近12億條用戶信息被泄露:數據爬取需規范 平臺擔何責?

  日前,淘寶近12億條用戶信息被泄露一案引發關注。

  河南省商丘市睢陽區人民法院公布的一起案件顯示,犯罪分子通過自己開發軟件爬取到了淘寶客戶的數字ID、淘寶昵稱、手機號碼等信息近12億條,用于從事淘寶客推廣業務,共獲利34萬余元,最終被判處侵犯公民個人信息罪。

  近年來,數據泄露案件頻發。有專家指出,盡管企業在其中也是受害者之一,但是從個人信息保護的角度,只要用戶因信息泄露遭受損失,平臺需肩負一定責任。

  隨著國家及地方層面的立法紛紛落地,壓在我國企業數據安全的擔子日漸加重,不履行相關義務的將會面臨罰款。另一方面,爬蟲等網絡技術的應用也亟需法律規制,這些技術的使用邊界正待進一步的規范。

  淘寶近12億條用戶信息被泄露

  裁判文書顯示,2020年8月,淘寶(中國)軟件有限公司報警稱,7月6日至13日時,有黑產通過mtop訂單評價接口繞過平臺風控批量爬取加密數據。這期間爬取的字段量巨大,平均每天爬取數量為500萬,爬取內容包括買家用戶昵稱、用戶評價內容、昵稱等敏感字段。

  經淘寶排查發現,逯某有重大作案嫌疑,其在黎某開設的湖南省瀏陽市泰創網絡科技有限公司(以下簡稱“瀏陽泰創”)任技術員一職。

  瀏陽泰創的主要業務是淘寶客,即在微信群里進行淘寶商品的推廣,從而獲得淘寶網傭金和商家服務費。

  2019年11月起,逯某在家中開發爬蟲軟件“淘評評”,通過淘寶網頁接口爬取客戶信息,并將其中的手機號碼提供給黎某。

  爬取的信息用于何處?黎某將這些信息數據導入一個名為“微信加人”的軟件中,用以添加微信好友。據公司員工描述,公司創立了多個微信群,最多可能達1100個,每個群的人數在90到200人之間不等。這些員工負責在群里發送廣告鏈接,一旦淘寶用戶在廣告群里購買了商品,公司即可獲得傭金。

  截至2020年7月,該公司利用爬取的信息經營共獲利340187.68元。經司法鑒定,逯某通過其開發的軟件爬取淘寶客戶的數字ID、淘寶昵稱、手機號碼等淘寶客戶信息共計1180738048條,逯某將其爬取信息中的淘寶客戶手機號碼通過微信文件的形式發送給被告人黎某使用共計19712611條。

  被爬取的信息是否還用于其他地方?逯某稱,除了將手機號提供給黎某外,客戶ID和淘寶昵稱都存在了自己的電腦硬盤中,未有外泄。黎某方則辯稱,起訴書指控395萬余是公司全部的經營額,獲利數額應是37萬元,未將信息用非法目的。上述信息均被法院采納。

  法院最終認為,逯某和黎某違反了國家規定,非法獲取公民個人信息,情節特別嚴重,均已構成了侵犯公民個人信息罪。綜合其犯罪情節及社會危害性,法院判處黎某有期徒刑3年6個月,并處罰金35萬;逯某有期徒刑3年3個月,并處罰金10萬。

  “一般來說,在類似事件中平臺往往也是受害者,只要平臺采取了必要的技術防護措施、在數據泄露事件中沒有過錯,事發后能夠及時向用戶和監管部門通知相關情況,并采取補救措施、積極挽回損失,一般不會被行政處罰!鄙虾I陚惵蓭熓聞账蓭熛暮}埛治,但是從個人信息保護的角度看,只要用戶因信息泄露遭受損失,平臺就需要首先向用戶賠償損失。

  企業數據安全責任加重

  近年來國際上頻發的數據泄露事件,不僅讓涉事平臺承擔著高昂的損失費用,還可能因危及大量用戶的個人信息安全,面臨著巨額罰款。

  2020年11月,美國酒店集團萬豪就因遭受網絡攻擊,致使數百萬客戶個人數據泄露,收到了英國監管機構(ICO)開具的1840萬英鎊巨額罰單。ICO調查發現,萬豪沒有按照通用數據保護條例(GDPR)要求,采取適當的技術或組織措施來保護其系統上的個人數據。

  社交巨頭臉書亦多次深陷數據泄露的泥潭。今年4月,臉書被指泄露5.33億用戶數據,盡管后來澄清系2年前的舊消息,并已修復相關漏洞。但不由讓人聯想起2018年英國“劍橋分析”公司非法獲取8700萬臉書用戶數據一事,此案最終以臉書同意支付50億美元罰款落幕。

  隨著國家及地方的立法紛紛落地,壓在我國企業肩頭的數據安全的擔子也將逐漸變重。

  6月10日通過的《數據安全法》規定,開展數據活動的組織、個人不履行數據安全保護義務的(包括采取必要措施保障數據安全、加強風險監測、開展風險評估等),由有關主管部門責令改正,給予警告,可以并處5萬元以上50萬元以下罰款。

  正在二審的《個人信息保護法》草案也對個人信息處理者提出了相應要求,如制定內部管理制度和操作規程、對個人信息實行分類管理、采取相應的加密、采取相應的加密和去標識化等安全技術措施、制定并組織實施個人信息安全事件應急預案等。

  深圳、上海、天津、安徽等地的數據立法同樣高度重視數據安全問題。

  如6月2日發布的《深圳經濟特區數據條例(征求意見稿)》提到,數據處理者應當落實數據安全管理責任,防止數據泄露、毀損、丟失、篡改和非法使用,落實監測預警措施,制定數據安全應急預案,風險發生時及時告知相關權利人,并向網信部門和有關行業主管部門報告。

  不當使用爬蟲涉多重法律風險

  對內,作為數據收集和處理者的企業應建立起完善的數據保護體系;對外,爬蟲等網絡技術的應用也亟需進一步規范。

  網絡爬蟲是互聯網時代一項運用非常普遍的網絡信息搜索技術,最早應用于搜索引擎領域,通過搜集網頁上的信息或數據,將其納入數據庫中。

  不當使用網絡爬蟲技術可能帶來多重法律風險。除了上述提到的非法獲取計算機信息系統數據、非法控制計算機信息系統罪和侵犯公民個人信息罪,還可能觸及侵犯著作權罪、詐騙罪,構成不正當競爭等。

  如上海市徐匯區人民法院公布的一起案件中,段某于2013年開設視頻網站,未經著作權人許可,利用爬蟲技術對樂視、土豆等視頻網站的影視作品設置加框鏈接,屏蔽片頭廣告,轉而在自己的網頁內發布廣告,獲利74萬多元。法院最終判定段某構成侵犯著作權罪。

  另一則上海市寶山區人民法院公布的案件中,爬蟲技術成為了實施詐騙的工具。葉某雇傭他人,通過購買爬蟲軟件獲取淘寶網新開店店家信息,冒充淘寶客服人員向店家發送店鋪未激活、交易關閉等虛假信息,以幫助店家解決問題為由誘騙被害人同意其進行遠程協助并提供支付寶賬戶及密碼,后其通過電腦遠程操作的方式使用被害人支付寶為視頻賬戶充值。法院認為,葉某的行為構成詐騙罪。

  與爬蟲相關的法律問題,更多的是涉及壟斷及不正當競爭的爭議。如2013年的“百度訴360案”、2017年的“酷米客訴車來了案”,以及2016年的“微博訴脈脈非法抓取用戶信息案”。

  6月14日,美國最高法院要求下級法院重審領英訴訟競爭對手hiQ Labs抓取用戶公開資料一案。此前,因相關法案并不禁止公司抓取可在互聯網上公開訪問的數據,領英敗訴。

  這些案件的爭議點多為數據權屬問題,網絡爬蟲能輕易收集用戶數據,而在數據即石油的將來,保有對用戶數據的控制權是各互聯網經營者的必爭之地。

  以“微博訴脈脈非法抓取用戶信息案”為例,人脈社交應用脈脈上線之初曾與新浪微博合作,用戶可通過微博賬號和個人手機號注冊登錄脈脈。但新浪微博發現,脈脈還大量抓取、使用了新浪微博用戶的頭像、名稱、職業、教育等信息。雙方遂終止合作,新浪微博提起訴訟。

  一審和二審法院均認為,脈脈的上述行為構成不正當競爭。法院二審判決指出,在數據資源已經成為互聯網企業重要的競爭優勢及商業資源的情況下,互聯網行業中,企業競爭力不僅體現在技術配備,還體現在其擁有的數據規模。脈脈違反《開發者協議》,未經用戶同意且未經新浪微博授權,獲取其用戶的相關信息并展示在脈脈應用的人脈詳情中,侵害了新浪微博的商業資源,不正當的獲取競爭優勢,這種競爭行為已經超出了法律所保護的正當競爭行為。

  目前,我國尚未有針對網絡爬蟲技術的配套法律法規。多重糾紛之下,網絡爬蟲的使用邊界正在被規范。在網信辦2019年5月發布的《數據安全管理辦法(征求意見稿)》中,首次劃定了網絡爬蟲的法律紅線。

  意見稿第2章第16條規定,網絡運營者采取自動化手段訪問收集網站數據,不得妨礙網站正常運行;此類行為嚴重影響網站運行,如自動化訪問收集流量超過網站日均流量三分之一,網站要求停止自動化訪問收集時,應當停止。

不一样的视频免费观看