文章总结： 本文通过对比2020年郑州西亚斯学院与2026年青海德令哈某幼儿园两起个人信息泄露事件,揭示了教育领域在数据安全方面长期存在的突出问题。文章分析了问题产生的四大根源:管理、技术、意识及监管层面的缺失,并详细解读了2026年个人信息保护系列专项行动中针对教育领域的五项重点治理内容,最后从教育机构和家校社协同两个层面提出了应对措施与建议。 综合评分： 85 文章分类： 数据安全,应用安全,政策法规,网络安全,安全意识

从西亚斯到德令哈某幼儿园个人信息泄露，探讨《2026年个人信息保护系列专项行动》

祺印说信安

2026年4月23日 00:00 河南

在小说阅读器读本章

去阅读

以下文章来源于豫说网数安 ，作者何威风

豫说网数安 .

网络安全人人有责，贯彻网络安全为人民，网络安全靠人民。网络安全和信息化是相辅相成的。安全是发展的前提，发展是安全的保障，安全和发展要同步推进。

2020年6月，河南郑州西亚斯学院发生了一起震惊全国的大规模个人信息泄露事件。该校多名学生向澎湃新闻反映，学校近两万名学生个人信息以表格的形式在微信、QQ等社交平台上流传，涉及信息包括姓名、身份证号、年龄、专业及宿舍门牌号等二十余项。一份名为“第四批返校名单”的文件被人在班级微信群等多个群组中传播，文件内含有“10日电护体”“11日法会外”等多个分表单，涵盖班级、考生号、姓名、身份证号、性别、学号、专业、具体宿舍楼号等详尽信息。一名学生在名单中找到了自己的信息，“全部准确无误，甚至包括高考准考证号”。

更令人担忧的是，事件发生后，多名学生相继收到骚扰电话。有学生向澎湃新闻证实，已有学生收到部分专升本及“雅思”培训机构的骚扰电话，“对方知道准确的班级、姓名以及专业”。还有学生反映接到了询问是否炒股的陌生来电，而在此之前“从来没有这样的情况”。事件发酵后，校方最初并未积极应对，反而有学生接到辅导员电话，被要求删除微博等社交平台上的相关言论。

经调查，事件起因系该校在准备学生返校复学时，按照疫情防控要求，由教务科研处整理了计划返校学生名单，用以核查学生返校来源地及个人健康状况等信息，“由于工作人员缺乏保密意识”，造成部分学生的个人信息泄露。该校就此发布《致歉声明》，称学校“负有不可推卸的责任”。最终，学校对直接责任人予以解除劳动合同，对相关部门负责人及两名主管校领导予以记过处分；郑州警方依据《中华人民共和国网络安全法》，对郑州西亚斯学院以及负有领导责任的一名副校长和直接责任人进行了行政处罚。

与此形成对照的是2026年3月青海海西州的案例，德令哈市某幼儿园在核对学生个人信息时，将含有未成年人个人信息的表格发布至微信群，未对涉及未成年人个人信息采取相应的保护措施，存在可查看、复制、利用的情形。海西州互联网信息办公室对该幼儿园违规行为依法进行了执法约谈，责令限期改正。

真正可怕的，不是安全事件本身，而是事件发生后依然“涛声依旧”——同类错误在不同层级的教育机构中反复上演，且并未引起全行业足够的重视和根本性的改变。

德令哈市幼儿园的案例与郑州西亚斯学院的案例，确实如出一辙。如果做一个横向对比，会发现它们惊人地相似：

| 对比维度 | 郑州西亚斯学院（2020年） | 德令哈市幼儿园（2026年） | | — | — | — | | 信息载体 | 微信群、QQ群传播Excel表格 | 微信群传播Excel表格 | | 信息内容 | 学生姓名、身份证号、学号、宿舍号、准考证号等20余项 | 未成年人个人信息（姓名、身份证号、家长联系方式等） | | 泄露原因 | 工作人员缺乏保密意识，未采取任何保护措施 | 未对个人信息采取相应保护措施，存在可查看、复制、利用情形 | | 法律后果 | 副校长和直接责任人被行政处罚，直接责任人被解除劳动合同 | 教育部门、幼儿园及相关责任人被执法约谈，责令限期改正 | | 时间跨度 | 2020年发生 | 2026年发生 |

六年过去了，从高校到幼儿园，从疫情防控场景到日常核对学生信息场景，错误的本质一模一样，在微信群等不可控的社交平台，明文传输包含敏感个人信息的原始表格。相信还有很多类似案例，并未被报道出来，也证实数据安全特别是个人信息保护这块，在教育行业尚未得到足够重视，并未建立个人信息保护机制。

当前教育领域个人信息保护存在的突出问题

（一）违规收集与过度收集问题严重

有地方政协提案指出，尽管国家已出台相关法律法规，但教育机构在信息收集、存储和使用中仍存在诸多问题，如过度收集敏感信息、信息安全措施不足、教职工信息保护意识淡薄等。2025年4月，陕西商州区检察院在调查中发现，辖区部分中小学为图方便，多次采用在线共享文档、群内接龙等方式收集学生及家长个人信息，且普遍存在“过度收集”问题，一些学校甚至要求家长提供职务、工作单位等与教学管理无直接关系的信息。

（二）制度不健全与防护措施缺位

大量学校未建立个人信息保护管理制度，未采取技术安全措施。以湖南怀化为例，当地网信部门查处某云科技有限公司及9所学校违法收集使用人脸等信息，涉事学校在使用“智慧校园系统”时，将学生姓名、人脸图像等数据在未经过本人及监护人同意的情况下，违规提供给第三方科技公司，且系统存在未授权访问漏洞。此类问题在2026年专项行动中被列为重点治理对象——教育机构使用非人脸识别技术方式可以实现验证的，不得将人脸识别作为唯一验证方式。

（三）信息泄露黑色产业链日趋成熟

近年来，学生信息泄露已从偶发的管理事故演变为有组织的黑色产业链。2024年至2025年间，四川冕宁县查处的案件中，70余万条学生信息被多次贩卖，购买信息人员涉及学校副校长、教育咨询机构负责人等。该案的泄露源头竟是四川省某通信工程有限公司的工程师彭某，其利用承担教育资源公共服务平台维护的职务权限，接触到大量学籍信息并对外倒卖，最终形成了一条“后台工作人员泄露数据—中介买卖信息—教育机构购买信息招生”的完整黑色产业链。山东淄博也查获类似案件，嫌疑人多为教育机构工作人员，将工作中获取的中小学生及家长信息在同行之间进行交换和转卖。更有甚者，新东方上海分公司原销售部经理顾某坦承：“在我们（教育培训）行业，这样的做法并不少见，可以说是默认的潜规则吧。”

（四）教职工安全意识普遍薄弱

大量案例表明，教育机构一线教职工缺乏基本的数据安全意识。从幼儿园老师在微信群发送学生信息表格，到中小学班主任使用共享文档收集家长信息，再到高校管理人员在社交平台发布返校名单，反映出一个共同的症结：教职工普遍将效率置于安全之上，将微信群、共享文档视为日常工作的便利工具，却不知道“随手一发，可能违法”。郑州西亚斯学院事件中，校方在《致歉声明》中坦承，“由于工作人员缺乏保密意识”，一语道破了问题的根源。

教育机构数据安全问题根源分析

（一）管理层面：大多数教育机构尚未建立系统的个人信息保护制度，缺乏信息分类分级管理、访问权限控制、安全审计等基本机制。即便已有制度的，也往往停留在纸面，未真正落实到日常操作中。郑州西亚斯学院事件中，教务科研处在整理返校学生名单时，未对名单文件采取任何加密或脱敏处理，也未限定访问范围，暴露出学校在信息处理流程管控上的系统性缺失。

（二）技术层面：加密存储、脱敏处理、访问日志记录等基础安全技术措施普遍缺失。许多教育机构仍在使用微信群、QQ群、共享文档等工具传输敏感信息，缺乏专用的安全传输渠道。

（三）意识层面：从校领导到一线教师，个人信息保护的法律意识和风险意识严重不足。不少人误认为微信群是“内部群”“熟人群”，信息不会外泄，忽略了互联网传播的不可控性。

（四）监管层面：长期以来，教育行政部门对学校数据安全管理缺乏统一的规范和考核标准，监管力度不足。直到2025年至2026年，教育部密集出台教育行业标准和专项通知，监管体系才逐步建立完善。

2026年个人信息保护系列专项行动之教育领域专项治理

2026年4月2日，中央网信办、工业和信息化部、公安部联合发布公告，部署开展2026年个人信息保护系列专项行动，明确提出围绕App、SDK违法违规收集、互联网广告领域违规、教育领域违法违规收集使用个人信息、交通领域、卫生健康领域、金融领域以及个人信息相关违法犯罪案件等七个方面开展专项治理，集中整治各类典型违法违规问题，对情节严重、拒不整改的依法从严处理。

教育领域专项治理的治理对象涵盖学校（高等教育学校、高中阶段学校、义务教育阶段学校、幼儿园等）以及校外培训机构等教育机构。

五大重点治理问题具体如下：

其一，教育机构处理不满十四周岁未成年人个人信息，未制定专门的个人信息处理规则，未取得未成年人父母或其他监护人的同意。

其二，教育机构运营的网站、App等过度收集位置、学校、学籍，家长身份证号、联系方式、职业等个人信息。

其三，校外培训机构向合作的第三方机构提供个人信息，但未向个人信息主体告知合作的第三方机构名称、处理个人信息的目的、方式，未取得个人信息主体同意。

其四，教育机构线下场所以及运营的网站、App等使用非人脸识别技术方式可以实现验证家长、学生身份，将人脸识别技术作为唯一验证方式，未落实人脸识别技术应用安全管理相关要求。

其五，教育机构未建立个人信息保护管理制度、未采取有效安全保护措施、存在个人信息泄露风险隐患等。

一点应对措施与建议

（一）教育机构层面

1. 建立健全制度体系。 教育机构应依据《个人信息保护法》《儿童个人信息网络保护规定》等法律法规，制定专门的个人信息处理规则，特别是针对不满14周岁未成年人，必须取得监护人单独同意。应建立信息分类分级管理制度，实施“最小授权”原则，细化系统操作权限。

2. 落实技术防护措施。 教育机构应禁止使用微信群、共享文档等民用工具传输包含敏感个人信息的文件，改用加密表单、内部办公系统、加密邮件等安全方式。对人脸识别等生物识别信息的应用，应严格按照“非必要不收集、可使用替代方式则不使用”的原则进行合规评估，并落实技术应用备案要求。

3. 加强教育培训。 定期对教职工开展个人信息保护培训，将“法律条文、案例警示、实操演练”相结合，提升全员安全意识。郑州西亚斯学院事件中“工作人员缺乏保密意识”的教训说明，技术防线固然重要，但人的意识防线才是第一道关口。部分地区已将个人信息保护教育纳入中小学法治副校长必修课程，这一做法值得推广。

4. 制定应急响应机制。 建立个人信息安全事件应急预案，明确事件报告、调查、处置和责任追究流程，避免类似郑州西亚斯学院“要求删除微博言论”“捂盖子”式的错误应对。

（二）家校社协同层面

1. 提升家长和学生意识。 学校应通过家长会、微信公众号等渠道，向家长和学生普及个人信息保护知识，提高其自我保护意识和能力。家长在遇到学校要求通过共享文档填写信息时，应主动提出安全关切。

2. 畅通举报渠道。 建立个人信息安全问题的公众举报渠道，实行线索快速响应机制。商州区检察院正是通过“益心为公”志愿者的举报线索，推动了全区中小学信息采集的规范化整改。

3. 推动行业自律。 鼓励校外培训机构等行业主体签署个人信息保护自律公约，主动接受社会监督。

结语

从郑州西亚斯学院近两万名学生信息在微信群中遭公开传播、学生接连收到骚扰电话，到德令哈幼儿园在微信群发布学生表格，再到70余万条学生信息被贩卖的黑色产业链，这些案例共同揭示了一个不容忽视的现实：在数字化浪潮中，教育领域已成为个人信息泄露的高发区，而未成年人的信息安全尤需得到格外的重视与保护。郑州西亚斯学院事件暴露出“工作人员缺乏保密意识”这一深层顽疾，而2026年三部门联合开展的个人信息保护系列专项行动，特别是教育领域专项治理的五项重点内容，既是对当前问题的精准回应，也为各级教育机构明确了合规底线和整改方向。保护好每一位学生的个人信息，既是对法律的敬畏，更是对下一代应有的责任与担当。

接下来，我们有理由相信，监管部门将依托2026年个人信息保护系列专项行动，强化网信、工信、公安、教育等部门的联合执法检查，对违规收集、过度收集、未采取保护措施等行为依法从严处理；同时将个人信息保护工作纳入教育机构常规考核指标，建立“监测、整改、提升”的闭环管理机制（如陕西商州区将信息采集规范纳入考核），并积极推动《教育数据分类分级指南》《智慧教育平台个人信息保护通用要求》等行业标准的落地实施，为教育机构提供统一、科学的操作规范，从而形成常态化的制度约束。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：祺印说信安 《从西亚斯到德令哈某幼儿园个人信息泄露，探讨《2026年个人信息保护系列专项行动》》