日前���,淘寶近12億條用戶信息被泄露一案引發(fā)關(guān)注���。
河南省商丘市睢陽(yáng)區(qū)人民法院公布的一起案件顯示,犯罪分子通過(guò)自己開(kāi)發(fā)軟件爬取到了淘寶客戶的數(shù)字ID��、淘寶昵稱����、手機(jī)號(hào)碼等信息近12億條,用于從事淘寶客推廣業(yè)務(wù)���,共獲利34萬(wàn)余元��,最終被判處侵犯公民個(gè)人信息罪�。
近年來(lái)���,數(shù)據(jù)泄露案件頻發(fā)��。有專家指出,盡管企業(yè)在其中也是受害者之一�����,但是從個(gè)人信息保護(hù)的角度,只要用戶因信息泄露遭受損失��,平臺(tái)需肩負(fù)一定責(zé)任���。
隨著國(guó)家及地方層面的立法紛紛落地��,壓在我國(guó)企業(yè)數(shù)據(jù)安全的擔(dān)子日漸加重����,不履行相關(guān)義務(wù)的將會(huì)面臨罰款���。另一方面�,爬蟲(chóng)等網(wǎng)絡(luò)技術(shù)的應(yīng)用也亟需法律規(guī)制��,這些技術(shù)的使用邊界正待進(jìn)一步的規(guī)范��。
淘寶近12億條用戶信息被泄露
裁判文書(shū)顯示����,2020年8月,淘寶(中國(guó))軟件有限公司報(bào)警稱����,7月6日至13日時(shí)�����,有黑產(chǎn)通過(guò)mtop訂單評(píng)價(jià)接口繞過(guò)平臺(tái)風(fēng)控批量爬取加密數(shù)據(jù)����。這期間爬取的字段量巨大�����,平均每天爬取數(shù)量為500萬(wàn)����,爬取內(nèi)容包括買家用戶昵稱、用戶評(píng)價(jià)內(nèi)容�����、昵稱等敏感字段�����。
經(jīng)淘寶排查發(fā)現(xiàn),逯某有重大作案嫌疑��,其在黎某開(kāi)設(shè)的湖南省瀏陽(yáng)市泰創(chuàng)網(wǎng)絡(luò)科技有限公司(以下簡(jiǎn)稱“瀏陽(yáng)泰創(chuàng)”)任技術(shù)員一職��。
瀏陽(yáng)泰創(chuàng)的主要業(yè)務(wù)是淘寶客��,即在微信群里進(jìn)行淘寶商品的推廣���,從而獲得淘寶網(wǎng)傭金和商家服務(wù)費(fèi)。
2019年11月起�����,逯某在家中開(kāi)發(fā)爬蟲(chóng)軟件“淘評(píng)評(píng)”�,通過(guò)淘寶網(wǎng)頁(yè)接口爬取客戶信息,并將其中的手機(jī)號(hào)碼提供給黎某����。
爬取的信息用于何處?黎某將這些信息數(shù)據(jù)導(dǎo)入一個(gè)名為“微信加人”的軟件中���,用以添加微信好友��。據(jù)公司員工描述���,公司創(chuàng)立了多個(gè)微信群����,最多可能達(dá)1100個(gè)�����,每個(gè)群的人數(shù)在90到200人之間不等����。這些員工負(fù)責(zé)在群里發(fā)送廣告鏈接,一旦淘寶用戶在廣告群里購(gòu)買了商品�����,公司即可獲得傭金��。
截至2020年7月���,該公司利用爬取的信息經(jīng)營(yíng)共獲利340187.68元��。經(jīng)司法鑒定���,逯某通過(guò)其開(kāi)發(fā)的軟件爬取淘寶客戶的數(shù)字ID、淘寶昵稱、手機(jī)號(hào)碼等淘寶客戶信息共計(jì)1180738048條�,逯某將其爬取信息中的淘寶客戶手機(jī)號(hào)碼通過(guò)微信文件的形式發(fā)送給被告人黎某使用共計(jì)19712611條。
被爬取的信息是否還用于其他地方���?逯某稱,除了將手機(jī)號(hào)提供給黎某外����,客戶ID和淘寶昵稱都存在了自己的電腦硬盤中,未有外泄���。黎某方則辯稱�,起訴書(shū)指控395萬(wàn)余是公司全部的經(jīng)營(yíng)額���,獲利數(shù)額應(yīng)是37萬(wàn)元��,未將信息用非法目的���。上述信息均被法院采納。
法院最終認(rèn)為���,逯某和黎某違反了國(guó)家規(guī)定�����,非法獲取公民個(gè)人信息��,情節(jié)特別嚴(yán)重�����,均已構(gòu)成了侵犯公民個(gè)人信息罪�。綜合其犯罪情節(jié)及社會(huì)危害性,法院判處黎某有期徒刑3年6個(gè)月��,并處罰金35萬(wàn)����;逯某有期徒刑3年3個(gè)月,并處罰金10萬(wàn)�����。
“一般來(lái)說(shuō)����,在類似事件中平臺(tái)往往也是受害者,只要平臺(tái)采取了必要的技術(shù)防護(hù)措施�、在數(shù)據(jù)泄露事件中沒(méi)有過(guò)錯(cuò)��,事發(fā)后能夠及時(shí)向用戶和監(jiān)管部門通知相關(guān)情況��,并采取補(bǔ)救措施����、積極挽回?fù)p失�,一般不會(huì)被行政處罰?�!鄙虾I陚惵蓭熓聞?wù)所律師夏海龍分析��,但是從個(gè)人信息保護(hù)的角度看�����,只要用戶因信息泄露遭受損失�����,平臺(tái)就需要首先向用戶賠償損失����。
企業(yè)數(shù)據(jù)安全責(zé)任加重
近年來(lái)國(guó)際上頻發(fā)的數(shù)據(jù)泄露事件����,