“內(nèi)鬼”售賣公司客戶數(shù)據(jù)牟利,大量數(shù)據(jù)流向市場逐漸“失控”,進而埋下電信詐騙、盜竊等犯罪的隱患……誰該為“失控”的數(shù)據(jù)負責?中國政法大學傳播法研究中心副主任朱巍日前在接受采訪時表示,“內(nèi)鬼”泄密事件發(fā)生后,企業(yè)應對被泄露的客戶數(shù)據(jù)承擔民事責任,因為企業(yè)對數(shù)據(jù)具有安全保障義務,“要求其擔責不是強人所難”。

被賣出的客戶數(shù)據(jù)可能成為精準詐騙的重要信息來源。對此,朱巍表示,對個人的信息保護要未雨綢繆,不能等出了問題才去關注,對于詐騙信息的源頭治理問題,執(zhí)法部門需要“豎起耳朵來”。

內(nèi)外勾結(jié)售賣客戶數(shù)據(jù)牟利

北京市海淀區(qū)檢察院檢察官白磊介紹,在互聯(lián)網(wǎng)科技公司內(nèi),網(wǎng)絡信息專業(yè)人員掌握公司信息系統(tǒng)的漏洞,一旦這些專業(yè)人員產(chǎn)生犯罪故意,就會出現(xiàn)“內(nèi)鬼”類黑客案件,且這類案件發(fā)生在公司內(nèi)部,具有隱秘性,不易被發(fā)現(xiàn),其危害性往往更大。

作為最高人民檢察院第九批指導性案例之一的“勾結(jié)前同事下載客戶數(shù)據(jù)售賣換錢”案件的承辦人,白磊向記者介紹了這起典型的“內(nèi)鬼”泄露個人信息案件。

女職員龔某供職于北京某科技有限公司(以下簡稱“科技公司”),在運營規(guī)劃管理部負責跨區(qū)域判罰、框架違規(guī)判罰等工作。由于工作需要,她擁有登錄科技公司內(nèi)部系統(tǒng)的賬號、密碼、Token令牌,可以查看工作范圍內(nèi)的相關數(shù)據(jù)信息。

案發(fā)前,龔某與公司的前同事衛(wèi)某一直保持著聯(lián)系。兩人商量售賣公司的客戶數(shù)據(jù)賺錢:龔某提供賬號和密碼,衛(wèi)某則負責數(shù)據(jù)的下載和售賣,事成之后錢財各分一半。

2016年6月至9月,利用龔某提供的內(nèi)部賬號和密碼,衛(wèi)某多次違規(guī)登錄內(nèi)部系統(tǒng),違規(guī)查詢、下載該計算機信息系統(tǒng)中存儲的公司客戶數(shù)據(jù)。其商業(yè)合作伙伴薛某則負責通過QQ群尋找買家,將非法獲取的客戶數(shù)據(jù)賣出去,獲利共計3.7萬元。后公司發(fā)現(xiàn)異常,報了警。

2016年9月19日,衛(wèi)某和薛某被刑事拘留,龔某被取保候?qū)彙Ｍ?0月26日,三人被北京市公安局公共交通安全保衛(wèi)分局逮捕。后北京市海淀區(qū)檢察院對三人提起公訴。

“被告人衛(wèi)某、薛某、龔某的行為均已構成非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪。”今年6月6日,海淀區(qū)法院作出判決,衛(wèi)某、薛某、龔某分別被判處有期徒刑四年、四年、三年零九個月,并分別處罰金4萬元。

公司“內(nèi)鬼”伙同他人侵入公司網(wǎng)絡牟利的案件并非個例,一些大的互聯(lián)網(wǎng)公司也存在類似問題。2017年1月至3月,吳某受網(wǎng)名為“阿布小組”的網(wǎng)友(另案處理)指使,通過網(wǎng)絡聯(lián)系上在樂視云計算有限公司(以下簡稱“樂視公司”)擔任工程師的閻某,并向其提供木馬程序。出于牟利目的,閻某先后三次將上述木馬程序布置在樂視公司位于全國的207臺服務器上。

樂視公司經(jīng)排查發(fā)現(xiàn)問題后報警。檢察機關以閻某、吳某涉嫌非法控制計算機信息系統(tǒng)罪對二人提起公訴。

被賣數(shù)據(jù)或成電信詐騙信息源頭?

“公司不愿意看見這樣的事情發(fā)生?！睒芬暪颈O(jiān)察部副總經(jīng)理王磊在接受記者采訪時表示,大眾創(chuàng)業(yè)、萬眾創(chuàng)新的時代背景下,技術發(fā)展迅速,但相關管理規(guī)范沒設計好,一些互聯(lián)網(wǎng)從業(yè)人員通過各種各樣的手段規(guī)避公司規(guī)則、逃避法律的情況在整個行業(yè)都很典型。有些年輕人手中掌握的數(shù)據(jù)修改權限很大,處于沒有監(jiān)管的狀態(tài),這個風險需要引起關注。?

在朱巍看來,類似案件多發(fā)的主要原因在于利益驅(qū)動,越精準、匹配度高、綜合性強的數(shù)據(jù),其價值就越高。

“這類案件頻發(fā)的原因是多方面的?！北本┦兄袀惵蓭熓聞账匣锶岁愲H紅律師說,“社會上對個人信息保護的重視程度還不太夠、非法竊取數(shù)據(jù)要受法律懲處的規(guī)則沒有深入人心、公司的網(wǎng)絡安全管理存在漏洞等多種原因,導致個人信息被非法獲取、銷售的情況還比較嚴重?！?/p>

通過非法獲取個人信息,電信詐騙犯罪也日益精準。除姓名、身份證號、手機號、家庭地址等傳統(tǒng)靜態(tài)信息外,手機定位記錄、通話記錄、開房記錄、車輛運行軌跡等動態(tài)信息越來越多被用于犯罪。

“現(xiàn)在是精準詐騙,這些電信詐騙的信息從何而來,要拔出蘿卜帶出泥,建立溯源機制,要在技術上、流程上實現(xiàn)可追查化,做到一目了然?！敝煳⊙a充說,對個人的信息保護要未雨綢繆,不能等出了問題后才去關注,對于詐騙信息的源頭,執(zhí)法部門要“豎起耳朵來”。

個人隨意注冊小號、盲目關注或注冊公號、隨便授權安裝App等都可能成為個人信息泄露的源頭。對此,朱巍建議,那些沉睡賬號一定要注銷,以減少個人信息泄露的渠道。

專家:企業(yè)要對客戶數(shù)據(jù)泄露事件擔責

企業(yè)數(shù)據(jù)涉及廣泛,哪些信息需要重點保護?朱巍認為,問題的關鍵在于區(qū)分好個人信息與大數(shù)據(jù)的關系。個人信息屬于隱私權范疇,未經(jīng)用戶允許不可使用,而大數(shù)據(jù)的產(chǎn)權歸采集、計算、制作者,大數(shù)據(jù)可以流轉(zhuǎn)買賣,但不能包含可識別用戶身份的數(shù)據(jù)。

涉及個人信息的數(shù)據(jù)一旦“失控”,很可能為不法分子利用。朱巍說,公司內(nèi)鬼偷、黑客外部攻擊等導致數(shù)據(jù)泄露的情況出現(xiàn)后,企業(yè)要承擔責任,因為其對數(shù)據(jù)具有安全保障責任。他坦言,從目前的實踐看,數(shù)據(jù)泄露事件發(fā)生后,查找與之對應的責任人可能存在一定難度,但作為數(shù)據(jù)管理者的企業(yè)卻很容易找到,用戶可以要求數(shù)據(jù)管理者承擔責任。

記者了解到,國家網(wǎng)絡安全法明確規(guī)定,網(wǎng)絡運營者應當按照網(wǎng)絡安全等級保護制度的要求,履行安全保護義務,保障網(wǎng)絡免受干擾、破壞或者未經(jīng)授權的訪問,防止網(wǎng)絡數(shù)據(jù)泄露或者被竊取、篡改。

陳際紅認為,雖然企業(yè)可能也是數(shù)據(jù)泄露的受害者,但如果其未盡到企業(yè)網(wǎng)絡安全保護義務的話,仍要承擔包括行政處罰責任在內(nèi)的法律責任。

目前來看,泄露事件發(fā)生后,個人維權仍存在困難?！笆芮趾Φ男畔⒅黧w有權要求企業(yè)承擔民事賠償責任,但在舉證上仍存在一定困難?！标愲H紅認為,此種情況下,公安、網(wǎng)信辦等執(zhí)法部門通過行政執(zhí)法措施來加強個人信息保護顯得尤為重要。

“企業(yè)要依法收集客戶信息,明確公告相關條款,告知用戶收集使用的目的、方式和范圍,并在授權的范圍內(nèi)使用?！标愲H紅進一步說,泄露事件發(fā)生后,企業(yè)要及時啟動應急預案,向相關部門進行報告,并告知受影響的用戶,以盡可能減小損失。