“內(nèi)鬼”售賣公司客戶數(shù)據(jù)牟利,大量數(shù)據(jù)流向市場(chǎng)逐漸“失控”,進(jìn)而埋下電信詐騙、盜竊等犯罪的隱患……誰該為“失控”的數(shù)據(jù)負(fù)責(zé)?中國(guó)政法大學(xué)傳播法研究中心副主任朱巍日前在接受采訪時(shí)表示,“內(nèi)鬼”泄密事件發(fā)生后,企業(yè)應(yīng)對(duì)被泄露的客戶數(shù)據(jù)承擔(dān)民事責(zé)任,因?yàn)槠髽I(yè)對(duì)數(shù)據(jù)具有安全保障義務(wù),“要求其擔(dān)責(zé)不是強(qiáng)人所難”。

被賣出的客戶數(shù)據(jù)可能成為精準(zhǔn)詐騙的重要信息來源。對(duì)此,朱巍表示,對(duì)個(gè)人的信息保護(hù)要未雨綢繆,不能等出了問題才去關(guān)注,對(duì)于詐騙信息的源頭治理問題,執(zhí)法部門需要“豎起耳朵來”。

內(nèi)外勾結(jié)售賣客戶數(shù)據(jù)牟利

北京市海淀區(qū)檢察院檢察官白磊介紹,在互聯(lián)網(wǎng)科技公司內(nèi),網(wǎng)絡(luò)信息專業(yè)人員掌握公司信息系統(tǒng)的漏洞,一旦這些專業(yè)人員產(chǎn)生犯罪故意,就會(huì)出現(xiàn)“內(nèi)鬼”類黑客案件,且這類案件發(fā)生在公司內(nèi)部,具有隱秘性,不易被發(fā)現(xiàn),其危害性往往更大。

作為最高人民檢察院第九批指導(dǎo)性案例之一的“勾結(jié)前同事下載客戶數(shù)據(jù)售賣換錢”案件的承辦人,白磊向記者介紹了這起典型的“內(nèi)鬼”泄露個(gè)人信息案件。

女職員龔某供職于北京某科技有限公司(以下簡(jiǎn)稱“科技公司”),在運(yùn)營(yíng)規(guī)劃管理部負(fù)責(zé)跨區(qū)域判罰、框架違規(guī)判罰等工作。由于工作需要,她擁有登錄科技公司內(nèi)部系統(tǒng)的賬號(hào)、密碼、Token令牌,可以查看工作范圍內(nèi)的相關(guān)數(shù)據(jù)信息。

案發(fā)前,龔某與公司的前同事衛(wèi)某一直保持著聯(lián)系。兩人商量售賣公司的客戶數(shù)據(jù)賺錢:龔某提供賬號(hào)和密碼,衛(wèi)某則負(fù)責(zé)數(shù)據(jù)的下載和售賣,事成之后錢財(cái)各分一半。

2016年6月至9月,利用龔某提供的內(nèi)部賬號(hào)和密碼,衛(wèi)某多次違規(guī)登錄內(nèi)部系統(tǒng),違規(guī)查詢、下載該計(jì)算機(jī)信息系統(tǒng)中存儲(chǔ)的公司客戶數(shù)據(jù)。其商業(yè)合作伙伴薛某則負(fù)責(zé)通過QQ群尋找買家,將非法獲取的客戶數(shù)據(jù)賣出去,獲利共計(jì)3.7萬元。后公司發(fā)現(xiàn)異常,報(bào)了警。

2016年9月19日,衛(wèi)某和薛某被刑事拘留,龔某被取保候?qū)?。同?0月26日,三人被北京市公安局公共交通安全保衛(wèi)分局逮捕。后北京市海淀區(qū)檢察院對(duì)三人提起公訴。

“被告人衛(wèi)某、薛某、龔某的行為均已構(gòu)成非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪?！苯衲?月6日,海淀區(qū)法院作出判決,衛(wèi)某、薛某、龔某分別被判處有期徒刑四年、四年、三年零九個(gè)月,并分別處罰金4萬元。

公司“內(nèi)鬼”伙同他人侵入公司網(wǎng)絡(luò)牟利的案件并非個(gè)例,一些大的互聯(lián)網(wǎng)公司也存在類似問題。2017年1月至3月,吳某受網(wǎng)名為“阿布小組”的網(wǎng)友(另案處理)指使,通過網(wǎng)絡(luò)聯(lián)系上在樂視云計(jì)算有限公司(以下簡(jiǎn)稱“樂視公司”)擔(dān)任工程師的閻某,并向其提供木馬程序。出于牟利目的,閻某先后三次將上述木馬程序布置在樂視公司位于全國(guó)的207臺(tái)服務(wù)器上。

樂視公司經(jīng)排查發(fā)現(xiàn)問題后報(bào)警。檢察機(jī)關(guān)以閻某、吳某涉嫌非法控制計(jì)算機(jī)信息系統(tǒng)罪對(duì)二人提起公訴。

被賣數(shù)據(jù)或成電信詐騙信息源頭?

“公司不愿意看見這樣的事情發(fā)生。”樂視公司監(jiān)察部副總經(jīng)理王磊在接受記者采訪時(shí)表示,大眾創(chuàng)業(yè)、萬眾創(chuàng)新的時(shí)代背景下,技術(shù)發(fā)展迅速,但相關(guān)管理規(guī)范沒設(shè)計(jì)好,一些互聯(lián)網(wǎng)從業(yè)人員通過各種各樣的手段規(guī)避公司規(guī)則、逃避法律的情況在整個(gè)行業(yè)都很典型。有些年輕人手中掌握的數(shù)據(jù)修改權(quán)限很大,處于沒有監(jiān)管的狀態(tài),這個(gè)風(fēng)險(xiǎn)需要引起關(guān)注。?

在朱巍看來,類似案件多發(fā)的主要原因在于利益驅(qū)動(dòng),越精準(zhǔn)、匹配度高、綜合性強(qiáng)的數(shù)據(jù),其價(jià)值就越高。

“這類案件頻發(fā)的原因是多方面的?！北本┦兄袀惵蓭熓聞?wù)所合伙人陳際紅律師說,“社會(huì)上對(duì)個(gè)人信息保護(hù)的重視程度還不太夠、非法竊取數(shù)據(jù)要受法律懲處的規(guī)則沒有深入人心、公司的網(wǎng)絡(luò)安全管理存在漏洞等多種原因,導(dǎo)致個(gè)人信息被非法獲取、銷售的情況還比較嚴(yán)重?！?/p>

通過非法獲取個(gè)人信息,電信詐騙犯罪也日益精準(zhǔn)。除姓名、身份證號(hào)、手機(jī)號(hào)、家庭地址等傳統(tǒng)靜態(tài)信息外,手機(jī)定位記錄、通話記錄、開房記錄、車輛運(yùn)行軌跡等動(dòng)態(tài)信息越來越多被用于犯罪。

“現(xiàn)在是精準(zhǔn)詐騙,這些電信詐騙的信息從何而來,要拔出蘿卜帶出泥,建立溯源機(jī)制,要在技術(shù)上、流程上實(shí)現(xiàn)可追查化,做到一目了然?！敝煳⊙a(bǔ)充說,對(duì)個(gè)人的信息保護(hù)要未雨綢繆,不能等出了問題后才去關(guān)注,對(duì)于詐騙信息的源頭,執(zhí)法部門要“豎起耳朵來”。

個(gè)人隨意注冊(cè)小號(hào)、盲目關(guān)注或注冊(cè)公號(hào)、隨便授權(quán)安裝App等都可能成為個(gè)人信息泄露的源頭。對(duì)此,朱巍建議,那些沉睡賬號(hào)一定要注銷,以減少個(gè)人信息泄露的渠道。

專家:企業(yè)要對(duì)客戶數(shù)據(jù)泄露事件擔(dān)責(zé)

企業(yè)數(shù)據(jù)涉及廣泛,哪些信息需要重點(diǎn)保護(hù)?朱巍認(rèn)為,問題的關(guān)鍵在于區(qū)分好個(gè)人信息與大數(shù)據(jù)的關(guān)系。個(gè)人信息屬于隱私權(quán)范疇,未經(jīng)用戶允許不可使用,而大數(shù)據(jù)的產(chǎn)權(quán)歸采集、計(jì)算、制作者,大數(shù)據(jù)可以流轉(zhuǎn)買賣,但不能包含可識(shí)別用戶身份的數(shù)據(jù)。

涉及個(gè)人信息的數(shù)據(jù)一旦“失控”,很可能為不法分子利用。朱巍說,公司內(nèi)鬼偷、黑客外部攻擊等導(dǎo)致數(shù)據(jù)泄露的情況出現(xiàn)后,企業(yè)要承擔(dān)責(zé)任,因?yàn)槠鋵?duì)數(shù)據(jù)具有安全保障責(zé)任。他坦言,從目前的實(shí)踐看,數(shù)據(jù)泄露事件發(fā)生后,查找與之對(duì)應(yīng)的責(zé)任人可能存在一定難度,但作為數(shù)據(jù)管理者的企業(yè)卻很容易找到,用戶可以要求數(shù)據(jù)管理者承擔(dān)責(zé)任。

記者了解到,國(guó)家網(wǎng)絡(luò)安全法明確規(guī)定,網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求,履行安全保護(hù)義務(wù),保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問,防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。

陳際紅認(rèn)為,雖然企業(yè)可能也是數(shù)據(jù)泄露的受害者,但如果其未盡到企業(yè)網(wǎng)絡(luò)安全保護(hù)義務(wù)的話,仍要承擔(dān)包括行政處罰責(zé)任在內(nèi)的法律責(zé)任。

目前來看,泄露事件發(fā)生后,個(gè)人維權(quán)仍存在困難。“受侵害的信息主體有權(quán)要求企業(yè)承擔(dān)民事賠償責(zé)任,但在舉證上仍存在一定困難?！标愲H紅認(rèn)為,此種情況下,公安、網(wǎng)信辦等執(zhí)法部門通過行政執(zhí)法措施來加強(qiáng)個(gè)人信息保護(hù)顯得尤為重要。

“企業(yè)要依法收集客戶信息,明確公告相關(guān)條款,告知用戶收集使用的目的、方式和范圍,并在授權(quán)的范圍內(nèi)使用。”陳際紅進(jìn)一步說,泄露事件發(fā)生后,企業(yè)要及時(shí)啟動(dòng)應(yīng)急預(yù)案,向相關(guān)部門進(jìn)行報(bào)告,并告知受影響的用戶,以盡可能減小損失。