日前�,淘寶近12億條用戶信息被泄露一案引發(fā)關(guān)注�。
河南省商丘市睢陽(yáng)區(qū)人民法院公布的一起案件顯示���,犯罪分子通過(guò)自己開(kāi)發(fā)軟件爬取到了淘寶客戶的數(shù)字ID�����、淘寶昵稱��、手機(jī)號(hào)碼等信息近12億條����,用于從事淘寶客推廣業(yè)務(wù),共獲利34萬(wàn)余元����,最終被判處侵犯公民個(gè)人信息罪。
近年來(lái)�,數(shù)據(jù)泄露案件頻發(fā)。有專家指出�����,盡管企業(yè)在其中也是受害者之一,但是從個(gè)人信息保護(hù)的角度���,只要用戶因信息泄露遭受損失���,平臺(tái)需肩負(fù)一定責(zé)任。
隨著國(guó)家及地方層面的立法紛紛落地�����,壓在我國(guó)企業(yè)數(shù)據(jù)安全的擔(dān)子日漸加重,不履行相關(guān)義務(wù)的將會(huì)面臨罰款����。另一方面,爬蟲(chóng)等網(wǎng)絡(luò)技術(shù)的應(yīng)用也亟需法律規(guī)制�,這些技術(shù)的使用邊界正待進(jìn)一步的規(guī)范。
淘寶近12億條用戶信息被泄露
裁判文書(shū)顯示�,2020年8月�����,淘寶(中國(guó))軟件有限公司報(bào)警稱�����,7月6日至13日時(shí)�,有黑產(chǎn)通過(guò)mtop訂單評(píng)價(jià)接口繞過(guò)平臺(tái)風(fēng)控批量爬取加密數(shù)據(jù)。這期間爬取的字段量巨大����,平均每天爬取數(shù)量為500萬(wàn),爬取內(nèi)容包括買家用戶昵稱����、用戶評(píng)價(jià)內(nèi)容�、昵稱等敏感字段�����。
經(jīng)淘寶排查發(fā)現(xiàn)�,逯某有重大作案嫌疑,其在黎某開(kāi)設(shè)的湖南省瀏陽(yáng)市泰創(chuàng)網(wǎng)絡(luò)科技有限公司(以下簡(jiǎn)稱“瀏陽(yáng)泰創(chuàng)”)任技術(shù)員一職���。
瀏陽(yáng)泰創(chuàng)的主要業(yè)務(wù)是淘寶客����,即在微信群里進(jìn)行淘寶商品的推廣�����,從而獲得淘寶網(wǎng)傭金和商家服務(wù)費(fèi)�。
2019年11月起��,逯某在家中開(kāi)發(fā)爬蟲(chóng)軟件“淘評(píng)評(píng)”�����,通過(guò)淘寶網(wǎng)頁(yè)接口爬取客戶信息,并將其中的手機(jī)號(hào)碼提供給黎某��。
爬取的信息用于何處��?黎某將這些信息數(shù)據(jù)導(dǎo)入一個(gè)名為“微信加人”的軟件中,用以添加微信好友��。據(jù)公司員工描述�����,公司創(chuàng)立了多個(gè)微信群�,最多可能達(dá)1100個(gè),每個(gè)群的人數(shù)在90到200人之間不等�����。這些員工負(fù)責(zé)在群里發(fā)送廣告鏈接���,一旦淘寶用戶在廣告群里購(gòu)買了商品,公司即可獲得傭金。
截至2020年7月��,該公司利用爬取的信息經(jīng)營(yíng)共獲利340187.68元�。經(jīng)司法鑒定,逯某通過(guò)其開(kāi)發(fā)的軟件爬取淘寶客戶的數(shù)字ID�、淘寶昵稱���、手機(jī)號(hào)碼等淘寶客戶信息共計(jì)1180738048條��,逯某將其爬取信息中的淘寶客戶手機(jī)號(hào)碼通過(guò)微信文件的形式發(fā)送給被告人黎某使用共計(jì)19712611條�����。
被爬取的信息是否還用于其他地方��?逯某稱���,除了將手機(jī)號(hào)提供給黎某外,客戶ID和淘寶昵稱都存在了自己的電腦硬盤中�����,未有外泄。黎某方則辯稱����,起訴書(shū)指控395萬(wàn)余是公司全部的經(jīng)營(yíng)額,獲利數(shù)額應(yīng)是37萬(wàn)元����,未將信息用非法目的。上述信息均被法院采納�。
法院最終認(rèn)為,逯某和黎某違反了國(guó)家規(guī)定���,非法獲取公民個(gè)人信息�����,情節(jié)特別嚴(yán)重�����,均已構(gòu)成了侵犯公民個(gè)人信息罪�。綜合其犯罪情節(jié)及社會(huì)危害性����,法院判處黎某有期徒刑3年6個(gè)月��,并處罰金35萬(wàn)�����;逯某有期徒刑3年3個(gè)月��,并處罰金10萬(wàn)�����。
“一般來(lái)說(shuō)�,在類似事件中平臺(tái)往往也是受害者,只要平臺(tái)采取了必要的技術(shù)防護(hù)措施���、在數(shù)據(jù)泄露事件中沒(méi)有過(guò)錯(cuò)���,事發(fā)后能夠及時(shí)向用戶和監(jiān)管部門通知相關(guān)情況��,并采取補(bǔ)救措施、積極挽回?fù)p失���,一般不會(huì)被行政處罰�����?!鄙虾I陚惵蓭熓聞?wù)所律師夏海龍分析�����,但是從個(gè)人信息保護(hù)的角度看���,只要用戶因信息泄露遭受損失���,平臺(tái)就需要首先向用戶賠償損失。
企業(yè)數(shù)據(jù)安全責(zé)任加重
近年來(lái)國(guó)際上頻發(fā)的數(shù)據(jù)泄露事件���,不僅讓涉事平臺(tái)承擔(dān)著高昂的損失費(fèi)用��,還可能因危及大量用戶的個(gè)人信息安全�,面臨著巨額罰款。
2020年11月�����,美國(guó)酒店集團(tuán)萬(wàn)豪就因遭受網(wǎng)絡(luò)攻擊���,致使數(shù)百萬(wàn)客戶個(gè)人數(shù)據(jù)泄露,收到了英國(guó)監(jiān)管機(jī)構(gòu)(ICO)開(kāi)具的1840萬(wàn)英鎊巨額罰單�。ICO調(diào)查發(fā)現(xiàn)����,萬(wàn)豪沒(méi)有按照通用數(shù)據(jù)保護(hù)條例(GDPR)要求,采取適當(dāng)?shù)募夹g(shù)或組織措施來(lái)保護(hù)其系統(tǒng)上的個(gè)人數(shù)據(jù)�。
社交巨頭臉書(shū)亦多次深陷數(shù)據(jù)泄露的泥潭。今年4月�����,臉書(shū)被指泄露5.33億用戶數(shù)據(jù)���,盡管后來(lái)澄清系2年前的舊消息��,并已修復(fù)相關(guān)漏洞�。但不由讓人聯(lián)想起2018年英國(guó)“劍橋分析”公司非法獲取8700萬(wàn)臉書(shū)用戶數(shù)據(jù)一事���,此案最終以臉書(shū)同意支付50億美元罰款落幕�����。
隨著國(guó)家及地方的立法紛紛落地���,壓在我國(guó)企業(yè)肩頭的數(shù)據(jù)安全的擔(dān)子也將逐漸變重��。
6月10日通過(guò)的《數(shù)據(jù)安全法》規(guī)定����,開(kāi)展數(shù)據(jù)活動(dòng)的組織、個(gè)人不履行數(shù)據(jù)安全保護(hù)義務(wù)的(包括采取必要措施保障數(shù)據(jù)安全�、加強(qiáng)風(fēng)險(xiǎn)監(jiān)測(cè)、開(kāi)展風(fēng)險(xiǎn)評(píng)估等)��,由有關(guān)主管部門責(zé)令改正,給予警告���,可以并處5萬(wàn)元以上50萬(wàn)元以下罰款�����。
正在二審的《個(gè)人信息保護(hù)法》草案也對(duì)個(gè)人信息處理者提出了相應(yīng)要求����,如制定內(nèi)部管理制度和操作規(guī)程��、對(duì)個(gè)人信息實(shí)行分類管理�、采取相應(yīng)的加密��、采取相應(yīng)的加密和去標(biāo)識(shí)化等安全技術(shù)措施、制定并組織實(shí)施個(gè)人信息安全事件應(yīng)急預(yù)案等�。
深圳、上海、天津�����、安徽等地的數(shù)據(jù)立法同樣高度重視數(shù)據(jù)安全問(wèn)題��。
如6月2日發(fā)布的《深圳經(jīng)濟(jì)特區(qū)數(shù)據(jù)條例(征求意見(jiàn)稿)》提到�,數(shù)據(jù)處理者應(yīng)當(dāng)落實(shí)數(shù)據(jù)安全管理責(zé)任����,防止數(shù)據(jù)泄露�����、毀損��、丟失�����、篡改和非法使用,落實(shí)監(jiān)測(cè)預(yù)警措施����,制定數(shù)據(jù)安全應(yīng)急預(yù)案��,風(fēng)險(xiǎn)發(fā)生時(shí)及時(shí)告知相關(guān)權(quán)利人,并向網(wǎng)信部門和有關(guān)行業(yè)主管部門報(bào)告���。
不當(dāng)使用爬蟲(chóng)涉多重法律風(fēng)險(xiǎn)
對(duì)內(nèi)�,作為數(shù)據(jù)收集和處理者的企業(yè)應(yīng)建立起完善的數(shù)據(jù)保護(hù)體系;對(duì)外,爬蟲(chóng)等網(wǎng)絡(luò)技術(shù)的應(yīng)用也亟需進(jìn)一步規(guī)范�。
網(wǎng)絡(luò)爬蟲(chóng)是互聯(lián)網(wǎng)時(shí)代一項(xiàng)運(yùn)用非常普遍的網(wǎng)絡(luò)信息搜索技術(shù),最早應(yīng)用于搜索引擎領(lǐng)域����,通過(guò)搜集網(wǎng)頁(yè)上的信息或數(shù)據(jù),將其納入數(shù)據(jù)庫(kù)中���。
不當(dāng)使用網(wǎng)絡(luò)爬蟲(chóng)技術(shù)可能帶來(lái)多重法律風(fēng)險(xiǎn)����。除了上述提到的非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)�、非法控制計(jì)算機(jī)信息系統(tǒng)罪和侵犯公民個(gè)人信息罪,還可能觸及侵犯著作權(quán)罪����、詐騙罪���,構(gòu)成不正當(dāng)競(jìng)爭(zhēng)等。
如上海市徐匯區(qū)人民法院公布的一起案件中����,段某于2013年開(kāi)設(shè)視頻網(wǎng)站���,未經(jīng)著作權(quán)人許可,利用爬蟲(chóng)技術(shù)對(duì)樂(lè)視、土豆等視頻網(wǎng)站的影視作品設(shè)置加框鏈接�����,屏蔽片頭廣告�,轉(zhuǎn)而在自己的網(wǎng)頁(yè)內(nèi)發(fā)布廣告�,獲利74萬(wàn)多元��。法院最終判定段某構(gòu)成侵犯著作權(quán)罪。
另一則上海市寶山區(qū)人民法院公布的案件中���,爬蟲(chóng)技術(shù)成為了實(shí)施詐騙的工具����。葉某雇傭他人����,通過(guò)購(gòu)買爬蟲(chóng)軟件獲取淘寶網(wǎng)新開(kāi)店店家信息���,冒充淘寶客服人員向店家發(fā)送店鋪未激活��、交易關(guān)閉等虛假信息,以幫助店家解決問(wèn)題為由誘騙被害人同意其進(jìn)行遠(yuǎn)程協(xié)助并提供支付寶賬戶及密碼��,后其通過(guò)電腦遠(yuǎn)程操作的方式使用被害人支付寶為視頻賬戶充值�����。法院認(rèn)為,葉某的行為構(gòu)成詐騙罪����。
與爬蟲(chóng)相關(guān)的法律問(wèn)題,更多的是涉及壟斷及不正當(dāng)競(jìng)爭(zhēng)的爭(zhēng)議�。如2013年的“百度訴360案”、2017年的“酷米客訴車來(lái)了案”,以及2016年的“微博訴脈脈非法抓取用戶信息案”。
6月14日,美國(guó)最高法院要求下級(jí)法院重審領(lǐng)英訴訟競(jìng)爭(zhēng)對(duì)手hiQ Labs抓取用戶公開(kāi)資料一案��。此前���,因相關(guān)法案并不禁止公司抓取可在互聯(lián)網(wǎng)上公開(kāi)訪問(wèn)的數(shù)據(jù),領(lǐng)英敗訴���。
這些案件的爭(zhēng)議點(diǎn)多為數(shù)據(jù)權(quán)屬問(wèn)題,網(wǎng)絡(luò)爬蟲(chóng)能輕易收集用戶數(shù)據(jù)���,而在數(shù)據(jù)即石油的將來(lái)���,保有對(duì)用戶數(shù)據(jù)的控制權(quán)是各互聯(lián)網(wǎng)經(jīng)營(yíng)者的必爭(zhēng)之地����。
以“微博訴脈脈非法抓取用戶信息案”為例�����,人脈社交應(yīng)用脈脈上線之初曾與新浪微博合作���,用戶可通過(guò)微博賬號(hào)和個(gè)人手機(jī)號(hào)注冊(cè)登錄脈脈�。但新浪微博發(fā)現(xiàn)�,脈脈還大量抓取、使用了新浪微博用戶的頭像、名稱�����、職業(yè)����、教育等信息��。雙方遂終止合作,新浪微博提起訴訟�。
一審和二審法院均認(rèn)為,脈脈的上述行為構(gòu)成不正當(dāng)競(jìng)爭(zhēng)��。法院二審判決指出�����,在數(shù)據(jù)資源已經(jīng)成為互聯(lián)網(wǎng)企業(yè)重要的競(jìng)爭(zhēng)優(yōu)勢(shì)及商業(yè)資源的情況下����,互聯(lián)網(wǎng)行業(yè)中��,企業(yè)競(jìng)爭(zhēng)力不僅體現(xiàn)在技術(shù)配備�,還體現(xiàn)在其擁有的數(shù)據(jù)規(guī)模�����。脈脈違反《開(kāi)發(fā)者協(xié)議》��,未經(jīng)用戶同意且未經(jīng)新浪微博授權(quán)����,獲取其用戶的相關(guān)信息并展示在脈脈應(yīng)用的人脈詳情中,侵害了新浪微博的商業(yè)資源���,不正當(dāng)?shù)墨@取競(jìng)爭(zhēng)優(yōu)勢(shì),這種競(jìng)爭(zhēng)行為已經(jīng)超出了法律所保護(hù)的正當(dāng)競(jìng)爭(zhēng)行為。
目前�����,我國(guó)尚未有針對(duì)網(wǎng)絡(luò)爬蟲(chóng)技術(shù)的配套法律法規(guī)��。多重糾紛之下��,網(wǎng)絡(luò)爬蟲(chóng)的使用邊界正在被規(guī)范���。在網(wǎng)信辦2019年5月發(fā)布的《數(shù)據(jù)安全管理辦法(征求意見(jiàn)稿)》中���,首次劃定了網(wǎng)絡(luò)爬蟲(chóng)的法律紅線���。
意見(jiàn)稿第2章第16條規(guī)定�����,網(wǎng)絡(luò)運(yùn)營(yíng)者采取自動(dòng)化手段訪問(wèn)收集網(wǎng)站數(shù)據(jù)��,不得妨礙網(wǎng)站正常運(yùn)行�;此類行為嚴(yán)重影響網(wǎng)站運(yùn)行,如自動(dòng)化訪問(wèn)收集流量超過(guò)網(wǎng)站日均流量三分之一�����,網(wǎng)站要求停止自動(dòng)化訪問(wèn)收集時(shí)��,應(yīng)當(dāng)停止�。
轉(zhuǎn)自:21世紀(jì)經(jīng)濟(jì)報(bào)道
【版權(quán)及免責(zé)聲明】凡本網(wǎng)所屬版權(quán)作品,轉(zhuǎn)載時(shí)須獲得授權(quán)并注明來(lái)源“中國(guó)產(chǎn)業(yè)經(jīng)濟(jì)信息網(wǎng)”����,違者本網(wǎng)將保留追究其相關(guān)法律責(zé)任的權(quán)力。凡轉(zhuǎn)載文章及企業(yè)宣傳資訊�����,僅代表作者個(gè)人觀點(diǎn)�����,不代表本網(wǎng)觀點(diǎn)和立場(chǎng)�����。版權(quán)事宜請(qǐng)聯(lián)系:010-65363056�����。
延伸閱讀
