日前,河南省商丘市睢阳区人民法院在裁判文书网公开了一份刑事判决书,显示两名犯罪分子在某知名电商平台爬取并盗走大量数据。经过检方核实,被盗取的电商平台用户数据竟然高达近12亿条之多,9个月获利34万元。
此项判决让数据安全的话题再次引发外界高度关注,因为就在6月10日,《中华人民共和国数据安全法》(下称《数据安全法》)由第十三届全国人民代表大会常务委员会第二十九次会议审议通过,自2021年9月1日起施行。
那么,《数据安全法》正式实施后,类似的大量用户数据泄漏的案件在责任判定上将会有哪些变化呢?围绕这一话题,南方日报、南方+记者采访了相关专家。
用户手机号码等关键数据被盗
根据裁判文书网,2020年8月14日,上述知名电商平台报警,称在2020年7月6日到2020年7月13日时,有黑产人员通过接口,绕过平台风控,批量爬取数据。在7月6日至7月13日之间,平均每天爬取数量500万,爬取内容包括买家UID、昵称、用户手机号等敏感信息。
上述电商平台排查后发现,逯某有重大作案嫌疑,接到报警后,当地警方将此事立为刑事案件。经审理查明,逯某受雇于黎某,而后者成立了一家名为“浏阳市泰创网络科技”的公司,该公司设有返利部、客服部、招商部等部门。
逯某作为该公司技术员,自2019年11月起在家中利用自己开发的爬虫软件,通过电商平台的网页接口爬取平台客户信息,并将其中客户的手机号码提供给黎某,用于其任职公司的经营活动。而经过公检方面核查,逯某通过其开发的软件爬取了电商平台客户的数字ID、昵称、手机号码等客户信息共计1180738048条。
拿到部分数据的相关公司,自2019年11月份至2020年7月份利用该信息盈利,共获利340187.68元。逯某、黎某二人因为“侵犯公民个人信息罪”,分别被判处有期徒刑三年三个月和三年六个月,并处罚金人民币十万元和三十五万元。
破解接口or接口设计有漏洞?
有一个细节值得注意的是,被告人逯某被逮捕后供述称他是用自写软件,通过该电商平台商品的详细信息接口和信息分享接口,爬取该平台客户的数字ID和昵称,通过平台软件的分享接口可以爬取手机号信息。
但庭审时,电商平台派出的安全风控员称,逯某是通过破解接口的形式进行加密数据的爬取。
网络安全媒体人“黑奇士”分析,如果是“破解接口”,则属于入侵淘宝内部系统,触犯的是“破坏计算机信息系统罪”。
而法院最终判决认定逯某是“侵犯公民信息罪”,也就是并不支持电商平台方面的说法,认定逯某仅仅是盗窃了电商平台的数据,并没有破坏电商平台的数据。
用户信息被盗取,平台是否也有责任?
数据爬取和数据破解看似结果一致,都是导致了用户数据的泄漏,但数据被爬取,是不是意味着电商平台在信息安全管控、监测方面也存在一些疏漏呢?对此,安永金融数据服务合伙人马东锋向记者表示:“在《数据安全法》生效以后,按照相关要求,是有可能需要追究相关责任人的法律责任的。”
马东锋介绍,根据《数据安全法》第二十九条,开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。
【记者】郜小平
【作者】 郜小平
【来源】 南方报业传媒集团南方+客户端
来源:南方+ - 创造更多价值
","content_hash":"b8de321c