院校桥,让教培人更有力量

 

 

这件事很多培训机构都在做,但他却被判入刑2年……

信息化时代,教培机构可以使用很多渠道对客户信息进行挖掘,收集,分析,管理。而很多校长对于客户个人信息安全的保障和防范,仍然没有意识,完全不了解违法的边界和程度的严重。

 

本次,隆安律师事务所 仇少明律师将通过一起典型案件为教培机构探讨一下在管理学生家长个人信息时不能碰的雷区。
作者 | 仇少明律师
编辑 | 桥见
 

 

“公民个人信息”相关案件激增

 

教育机构为了招生宣传,光靠传统的线下散发传单远远满足不了需求,为了锁定潜在目标客户,很多机构会付费获取家长学生的个人信息或者在教育机构之间交叉资源共享,将家长学生等公民个人信息进行置换获取,然后进行定向电话营销与推广。殊不知,这种行为很有可能已踏入违法的禁区。

 

随着《刑法修正案(九)》、《网络安全法》、两高《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》《个人信息安全规范》等相关法律法规的修订与落地施行,社会对于公民个人信息保护的关注度高涨。

 

以“公民个人信息”为关键词,我们从专业数据库上进行了不完全搜索与统计,发现如下三类行为涉案数量最多,分别为:“个人信息记录错误”、“未经同意使用个人信息”以及“个人信息泄露”。

 

从2016年至2018年,该类案由数量由693、1698至2883,一路呈爆发式增长。这些现象暴露出大数据时代下,公民个人信息安全问题日渐凸显。近年来,国家相关部门也出台了不少相关法律法规,以期规范、调整该类问题。

 

与此同时,暴增式的诉讼案件也反映出公民对于自身信息的安全保护意识也在逐步提高。
 

为招生,买卖交换2万多条学生信息

 

梁某某与丈夫付某共同经营安徽旭强科技有限公司,主要从事短信群发业务。2017年元月份前后的一天,梁某某从他人处购买2万余条包含学生姓名、所在班级、家长姓名、家长联系方式等内容的公民个人信息,以备在经营短信业务过程中提供给客户使用。

 

2017年4月,经营合肥文新学堂的冯某在洽谈业务过程中,得知梁某某处有2万多条公民个人信息,于是商量后花9000元买了这批信息,这其中包括多所合肥市中小学的学生姓名、所在班级、家长姓名、家长联系方式等详细内容。

 

冯某又和黄某某是以前培训机构的旧同事,2017年4月,两人各自去了合肥文新学堂和积米思教育培训机构从事教育培工作。两人为了各自培训学校的宣传和生源,约定今后信息共享,即互相将各自掌握的学生和家长的个人信息分享给对方。

 

冯某从梁某某处购买公民个人信息后,将其中15236条非法交换给黄某某,黄某某将他从别处获取的学生信息,共计3836条非法交换给冯某。

 

2017年5月11日,民警在积米思教育培训机构走访时,发现黄某某电脑内有数万条公民个人信息,遂将其传唤至公安机关,黄某某如实供述了和冯某交换学生个人信息的事实。

 

2017年5月12日,冯某至公安机关自动投案;2017年5月27日,梁某某至公安机关自动投案。
 

 

法院最终判决

 

被告人梁某某、冯某、黄某某违反国家有关规定,非法获取公民个人信息后又向他人出售或者以交换的方式向他人提供,其中,被告人梁某某向被告人冯某出售公民个人信息2万余条;被告人冯某将其中的15236条非法交换给黄某某,黄某某将其持有的从他人处获取的公民个人信息计3836条非法交换给冯某,均属情节严重,其行为均已构成侵犯公民个人信息罪,应依法予以惩处,考虑到自首情节,可从轻处罚:

 

一、被告人梁某某犯侵犯公民个人信息罪,判处有期徒刑二年,缓刑考验期限二年零六个月,并处罚金人民币4万元。
二、被告人冯某犯侵犯公民个人信息罪,判处有期徒刑二年,缓刑二年零六个月,并处罚金人民币35000元。
三、被告人黄某某犯侵犯公民个人信息罪,判处有期徒刑二年,缓刑考验期限二年零六个月,并处罚金人民币35000元。
四、对于被告人梁某某退缴的非法所得人民币9000元予以没收,上缴国库。

 

合规管理学员信息的3个原则

 

教培机构要避免重蹈上面案件的覆辙,就得在学员信息的手机、保存、使用三个方面遵从相应的原则,避开违法的红线。

 

收集:目的明确原则

 

教育机构所收集的个人信息的类型应与实现教育服务的业务功能有直接关联。直接关联是指没有该信息,就无法实现教育服务的功能。

 

保存:选择同意原则

 

向学员即信息主体明示其个人信息获取的目的、方式、范围、规则等,征求其授权同意。

 

教育机构在获取学员信息之后,对其进行妥善保存,不应对外泄露。保存的时间应为实现其教育培训目标时止。在该学员培训结束之后,应将其个人信息进行删除处理,或者匿名化处理。

 

使用:最少够用原则

 

教育机构在履行培训义务、日常运营以及接受相关部门监管时,对于所收集的学员个人信息,除了培训等必需的目的之外,应消除明确身份指向性,避免精确定位到特定学员。如对外商业宣传教育培训效果时,应宜使用间接用户画像。如果因教育机构业务等需要,确需超出之前明确的学员个人信息使用范围,需要征得学员个人信息主体的再次明示同意。

 

仇律师结语

 

从这起刑事案件来看,教培机构未经学员的允许泄露、买卖个人信息,情节严重的可被追究相应刑事责任。教育培训行业对于大量客户的需求,成为了该类犯罪最主要的诱因。

 

教培机构在将来的运营与宣传招生时,一定要警惕类似操作,稍有不慎,一旦涉及违法买卖个人信息,严重的可能会被判入刑。

 

机构经营中获取的学员个人信息的管理也需要特别重视,并建立起完善的学员个人信息管理体系,包含如何合规地收集、保存以及使用学员个人信息。对于员工工作中需要接触学员个人信息的过程,要严加把控,提高员工保护学员个人信息安全的意识。

 

作为教培机构,应具有前瞻视角,及时顺应数字化转型的时代潮流,将个人信息数据的合规管理尽早提上日程,以免受不必要的诉累,为机构品牌形象带来负面影响。

 

(文章有改动,已经律师团队审核)

作者简介:
仇少明律师
10多年律师从业经验
隆安律师事务所高级合伙人、劳动法专业委员会主任
著作:《劳动争议审判大数据应用指南》