江苏一位家长在陪孩子写作业时，接到了某教培机构的推销电话。对方不仅知道孩子的姓名，而且连就读的学校、班级都一清二楚。这位家长或许想不到，这些隐私数据竟可能源自一个看似毫不相关的“食堂信息化服务平台”。

　　上游新闻调查发现，江苏某食堂信息化服务平台的一名维护负责人，涉嫌批量导出倒卖学生数据。这条黑产链涉及江苏、广东、浙江等地超千万条中小学生信息，单条售价从0.5元到十余元不等。

　　多年前，教培机构招生还得靠在校门口发传单；如今，随着教育领域数字化普及，花钱购买学生信息反倒成了部分教培机构的“主流操作”。

　　问题是，一个管食堂的系统，为什么会有学生班级和家长电话？这些信息真是食堂运营必需的吗？不坚持“最小必要原则”，过度收集个人信息，是教育系统长期没解决的老问题。每学期开学，家长填的各种表格，有多少是真正必要的，有多少只是“上面要求”就照办的，没人说得清楚。

　　这些海量信息又是如何被批量倒卖的？调查显示，平台运维人员可以批量导出数据，系统既无动态风险预警，操作也无完整留痕，所谓权限管理形同虚设。更值得警惕的，是违法成本太低所滋生的侥幸心态。有倒卖者甚至宣称“进派出所五六次都没事”，只因一次查获未达到5000条、违法所得未达5000元的刑事门槛，往往只能进行行政处罚，导致“下次还敢”。四川冕宁县一案中，某技校副校长花2万元买下70余万条学生信息用于招生，被判三年有期徒刑、缓刑三年，罚金4.5万元。作恶者不仅免于牢狱之灾，其违法收益与惩罚力度也严重不成正比。

　　惩戒必须“打疼”，买卖双方才会收敛收手。但如果只抓“内鬼”，不追责管理失职者，制度漏洞就永远堵不上；如果总是“抓了放、放了抓”，只会让不法分子有恃无恐。

　　信息保护不能仅靠事后追责，事前防范更为关键。技术上其实并不难：给导出操作加上数字水印，谁导出谁负责；操作日志全程记录，异常行为自动报警；对敏感字段强制加密脱敏。这些成熟的技术手段成本并不高，缺的往往是管理者的敬畏之心。

　　目前，三部门联合部署的2026年个人信息保护专项行动已经启动。就本案而言，公众期待的不只是查清源头、严惩“内鬼”，更是从制度上收紧数据采集的口子、扎紧权限管理的篱笆。

　　当然，家长也需提高警惕。面对学校要求填写的表格，家长不妨多问一句用途和存储方式；若接到能精准报出孩子个人信息的推销电话，留存证据并向网信、公安部门举报，就是最有效的维权方式。