日前,淘宝近12亿条用户信息被泄露一案引发关注。
河南省商丘市睢阳区人民法院公布的一起案件显示,犯罪分子通过自己开发软件爬取到了淘宝客户的数字ID、淘宝昵称、手机号码等信息近12亿条,用于从事淘宝客推广业务,共获利34万余元,最终被判处侵犯公民个人信息罪。
近年来,数据泄露案件频发。有专家指出,尽管企业在其中也是受害者之一,但是从个人信息保护的角度,只要用户因信息泄露遭受损失,平台需肩负一定责任。
随着国家及地方层面的立法纷纷落地,压在我国企业数据安全的担子日渐加重,不履行相关义务的将会面临罚款。另一方面,爬虫等网络技术的应用也亟需法律规制,这些技术的使用边界正待进一步的规范。
淘宝近12亿条用户信息被泄露
裁判文书显示,2020年8月,淘宝(中国)软件有限公司报警称,7月6日至13日时,有黑产通过mtop订单评价接口绕过平台风控批量爬取加密数据。这期间爬取的字段量巨大,平均每天爬取数量为500万,爬取内容包括买家用户昵称、用户评价内容、昵称等敏感字段。
经淘宝排查发现,逯某有重大作案嫌疑,其在黎某开设的湖南省浏阳市泰创网络科技有限公司(以下简称“浏阳泰创”)任技术员一职。
浏阳泰创的主要业务是淘宝客,即在微信群里进行淘宝商品的推广,从而获得淘宝网佣金和商家服务费。
2019年11月起,逯某在家中开发爬虫软件“淘评评”,通过淘宝网页接口爬取客户信息,并将其中的手机号码提供给黎某。
爬取的信息用于何处?黎某将这些信息数据导入一个名为“微信加人”的软件中,用以添加微信好友。据公司员工描述,公司创立了多个微信群,最多可能达1100个,每个群的人数在90到200人之间不等。这些员工负责在群里发送广告链接,一旦淘宝用户在广告群里购买了商品,公司即可获得佣金。
截至2020年7月,该公司利用爬取的信息经营共获利340187.68元。经司法鉴定,逯某通过其开发的软件爬取淘宝客户的数字ID、淘宝昵称、手机号码等淘宝客户信息共计1180738048条,逯某将其爬取信息中的淘宝客户手机号码通过微信文件的形式发送给被告人黎某使用共计19712611条。
被爬取的信息是否还用于其他地方?逯某称,除了将手机号提供给黎某外,客户ID和淘宝昵称都存在了自己的电脑硬盘中,未有外泄。黎某方则辩称,起诉书指控395万余是公司全部的经营额,获利数额应是37万元,未将信息用非法目的。上述信息均被法院采纳。
法院最终认为,逯某和黎某违反了国家规定,非法获取公民个人信息,情节特别严重,均已构成了侵犯公民个人信息罪。综合其犯罪情节及社会危害性,法院判处黎某有期徒刑3年6个月,并处罚金35万;逯某有期徒刑3年3个月,并处罚金10万。
“一般来说,在类似事件中平台往往也是受害者,只要平台采取了必要的技术防护措施、在数据泄露事件中没有过错,事发后能够及时向用户和监管部门通知相关情况,并采取补救措施、积极挽回损失,一般不会被行政处罚。”上海申伦律师事务所律师夏海龙分析,但是从个人信息保护的角度看,只要用户因信息泄露遭受损失,平台就需要首先向用户赔偿损失。
企业数据安全责任加重
近年来国际上频发的数据泄露事件,