近12億條電商用戶信息被泄露:平臺該承擔何責?
(原標題:近12億條電商用戶信息被泄露:數據爬取亟需規範 平臺又該承擔何責?)
日前,淘寶近12億條用戶信息被泄露一案引發關注。
河南省商丘市睢陽區人民法院公佈的一起案件顯示,犯罪分子通過自己開發軟件爬取到了淘寶客戶的數字ID、淘寶暱稱、手機號碼等信息近12億條,用於從事淘寶客推廣業務,共獲利34萬餘元,最終被判處侵犯公民個人信息罪。
近年來,數據泄露案件頻發。有專家指出,儘管企業在其中也是受害者之一,但是從個人信息保護的角度,只要用戶因信息泄露遭受損失,平臺需肩負一定責任。
隨着國家及地方層面的立法紛紛落地,壓在我國企業數據安全的擔子日漸加重,不履行相關義務的將會面臨罰款。另一方面,爬蟲等網絡技術的應用也亟需法律規制,這些技術的使用邊界正待進一步的規範。
淘寶近12億條用戶信息被泄露
裁判文書顯示,2020年8月,淘寶(中國)軟件有限公司報警稱,7月6日至13日時,有黑產通過mtop訂單評價接口繞過平臺風控批量爬取加密數據。這期間爬取的字段量巨大,平均每天爬取數量爲500萬,爬取內容包括買家用戶暱稱、用戶評價內容、暱稱等敏感字段。
經淘寶排查發現,逯某有重大作案嫌疑,其在黎某開設的湖南省瀏陽市泰創網絡科技有限公司(以下簡稱“瀏陽泰創”)任技術員一職。
瀏陽泰創的主要業務是淘寶客,即在微信羣裡進行淘寶商品的推廣,從而獲得淘寶網佣金和商家服務費。
2019年11月起,逯某在家中開發爬蟲軟件“淘評評”,通過淘寶網頁接口爬取客戶信息,並將其中的手機號碼提供給黎某。
爬取的信息用於何處?黎某將這些信息數據導入一個名爲“微信加人”的軟件中,用以添加微信好友。據公司員工描述,公司創立了多個微信羣,最多可能達1100個,每個羣的人數在90到200人之間不等。這些員工負責在羣裡發送廣告鏈接,一旦淘寶用戶在廣告羣裡購買了商品,公司即可獲得佣金。
截至2020年7月,該公司利用爬取的信息經營共獲利340187.68元。經司法鑑定,逯某通過其開發的軟件爬取淘寶客戶的數字ID、淘寶暱稱、手機號碼等淘寶客戶信息共計1180738048條,逯某將其爬取信息中的淘寶客戶手機號碼通過微信文件的形式發送給被告人黎某使用共計19712611條。
被爬取的信息是否還用於其他地方?逯某稱,除了將手機號提供給黎某外,客戶ID和淘寶暱稱都存在了自己的電腦硬盤中,未有外泄。黎某方則辯稱,起訴書指控395萬餘是公司全部的經營額,獲利數額應是37萬元,未將信息用非法目的。上述信息均被法院採納。
法院最終認爲,逯某和黎某違反了國家規定,非法獲取公民個人信息,情節特別嚴重,均已構成了侵犯公民個人信息罪。綜合其犯罪情節及社會危害性,法院判處黎某有期徒刑3年6個月,並處罰金35萬;逯某有期徒刑3年3個月,並處罰金10萬。
“一般來說,在類似事件中平臺往往也是受害者,只要平臺採取了必要的技術防護措施、在數據泄露事件中沒有過錯,事發後能夠及時向用戶和監管部門通知相關情況,並採取補救措施、積極挽回損失,一般不會被行政處罰。”上海申倫律師事務所律師夏海龍分析,但是從個人信息保護的角度看,只要用戶因信息泄露遭受損失,平臺就需要首先向用戶賠償損失。
企業數據安全責任加重
近年來國際上頻發的數據泄露事件,不僅讓涉事平臺承擔着高昂的損失費用,還可能因危及大量用戶的個人信息安全,面臨着鉅額罰款。
2020年11月,美國酒店集團萬豪就因遭受網絡攻擊,致使數百萬客戶個人數據泄露,收到了英國監管機構(ICO)開具的1840萬英鎊鉅額罰單。ICO調查發現,萬豪沒有按照通用數據保護條例(GDPR)要求,採取適當的技術或組織措施來保護其系統上的個人數據。
社交巨頭臉書亦多次深陷數據泄露的泥潭。今年4月,臉書被指泄露5.33億用戶數據,儘管後來澄清系2年前的舊消息,並已修復相關漏洞。但不由讓人聯想起2018年英國“劍橋分析”公司非法獲取8700萬臉書用戶數據一事,此案最終以臉書同意支付50億美元罰款落幕。
隨着國家及地方的立法紛紛落地,壓在我國企業肩頭的數據安全的擔子也將逐漸變重。
6月10日通過的《數據安全法》規定,開展數據活動的組織、個人不履行數據安全保護義務的(包括採取必要措施保障數據安全、加強風險監測、開展風險評估等),由有關主管部門責令改正,給予警告,可以並處5萬元以上50萬元以下罰款。
正在二審的《個人信息保護法》草案也對個人信息處理者提出了相應要求,如制定內部管理制度和操作規程、對個人信息實行分類管理、採取相應的加密、採取相應的加密和去標識化等安全技術措施、制定並組織實施個人信息安全事件應急預案等。
深圳、上海、天津、安徽等地的數據立法同樣高度重視數據安全問題。
如6月2日發佈的《深圳經濟特區數據條例(徵求意見稿)》提到,數據處理者應當落實數據安全管理責任,防止數據泄露、毀損、丟失、篡改和非法使用,落實監測預警措施,制定數據安全應急預案,風險發生時及時告知相關權利人,並向網信部門和有關行業主管部門報告。
不當使用爬蟲涉多重法律風險
對內,作爲數據收集和處理者的企業應建立起完善的數據保護體系;對外,爬蟲等網絡技術的應用也亟需進一步規範。
網絡爬蟲是互聯網時代一項運用非常普遍的網絡信息搜索技術,最早應用於搜索引擎領域,通過蒐集網頁上的信息或數據,將其納入數據庫中。
不當使用網絡爬蟲技術可能帶來多重法律風險。除了上述提到的非法獲取計算機信息系統數據、非法控制計算機信息系統罪和侵犯公民個人信息罪,還可能觸及侵犯著作權罪、詐騙罪,構成不正當競爭等。
如上海市徐彙區人民法院公佈的一起案件中,段某於2013年開設視頻網站,未經著作權人許可,利用爬蟲技術對樂視、土豆等視頻網站的影視作品設置加框鏈接,屏蔽片頭廣告,轉而在自己的網頁內發佈廣告,獲利74萬多元。法院最終判定段某構成侵犯著作權罪。
另一則上海市寶山區人民法院公佈的案件中,爬蟲技術成爲了實施詐騙的工具。葉某僱傭他人,通過購買爬蟲軟件獲取淘寶網新開店店家信息,冒充淘寶客服人員向店家發送店鋪未激活、交易關閉等虛假信息,以幫助店家解決問題爲由誘騙被害人同意其進行遠程協助並提供支付寶賬戶及密碼,後其通過電腦遠程操作的方式使用被害人支付寶爲視頻賬戶充值。法院認爲,葉某的行爲構成詐騙罪。
與爬蟲相關的法律問題,更多的是涉及壟斷及不正當競爭的爭議。如2013年的“百度訴360案”、2017年的“酷米客訴車來了案”,以及2016年的“微博訴脈脈非法抓取用戶信息案”。
6月14日,美國最高法院要求下級法院重審領英訴訟競爭對手hiQ Labs抓取用戶公開資料一案。此前,因相關法案並不禁止公司抓取可在互聯網上公開訪問的數據,領英敗訴。
這些案件的爭議點多爲數據權屬問題,網絡爬蟲能輕易收集用戶數據,而在數據即石油的將來,保有對用戶數據的控制權是各互聯網經營者的必爭之地。
以“微博訴脈脈非法抓取用戶信息案”爲例,人脈社交應用脈脈上線之初曾與新浪微博合作,用戶可通過微博賬號和個人手機號註冊登錄脈脈。但新浪微博發現,脈脈還大量抓取、使用了新浪微博用戶的頭像、名稱、職業、教育等信息。雙方遂終止合作,新浪微博提起訴訟。
一審和二審法院均認爲,脈脈的上述行爲構成不正當競爭。法院二審判決指出,在數據資源已經成爲互聯網企業重要的競爭優勢及商業資源的情況下,互聯網行業中,企業競爭力不僅體現在技術配備,還體現在其擁有的數據規模。脈脈違反《開發者協議》,未經用戶同意且未經新浪微博授權,獲取其用戶的相關信息並展示在脈脈應用的人脈詳情中,侵害了新浪微博的商業資源,不正當的獲取競爭優勢,這種競爭行爲已經超出了法律所保護的正當競爭行爲。
目前,我國尚未有針對網絡爬蟲技術的配套法律法規。多重糾紛之下,網絡爬蟲的使用邊界正在被規範。在網信辦2019年5月發佈的《數據安全管理辦法(徵求意見稿)》中,首次劃定了網絡爬蟲的法律紅線。
意見稿第2章第16條規定,網絡運營者採取自動化手段訪問收集網站數據,不得妨礙網站正常運行;此類行爲嚴重影響網站運行,如自動化訪問收集流量超過網站日均流量三分之一,網站要求停止自動化訪問收集時,應當停止。