日前，淘寶近12億條用戶信息被泄露一案引發關注。

河南省商丘市睢陽區人民法院公布的一起案件顯示，犯罪分子通過自己開發軟件爬取到了淘寶客戶的數字ID、淘寶昵稱、手機號碼等信息近12億條，用于從事淘寶客推廣業務，共獲利34萬余元，最終被判處侵犯公民個人信息罪。

近年來，數據泄露案件頻發。有專家指出，盡管企業在其中也是受害者之一，但是從個人信息保護的角度，只要用戶因信息泄露遭受損失，平臺需肩負一定責任。

隨著國家及地方層面的立法紛紛落地，壓在我國企業數據安全的擔子日漸加重，不履行相關義務的將會面臨罰款。另一方面，爬蟲等網絡技術的應用也亟需法律規制，這些技術的使用邊界正待進一步的規范。

淘寶近12億條用戶信息被泄露

裁判文書顯示，2020年8月，淘寶（中國）軟件有限公司報警稱，7月6日至13日時，有黑產通過mtop訂單評價接口繞過平臺風控批量爬取加密數據。這期間爬取的字段量巨大，平均每天爬取數量為500萬，爬取內容包括買家用戶昵稱、用戶評價內容、昵稱等敏感字段。

經淘寶排查發現，逯某有重大作案嫌疑，其在黎某開設的湖南省瀏陽市泰創網絡科技有限公司（以下簡稱“瀏陽泰創”）任技術員一職。

瀏陽泰創的主要業務是淘寶客，即在微信群里進行淘寶商品的推廣，從而獲得淘寶網傭金和商家服務費。

2019年11月起，逯某在家中開發爬蟲軟件“淘評評”，通過淘寶網頁接口爬取客戶信息，并將其中的手機號碼提供給黎某。

爬取的信息用于何處？黎某將這些信息數據導入一個名為“微信加人”的軟件中，用以添加微信好友。據公司員工描述，公司創立了多個微信群，最多可能達1100個，每個群的人數在90到200人之間不等。這些員工負責在群里發送廣告鏈接，一旦淘寶用戶在廣告群里購買了商品，公司即可獲得傭金。

截至2020年7月，該公司利用爬取的信息經營共獲利340187.68元。經司法鑒定，逯某通過其開發的軟件爬取淘寶客戶的數字ID、淘寶昵稱、手機號碼等淘寶客戶信息共計1180738048條，逯某將其爬取信息中的淘寶客戶手機號碼通過微信文件的形式發送給被告人黎某使用共計19712611條。

被爬取的信息是否還用于其他地方？逯某稱，除了將手機號提供給黎某外，客戶ID和淘寶昵稱都存在了自己的電腦硬盤中，未有外泄。黎某方則辯稱，起訴書指控395萬余是公司全部的經營額，獲利數額應是37萬元，未將信息用非法目的。上述信息均被法院采納。

法院最終認為，逯某和黎某違反了國家規定，非法獲取公民個人信息，情節特別嚴重，均已構成了侵犯公民個人信息罪。綜合其犯罪情節及社會危害性，美國服務器，法院判處黎某有期徒刑3年6個月，并處罰金35萬；逯某有期徒刑3年3個月，并處罰金10萬。

“一般來說，在類似事件中平臺往往也是受害者，只要平臺采取了必要的技術防護措施、在數據泄露事件中沒有過錯，事發后能夠及時向用戶和監管部門通知相關情況，并采取補救措施、積極挽回損失，一般不會被行政處罰。”上海申倫律師事務所律師夏海龍分析，但是從個人信息保護的角度看，只要用戶因信息泄露遭受損失，平臺就需要首先向用戶賠償損失。

企業數據安全責任加重

近年來國際上頻發的數據泄露事件，不僅讓涉事平臺承擔著高昂的損失費用，還可能因危及大量用戶的個人信息安全，面臨著巨額罰款。

2020年11月，美國酒店集團萬豪就因遭受網絡攻擊，致使數百萬客戶個人數據泄露，收到了英國監管機構（ICO）開具的1840萬英鎊巨額罰單。ICO調查發現，萬豪沒有按照通用數據保護條例（GDPR）要求，采取適當的技術或組織措施來保護其系統上的個人數據。

社交巨頭臉書亦多次深陷數據泄露的泥潭。今年4月，臉書被指泄露5.33億用戶數據，盡管后來澄清系2年前的舊消息，并已修復相關漏洞。但不由讓人聯想起2018年英國“劍橋分析”公司非法獲取8700萬臉書用戶數據一事，此案最終以臉書同意支付50億美元罰款落幕。

隨著國家及地方的立法紛紛落地，壓在我國企業肩頭的數據安全的擔子也將逐漸變重。

6月10日通過的《數據安全法》規定，開展數據活動的組織、個人不履行數據安全保護義務的（包括采取必要措施保障數據安全、加強風險監測、開展風險評估等），由有關主管部門責令改正，給予警告，可以并處5萬元以上50萬元以下罰款。

正在二審的《個人信息保護法》草案也對個人信息處理者提出了相應要求，如制定內部管理制度和操作規程、對個人信息實行分類管理、采取相應的加密、采取相應的加密和去標識化等安全技術措施、制定并組織實施個人信息安全事件應急預案等。

深圳、上海、天津、安徽等地的數據立法同樣高度重視數據安全問題。