很直接:保护学生数据,从来不是技术问题,是决心问题。把责任压实到一把手,谁主管谁负责,谁泄露谁担刑责,不能只处理临时工。

大幅提高违法成本,将批量学生信息纳入敏感信息范围,降低入罪门槛,取消缓刑滥用。建立强制泄露通知制度,任何机构发生数据泄露须在二十四小时内通知所有受影响的人,隐瞒不报的直接追究法律责任。支持公益诉讼,由检察机关代表受害家长对泄密机构提起诉讼。

打开网易新闻 查看更多图片

这四件事不做,数据裸奔就不会停止。

你的孩子不是商品,不该这样被明码标价。更不该成为别人招生报表里的一行数据,或者骗子电话本上的一条备注。

制度需要被愤怒的公众推着往前走。那些本该守护数据的人,只有当你我足够警觉、足够追问、足够不妥协,才会真的把安全当回事。

让每一个泄露源头的人付出沉重的代价,让每一个被倒卖的孩子不再在数字世界中裸奔。这条路上的每一步,都始于你我此刻的追问和思索。