日前，淘寶近12億條用戶信息被泄露一案引發(fā)關(guān)注。

河南省商丘市睢陽區(qū)人民法院公布的一起案件顯示，犯罪分子通過自己開發(fā)軟件爬取到了淘寶客戶的數(shù)字ID、淘寶昵稱、手機(jī)號碼等信息近12億條，用于從事淘寶客推廣業(yè)務(wù)，共獲利34萬余元，最終被判處侵犯公民個人信息罪。

近年來，數(shù)據(jù)泄露案件頻發(fā)。有專家指出，盡管企業(yè)在其中也是受害者之一，但是從個人信息保護(hù)的角度，只要用戶因信息泄露遭受損失，平臺需肩負(fù)一定責(zé)任。

隨著國家及地方層面的立法紛紛落地，壓在我國企業(yè)數(shù)據(jù)安全的擔(dān)子日漸加重，不履行相關(guān)義務(wù)的將會面臨罰款。另一方面，爬蟲等網(wǎng)絡(luò)技術(shù)的應(yīng)用也亟需法律規(guī)制，這些技術(shù)的使用邊界正待進(jìn)一步的規(guī)范。

[[407109]]

淘寶近12億條用戶信息被泄露

裁判文書顯示，2020年8月，淘寶(中國)軟件有限公司報警稱，7月6日至13日時，有黑產(chǎn)通過mtop訂單評價接口繞過平臺風(fēng)控批量爬取加密數(shù)據(jù)。這期間爬取的字段量巨大，平均每天爬取數(shù)量為500萬，爬取內(nèi)容包括買家用戶昵稱、用戶評價內(nèi)容、昵稱等敏感字段。

經(jīng)淘寶排查發(fā)現(xiàn)，逯某有重大作案嫌疑，其在黎某開設(shè)的湖南省瀏陽市泰創(chuàng)網(wǎng)絡(luò)科技有限公司(以下簡稱“瀏陽泰創(chuàng)”)任技術(shù)員一職。

瀏陽泰創(chuàng)的主要業(yè)務(wù)是淘寶客，即在微信群里進(jìn)行淘寶商品的推廣，從而獲得淘寶網(wǎng)傭金和商家服務(wù)費(fèi)。

2019年11月起，逯某在家中開發(fā)爬蟲軟件“淘評評”，通過淘寶網(wǎng)頁接口爬取客戶信息，并將其中的手機(jī)號碼提供給黎某。

爬取的信息用于何處?黎某將這些信息數(shù)據(jù)導(dǎo)入一個名為“微信加人”的軟件中，用以添加微信好友。據(jù)公司員工描述，公司創(chuàng)立了多個微信群，最多可能達(dá)1100個，每個群的人數(shù)在90到200人之間不等。這些員工負(fù)責(zé)在群里發(fā)送廣告鏈接，一旦淘寶用戶在廣告群里購買了商品，公司即可獲得傭金。

截至2020年7月，該公司利用爬取的信息經(jīng)營共獲利340187.68元。經(jīng)司法鑒定，逯某通過其開發(fā)的軟件爬取淘寶客戶的數(shù)字ID、淘寶昵稱、手機(jī)號碼等淘寶客戶信息共計1180738048條，逯某將其爬取信息中的淘寶客戶手機(jī)號碼通過微信文件的形式發(fā)送給被告人黎某使用共計19712611條。

被爬取的信息是否還用于其他地方?逯某稱，除了將手機(jī)號提供給黎某外，客戶ID和淘寶昵稱都存在了自己的電腦硬盤中，未有外泄。黎某方則辯稱，起訴書指控395萬余是公司全部的經(jīng)營額，獲利數(shù)額應(yīng)是37萬元，未將信息用非法目的。上述信息均被法院采納。

法院最終認(rèn)為，逯某和黎某違反了國家規(guī)定，非法獲取公民個人信息，情節(jié)特別嚴(yán)重，均已構(gòu)成了侵犯公民個人信息罪。綜合其犯罪情節(jié)及社會危害性，法院判處黎某有期徒刑3年6個月，并處罰金35萬;逯某有期徒刑3年3個月，并處罰金10萬。

“一般來說，在類似事件中平臺往往也是受害者，只要平臺采取了必要的技術(shù)防護(hù)措施、在數(shù)據(jù)泄露事件中沒有過錯，事發(fā)后能夠及時向用戶和監(jiān)管部門通知相關(guān)情況，并采取補(bǔ)救措施、積極挽回?fù)p失，一般不會被行政處罰。”上海申倫律師事務(wù)所律師夏海龍分析，但是從個人信息保護(hù)的角度看，只要用戶因信息泄露遭受損失，平臺就需要首先向用戶賠償損失。

企業(yè)數(shù)據(jù)安全責(zé)任加重

近年來國際上頻發(fā)的數(shù)據(jù)泄露事件，不僅讓涉事平臺承擔(dān)著高昂的損失費(fèi)用，還可能因危及大量用戶的個人信息安全，面臨著巨額罰款。

2020年11月，美國酒店集團(tuán)萬豪就因遭受網(wǎng)絡(luò)攻擊，致使數(shù)百萬客戶個人數(shù)據(jù)泄露，收到了英國監(jiān)管機(jī)構(gòu)(ICO)開具的1840萬英鎊巨額罰單。ICO調(diào)查發(fā)現(xiàn)，萬豪沒有按照通用數(shù)據(jù)保護(hù)條例(GDPR)要求，采取適當(dāng)?shù)募夹g(shù)或組織措施來保護(hù)其系統(tǒng)上的個人數(shù)據(jù)。

社交巨頭臉書亦多次深陷數(shù)據(jù)泄露的泥潭。今年4月，臉書被指泄露5.33億用戶數(shù)據(jù)，盡管后來澄清系2年前的舊消息，并已修復(fù)相關(guān)漏洞。但不由讓人聯(lián)想起2018年英國“劍橋分析”公司非法獲取8700萬臉書用戶數(shù)據(jù)一事，此案最終以臉書同意支付50億美元罰款落幕。

隨著國家及地方的立法紛紛落地，壓在我國企業(yè)肩頭的數(shù)據(jù)安全的擔(dān)子也將逐漸變重。

6月10日通過的《數(shù)據(jù)安全法》規(guī)定，開展數(shù)據(jù)活動的組織、個人不履行數(shù)據(jù)安全保護(hù)義務(wù)的(包括采取必要措施保障數(shù)據(jù)安全、加強(qiáng)風(fēng)險監(jiān)測、開展風(fēng)險評估等)，由有關(guān)主管部門責(zé)令改正，給予警告，可以并處5萬元以上50萬元以下罰款。

正在二審的《個人信息保護(hù)法》草案也對個人信息處理者提出了相應(yīng)要求，如制定內(nèi)部管理制度和操作規(guī)程、對個人信息實行分類管理、采取相應(yīng)的加密、采取相應(yīng)的加密和去標(biāo)識化等安全技術(shù)措施、制定并組織實施個人信息安全事件應(yīng)急預(yù)案等。

深圳、上海、天津、安徽等地的數(shù)據(jù)立法同樣高度重視數(shù)據(jù)安全問題。

如6月2日發(fā)布的《深圳經(jīng)濟(jì)特區(qū)數(shù)據(jù)條例(征求意見稿)》提到，數(shù)據(jù)處理者應(yīng)當(dāng)落實數(shù)據(jù)安全管理責(zé)任，防止數(shù)據(jù)泄露、毀損、丟失、篡改和非法使用，落實監(jiān)測預(yù)警措施，制定數(shù)據(jù)安全應(yīng)急預(yù)案，風(fēng)險發(fā)生時及時告知相關(guān)權(quán)利人，并向網(wǎng)信部門和有關(guān)行業(yè)主管部門報告。

不當(dāng)使用爬蟲涉多重法律風(fēng)險

對內(nèi)，作為數(shù)據(jù)收集和處理者的企業(yè)應(yīng)建立起完善的數(shù)據(jù)保護(hù)體系;對外，爬蟲等網(wǎng)絡(luò)技術(shù)的應(yīng)用也亟需進(jìn)一步規(guī)范。

網(wǎng)絡(luò)爬蟲是互聯(lián)網(wǎng)時代一項運(yùn)用非常普遍的網(wǎng)絡(luò)信息搜索技術(shù)，最早應(yīng)用于搜索引擎領(lǐng)域，通過搜集網(wǎng)頁上的信息或數(shù)據(jù)，將其納入數(shù)據(jù)庫中。

不當(dāng)使用網(wǎng)絡(luò)爬蟲技術(shù)可能帶來多重法律風(fēng)險。除了上述提到的非法獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)、非法控制計算機(jī)信息系統(tǒng)罪和侵犯公民個人信息罪，還可能觸及侵犯著作權(quán)罪、詐騙罪，構(gòu)成不正當(dāng)競爭等。

如上海市徐匯區(qū)人民法院公布的一起案件中，段某于2013年開設(shè)視頻網(wǎng)站，未經(jīng)著作權(quán)人許可，利用爬蟲技術(shù)對樂視、土豆等視頻網(wǎng)站的影視作品設(shè)置加框鏈接，屏蔽片頭廣告，轉(zhuǎn)而在自己的網(wǎng)頁內(nèi)發(fā)布廣告，獲利74萬多元。法院最終判定段某構(gòu)成侵犯著作權(quán)罪。

另一則上海市寶山區(qū)人民法院公布的案件中，爬蟲技術(shù)成為了實施詐騙的工具。葉某雇傭他人，通過購買爬蟲軟件獲取淘寶網(wǎng)新開店店家信息，冒充淘寶客服人員向店家發(fā)送店鋪未激活、交易關(guān)閉等虛假信息，以幫助店家解決問題為由誘騙被害人同意其進(jìn)行遠(yuǎn)程協(xié)助并提供支付寶賬戶及密碼，后其通過電腦遠(yuǎn)程操作的方式使用被害人支付寶為視頻賬戶充值。法院認(rèn)為，葉某的行為構(gòu)成詐騙罪。

與爬蟲相關(guān)的法律問題，更多的是涉及壟斷及不正當(dāng)競爭的爭議。如2013年的“百度訴360案”、2017年的“酷米客訴車來了案”，以及2016年的“微博訴脈脈非法抓取用戶信息案”。

6月14日，美國最高法院要求下級法院重審領(lǐng)英訴訟競爭對手hiQ Labs抓取用戶公開資料一案。此前，因相關(guān)法案并不禁止公司抓取可在互聯(lián)網(wǎng)上公開訪問的數(shù)據(jù)，領(lǐng)英敗訴。

這些案件的爭議點(diǎn)多為數(shù)據(jù)權(quán)屬問題，網(wǎng)絡(luò)爬蟲能輕易收集用戶數(shù)據(jù)，而在數(shù)據(jù)即石油的將來，保有對用戶數(shù)據(jù)的控制權(quán)是各互聯(lián)網(wǎng)經(jīng)營者的必爭之地。

以“微博訴脈脈非法抓取用戶信息案”為例，人脈社交應(yīng)用脈脈上線之初曾與新浪微博合作，用戶可通過微博賬號和個人手機(jī)號注冊登錄脈脈。但新浪微博發(fā)現(xiàn)，脈脈還大量抓取、使用了新浪微博用戶的頭像、名稱、職業(yè)、教育等信息。雙方遂終止合作，新浪微博提起訴訟。

一審和二審法院均認(rèn)為，脈脈的上述行為構(gòu)成不正當(dāng)競爭。法院二審判決指出，在數(shù)據(jù)資源已經(jīng)成為互聯(lián)網(wǎng)企業(yè)重要的競爭優(yōu)勢及商業(yè)資源的情況下，互聯(lián)網(wǎng)行業(yè)中，企業(yè)競爭力不僅體現(xiàn)在技術(shù)配備，還體現(xiàn)在其擁有的數(shù)據(jù)規(guī)模。脈脈違反《開發(fā)者協(xié)議》，未經(jīng)用戶同意且未經(jīng)新浪微博授權(quán)，獲取其用戶的相關(guān)信息并展示在脈脈應(yīng)用的人脈詳情中，侵害了新浪微博的商業(yè)資源，不正當(dāng)?shù)墨@取競爭優(yōu)勢，這種競爭行為已經(jīng)超出了法律所保護(hù)的正當(dāng)競爭行為。

目前，我國尚未有針對網(wǎng)絡(luò)爬蟲技術(shù)的配套法律法規(guī)。多重糾紛之下，網(wǎng)絡(luò)爬蟲的使用邊界正在被規(guī)范。在網(wǎng)信辦2019年5月發(fā)布的《數(shù)據(jù)安全管理辦法(征求意見稿)》中，首次劃定了網(wǎng)絡(luò)爬蟲的法律紅線。

意見稿第2章第16條規(guī)定，網(wǎng)絡(luò)運(yùn)營者采取自動化手段訪問收集網(wǎng)站數(shù)據(jù)，不得妨礙網(wǎng)站正常運(yùn)行;此類行為嚴(yán)重影響網(wǎng)站運(yùn)行，如自動化訪問收集流量超過網(wǎng)站日均流量三分之一，網(wǎng)站要求停止自動化訪問收集時，應(yīng)當(dāng)停止。