日前,淘寶近12億條用戶信息被泄露一案引發(fā)關(guān)注。
河南省商丘市睢陽區(qū)人民法院公布的一起案件顯示,犯罪分子通過自己開發(fā)軟件爬取到了淘寶客戶的數(shù)字ID、淘寶昵稱、手機(jī)號(hào)碼等信息近12億條,用于從事淘寶客推廣業(yè)務(wù),共獲利34萬余元,最終被判處侵犯公民個(gè)人信息罪。
近年來,數(shù)據(jù)泄露案件頻發(fā)。有專家指出,盡管企業(yè)在其中也是受害者之一,但是從個(gè)人信息保護(hù)的角度,只要用戶因信息泄露遭受損失,平臺(tái)需肩負(fù)一定責(zé)任。
隨著國家及地方層面的立法紛紛落地,壓在我國企業(yè)數(shù)據(jù)安全的擔(dān)子日漸加重,不履行相關(guān)義務(wù)的將會(huì)面臨罰款。另一方面,爬蟲等網(wǎng)絡(luò)技術(shù)的應(yīng)用也亟需法律規(guī)制,這些技術(shù)的使用邊界正待進(jìn)一步的規(guī)范。
淘寶近12億條用戶信息被泄露
裁判文書顯示,2020年8月,淘寶(中國)軟件有限公司報(bào)警稱,7月6日至13日時(shí),有黑產(chǎn)通過mtop訂單評(píng)價(jià)接口繞過平臺(tái)風(fēng)控批量爬取加密數(shù)據(jù)。這期間爬取的字段量巨大,平均每天爬取數(shù)量為500萬,爬取內(nèi)容包括買家用戶昵稱、用戶評(píng)價(jià)內(nèi)容、昵稱等敏感字段。
經(jīng)淘寶排查發(fā)現(xiàn),逯某有重大作案嫌疑,其在黎某開設(shè)的湖南省瀏陽市泰創(chuàng)網(wǎng)絡(luò)科技有限公司(以下簡稱“瀏陽泰創(chuàng)”)任技術(shù)員一職。
瀏陽泰創(chuàng)的主要業(yè)務(wù)是淘寶客,即在微信群里進(jìn)行淘寶商品的推廣,從而獲得淘寶網(wǎng)傭金和商家服務(wù)費(fèi)。
2019年11月起,逯某在家中開發(fā)爬蟲軟件“淘評(píng)評(píng)”,通過淘寶網(wǎng)頁接口爬取客戶信息,并將其中的手機(jī)號(hào)碼提供給黎某。
爬取的信息用于何處?黎某將這些信息數(shù)據(jù)導(dǎo)入一個(gè)名為“微信加人”的軟件中,用以添加微信好友。據(jù)公司員工描述,公司創(chuàng)立了多個(gè)微信群,最多可能達(dá)1100個(gè),每個(gè)群的人數(shù)在90到200人之間不等。這些員工負(fù)責(zé)在群里發(fā)送廣告鏈接,一旦淘寶用戶在廣告群里購買了商品,公司即可獲得傭金。
截至2020年7月,該公司利用爬取的信息經(jīng)營共獲利340187.68元。經(jīng)司法鑒定,逯某通過其開發(fā)的軟件爬取淘寶客戶的數(shù)字ID、淘寶昵稱、手機(jī)號(hào)碼等淘寶客戶信息共計(jì)1180738048條,逯某將其爬取信息中的淘寶客戶手機(jī)號(hào)碼通過微信文件的形式發(fā)送給被告人黎某使用共計(jì)19712611條。
被爬取的信息是否還用于其他地方?逯某稱,除了將手機(jī)號(hào)提供給黎某外,客戶ID和淘寶昵稱都存在了自己的電腦硬盤中,未有外泄。黎某方則辯稱,起訴書指控395萬余是公司全部的經(jīng)營額,獲利數(shù)額應(yīng)是37萬元,未將信息用非法目的。上述信息均被法院采納。
法院最終認(rèn)為,逯某和黎某違反了國家規(guī)定,非法獲取公民個(gè)人信息,情節(jié)特別嚴(yán)重,均已構(gòu)成了侵犯公民個(gè)人信息罪。綜合其犯罪情節(jié)及社會(huì)危害性,美國服務(wù)器,法院判處黎某有期徒刑3年6個(gè)月,并處罰金35萬;逯某有期徒刑3年3個(gè)月,并處罰金10萬。
“一般來說,在類似事件中平臺(tái)往往也是受害者,只要平臺(tái)采取了必要的技術(shù)防護(hù)措施、在數(shù)據(jù)泄露事件中沒有過錯(cuò),事發(fā)后能夠及時(shí)向用戶和監(jiān)管部門通知相關(guān)情況,并采取補(bǔ)救措施、積極挽回?fù)p失,一般不會(huì)被行政處罰。”上海申倫律師事務(wù)所律師夏海龍分析,但是從個(gè)人信息保護(hù)的角度看,只要用戶因信息泄露遭受損失,平臺(tái)就需要首先向用戶賠償損失。
企業(yè)數(shù)據(jù)安全責(zé)任加重
近年來國際上頻發(fā)的數(shù)據(jù)泄露事件,不僅讓涉事平臺(tái)承擔(dān)著高昂的損失費(fèi)用,還可能因危及大量用戶的個(gè)人信息安全,面臨著巨額罰款。
2020年11月,美國酒店集團(tuán)萬豪就因遭受網(wǎng)絡(luò)攻擊,致使數(shù)百萬客戶個(gè)人數(shù)據(jù)泄露,收到了英國監(jiān)管機(jī)構(gòu)(ICO)開具的1840萬英鎊巨額罰單。ICO調(diào)查發(fā)現(xiàn),萬豪沒有按照通用數(shù)據(jù)保護(hù)條例(GDPR)要求,采取適當(dāng)?shù)募夹g(shù)或組織措施來保護(hù)其系統(tǒng)上的個(gè)人數(shù)據(jù)。
社交巨頭臉書亦多次深陷數(shù)據(jù)泄露的泥潭。今年4月,臉書被指泄露5.33億用戶數(shù)據(jù),盡管后來澄清系2年前的舊消息,并已修復(fù)相關(guān)漏洞。但不由讓人聯(lián)想起2018年英國“劍橋分析”公司非法獲取8700萬臉書用戶數(shù)據(jù)一事,此案最終以臉書同意支付50億美元罰款落幕。
隨著國家及地方的立法紛紛落地,壓在我國企業(yè)肩頭的數(shù)據(jù)安全的擔(dān)子也將逐漸變重。
6月10日通過的《數(shù)據(jù)安全法》規(guī)定,開展數(shù)據(jù)活動(dòng)的組織、個(gè)人不履行數(shù)據(jù)安全保護(hù)義務(wù)的(包括采取必要措施保障數(shù)據(jù)安全、加強(qiáng)風(fēng)險(xiǎn)監(jiān)測、開展風(fēng)險(xiǎn)評(píng)估等),由有關(guān)主管部門責(zé)令改正,給予警告,可以并處5萬元以上50萬元以下罰款。
正在二審的《個(gè)人信息保護(hù)法》草案也對(duì)個(gè)人信息處理者提出了相應(yīng)要求,如制定內(nèi)部管理制度和操作規(guī)程、對(duì)個(gè)人信息實(shí)行分類管理、采取相應(yīng)的加密、采取相應(yīng)的加密和去標(biāo)識(shí)化等安全技術(shù)措施、制定并組織實(shí)施個(gè)人信息安全事件應(yīng)急預(yù)案等。
深圳、上海、天津、安徽等地的數(shù)據(jù)立法同樣高度重視數(shù)據(jù)安全問題。
