天量學生信息被倒賣至教培機構，一條最高賣十幾元，該怎么辦？

2026年5月13日，江蘇、浙江、廣東等多地曝出超千萬條中小學生個人信息被倒賣事件，涉及學生姓名、班級、家庭住址、身份證號及家長電話等敏感信息，單條售價0.5元至十幾元不等。這條黑色產業鏈有多猖獗？家長和孩子如何保護隱私？

確實令人感到深深地不安，在國家嚴厲打擊信息泄露的今天，千萬條學生信息仍然正在暗網和微信群公開叫賣，一條最低五毛，最貴十幾塊。

看來這條黑色產業鏈，遠比普通人想象的龐大、精密且毫無底線。

把這條鏈條拆開看，上游是數據盜取者。他們的來源有三個：內部人員監守自盜，比如學校教務人員、教育局工作人員拷貝學生信息出售，有人甚至只收兩千塊感謝費就把全校學生信息打包給了熟人；第三方服務商，校訊通、智慧校園、在線閱卷系統、課后托管平臺，數據庫弱口令、未加密，黑客輕松批量下載；老舊教育系統漏洞被拖庫，一個弱口令就能登錄后臺，把整個數據庫搬走。

中游是數據批發商。他們整合來自不同渠道的學生信息，按新舊程度和完整度分級定價。滯后一到兩年的舊數據約五毛一條；含姓名和電話的最新數據二到五元一條；包含身份證號和詳細住址的完整信息，要價超過十元一條。這些人在微信群、暗網論壇公開叫賣，交易方式包括虛擬貨幣和線下現金。

下游是買家。教培機構是最大客戶，部分機構每年投入上百萬元購買信息用于精準招生。民辦學校也在買。

至于詐騙團伙，他們用這些信息冒充班主任在家長群發緊急通知、冒充學校老師打電話說孩子受傷急需押金、冒充教育局發放教育補貼。每一句話、每一個字段，都是子彈。

最讓人脊背發涼的是信息的精度。過去的泄露是大海撈針，現在的泄露是精確制導導彈。

學校加班級，騙子就知道孩子在幾班、班主任叫什么、甚至坐在哪個位置。

2024年公安部網安局公布的典型案例中，江蘇某地詐騙團伙正是利用精確到班級的學生信息，冒充班主任在家長群行騙，數十名家長上當，涉案金額超過兩百萬元。

當一個人能在群里說你的孩子坐在第三排靠窗的位置，你會本能地相信對方。

可你是否想過，這些數據是從哪里流出去的？

倒賣者毫不避諱：數據來源肯定是官方渠道。裁判文書網上以侵犯公民個人信息罪、學生、教育局為關鍵詞，可以檢索到數十份判決。

典型模式是教育系統工作人員利用職務便利拷貝學生信息出售，涉案數萬至數百萬條，違法所得數千至數萬元。

2024年，國家信息安全漏洞共享平臺收錄了多個教育類應用程序和智慧校園平臺的高危漏洞，涉及全國數十萬所學校。官方渠道這三個字，比暗網更讓人不寒而栗。

那么違法成本有多低呢？低到荒謬。根據侵犯公民個人信息罪的司法解釋，買賣普通學生信息五千條才夠刑事立案；教育平臺內部人員泄露，立案標準減半，兩千五百條就入刑；五萬條以上屬于情節特別嚴重，判三到七年。

學生信息中的姓名、電話、住址不屬于法定的敏感信息，入罪門檻偏高。實踐中，賣了幾十萬條甚至上百萬條信息的人，被判兩三年還大量適用緩刑，一天牢沒坐是常見現象。

風險與收益嚴重不對等。一個倒賣者被抓了，后面還有一百個在排隊。數據就是他們的金礦，而挖礦的成本低得可笑。

對比一下：歐盟通用數據保護條例對泄露個人數據的機構，最高可處全球年營業額百分之四的罰款。美國家庭教育權利和隱私法案規定，教育機構泄露學生信息，可能被切斷聯邦教育資金。而在我們這里，出賣幾十萬條學生信息，換來的可能只是一紙緩刑判決書。

很多人問，不就是姓名和電話嗎？以前不也泄露過？不一樣。這一輪的核心是精準。

有了班級和座位號，騙子可以做到像素級偽裝。家長群里的那個頭像和昵稱，和真班主任一模一樣，你不會懷疑。

電話里那個聲音報得出孩子的血型和過敏史，你來不及思考。每一個字段都是騙子的彈藥，每一個班級都是一個靶場。

更令人無奈的是，當學生信息被泄露并被用于詐騙后，追責極其困難。

倒賣者可能永遠抓不到，即使抓到也可能只判緩刑。泄露源頭的機構最多被約談、整改，極少被實質處罰。

個人維權幾乎不可能，你無法證明就是這個機構泄露的，因為你的信息可能已經倒賣了五手。你只能自認倒霉。

作為家長，在制度真正完善之前，有幾件事必須現在就做。

任何在群里發起的資料費、服裝費、疫苗費，無論對方頭像和昵稱是不是班主任，都要先電話核實。

騙子能復制一切，但無法接聽你的回撥電話。接到孩子受傷送醫的電話，先掛斷，再撥打學校官方電話，不要相信來電顯示。

定期通過中國人民銀行征信中心官網查詢孩子的身份信息是否被冒用，未成年人一般不會有貸款或信用卡記錄，如有異常立即報警。

謹慎授權任何要求填寫學生詳細信息的應用程序、小程序、問卷，能不填就不填，能填假名就不填真名。那些免費贈書、學習測評，大概率是信息收集陷阱。

發現被騙或信息泄露，立即保存證據并報警，截圖、錄音、轉賬記錄一個都不要刪，撥打反詐專線。

我的看法很直接：保護學生數據，從來不是技術問題，是決心問題。把責任壓實到一把手，誰主管誰負責，誰泄露誰擔刑責，不能只處理臨時工。

大幅提高違法成本，將批量學生信息納入敏感信息范圍，降低入罪門檻，取消緩刑濫用。建立強制泄露通知制度，任何機構發生數據泄露須在二十四小時內通知所有受影響的人，隱瞞不報的直接追究法律責任。支持公益訴訟，由檢察機關代表受害家長對泄密機構提起訴訟。

這四件事不做，數據裸奔就不會停止。

你的孩子不是商品，不該這樣被明碼標價。更不該成為別人招生報表里的一行數據，或者騙子電話本上的一條備注。

制度需要被憤怒的公眾推著往前走。那些本該守護數據的人，只有當你我足夠警覺、足夠追問、足夠不妥協，才會真的把安全當回事。

讓每一個泄露源頭的人付出沉重的代價，讓每一個被倒賣的孩子不再在數字世界中裸奔。這條路上的每一步，都始于你我此刻的追問和思索。