公司“內(nèi)鬼”售賣(mài)客戶數(shù)據(jù)牟利 誰(shuí)該為“失控”的數(shù)據(jù)負(fù)責(zé)�����? “內(nèi)鬼”售賣(mài)公司客戶數(shù)據(jù)牟利���,大量數(shù)據(jù)流向市場(chǎng)逐漸“失控”,進(jìn)而埋下電信詐騙�����、盜竊等犯罪的隱患……誰(shuí)該為“失控”的數(shù)據(jù)負(fù)責(zé)�����?中國(guó)政法大學(xué)傳播法研究中心副主任朱巍日前在接受采訪時(shí)表示�,“內(nèi)鬼”泄密事件發(fā)生后���,企業(yè)應(yīng)對(duì)被泄露的客戶數(shù)據(jù)承擔(dān)民事責(zé)任���,因?yàn)槠髽I(yè)對(duì)數(shù)據(jù)具有安全保障義務(wù)�����,“要求其擔(dān)責(zé)不是強(qiáng)人所難”����。
被賣(mài)出的客戶數(shù)據(jù)可能成為精準(zhǔn)詐騙的重要信息來(lái)源�����。
對(duì)此��,朱巍表示���,對(duì)個(gè)人的信息保護(hù)要未雨綢繆����,不能等出了問(wèn)題才去關(guān)注����,對(duì)于詐騙信息的源頭治理問(wèn)題���,執(zhí)法部門(mén)需要“豎起耳朵來(lái)”。
內(nèi)外勾結(jié)售賣(mài)客戶數(shù)據(jù)牟利 北京市海淀區(qū)檢察院檢察官白磊介紹���,在互聯(lián)網(wǎng)科技公司內(nèi)��,網(wǎng)絡(luò)信息專(zhuān)業(yè)人員掌握公司信息系統(tǒng)的漏洞�����,一旦這些專(zhuān)業(yè)人員產(chǎn)生犯罪故意����,就會(huì)出現(xiàn)“內(nèi)鬼”類(lèi)黑客案件����,且這類(lèi)案件發(fā)生在公司內(nèi)部,具有隱秘性�����,不易被發(fā)現(xiàn)�,其危害性往往更大。
作為最高人民檢察院第九批指導(dǎo)性案例之一的“勾結(jié)前同事下載客戶數(shù)據(jù)售賣(mài)換錢(qián)”案件的承辦人�����,白磊向記者介紹了這起典型的“內(nèi)鬼”泄露個(gè)人信息案件���。
女職員龔某供職于北京某科技有限公司(以下簡(jiǎn)稱(chēng)“科技公司”)�,在運(yùn)營(yíng)規(guī)劃管理部負(fù)責(zé)跨區(qū)域判罰�、框架違規(guī)判罰等工作。
由于工作需要�����,她擁有登錄科技公司內(nèi)部系統(tǒng)的賬號(hào)�、密碼、Token令牌���,可以查看工作范圍內(nèi)的相關(guān)數(shù)據(jù)信息��。
案發(fā)前��,龔某與公司的前同事衛(wèi)某一直保持著聯(lián)系�����。
兩人商量售賣(mài)公司的客戶數(shù)據(jù)賺錢(qián):龔某提供賬號(hào)和密碼�,衛(wèi)某則負(fù)責(zé)數(shù)據(jù)的下載和售賣(mài),事成之后錢(qián)財(cái)各分一半�。
2016年6月至9月,利用龔某提供的內(nèi)部賬號(hào)和密碼����,衛(wèi)某多次違規(guī)登錄內(nèi)部系統(tǒng),違規(guī)查詢�、下載該計(jì)算機(jī)信息系統(tǒng)中存儲(chǔ)的公司客戶數(shù)據(jù)。
其商業(yè)合作伙伴薛某則負(fù)責(zé)通過(guò)QQ群尋找買(mǎi)家���,將非法獲取的客戶數(shù)據(jù)賣(mài)出去����,獲利共計(jì)3.7萬(wàn)元�。
后公司發(fā)現(xiàn)異常,報(bào)了警��。
2016年9月19日�����,衛(wèi)某和薛某被刑事拘留�����,龔某被取保候?qū)彙?/p>
同年10月26日��,三人被北京市公安局公共交通安全保衛(wèi)分局逮捕���。
后北京市海淀區(qū)檢察院對(duì)三人提起公訴��。
“被告人衛(wèi)某�����、薛某��、龔某的行為均已構(gòu)成非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪���。
”今年6月6日,海淀區(qū)法院作出判決���,衛(wèi)某���、薛某、龔某分別被判處有期徒刑四年�、四年�����、三年零九個(gè)月���,并分別處罰金4萬(wàn)元。
公司“內(nèi)鬼”伙同他人侵入公司網(wǎng)絡(luò)牟利的案件并非個(gè)例���,一些大的互聯(lián)網(wǎng)公司也存在類(lèi)似問(wèn)題����。
2017年1月至3月��,吳某受網(wǎng)名為“阿布小組”的網(wǎng)友(另案處理)指使�,通過(guò)網(wǎng)絡(luò)聯(lián)系上在樂(lè)視云計(jì)算有限公司(以下簡(jiǎn)稱(chēng)“樂(lè)視公司”)擔(dān)任工程師的閻某,并向其提供木馬程序�����。
出于牟利目的��,閻某先后三次將上述木馬程序布置在樂(lè)視公司位于全國(guó)的207臺(tái)服務(wù)器上�。
樂(lè)視公司經(jīng)排查發(fā)現(xiàn)問(wèn)題后報(bào)警。
檢察機(jī)關(guān)以閻某���、吳某涉嫌非法控制計(jì)算機(jī)信息系統(tǒng)罪對(duì)二人提起公訴���。
被賣(mài)數(shù)據(jù)或成電信詐騙信息源頭 “公司不愿意看見(jiàn)這樣的事情發(fā)生。
”樂(lè)視公司監(jiān)察部副總經(jīng)理王磊在接受記者采訪時(shí)表示�,大眾創(chuàng)業(yè)、萬(wàn)眾創(chuàng)新的時(shí)代背景下���,技術(shù)發(fā)展迅速��,但相關(guān)管理規(guī)范沒(méi)設(shè)計(jì)好�,一些互聯(lián)網(wǎng)從業(yè)人員通過(guò)各種各樣的手段規(guī)避公司規(guī)則��、逃避法律的情況在整個(gè)行業(yè)都很典型��。
有些年輕人手中掌握的數(shù)據(jù)修改權(quán)限很大��,處于沒(méi)有監(jiān)管的狀態(tài)���,這個(gè)風(fēng)險(xiǎn)需要引起關(guān)注��。
在朱巍看來(lái)��,類(lèi)似案件多發(fā)的主要原因在于利益驅(qū)動(dòng)�,越精準(zhǔn)、匹配度高����、綜合性強(qiáng)的數(shù)據(jù),其價(jià)值就越高���。
“這類(lèi)案件頻發(fā)的原因是多方面的�。
”北京市中倫律師事務(wù)所合伙人陳際紅律師說(shuō)����,“社會(huì)上對(duì)個(gè)人信息保護(hù)的重視程度還不太夠、非法竊取數(shù)據(jù)要受法律懲處的規(guī)則沒(méi)有深入人心���、公司的網(wǎng)絡(luò)安全管理存在漏洞等多種原因����,導(dǎo)致個(gè)人信息被非法獲取�、銷(xiāo)售的情況還比較嚴(yán)重。
” 通過(guò)非法獲取個(gè)人信息����,電信詐騙犯罪也日益精準(zhǔn)。
除姓名、身份證號(hào)���、手機(jī)號(hào)��、家庭地址等傳統(tǒng)靜態(tài)信息外�,手機(jī)定位記錄�����、通話記錄���、開(kāi)房記錄、車(chē)輛運(yùn)行軌跡等動(dòng)態(tài)信息越來(lái)越多被用于犯罪��。
“現(xiàn)在是精準(zhǔn)詐騙����,這些電信詐騙的信息從何而來(lái),要拔出蘿卜帶出泥����,建立溯源機(jī)制,要在技術(shù)上�����、流程上實(shí)現(xiàn)可追查化,做到一目了然�。
”朱巍補(bǔ)充說(shuō),對(duì)個(gè)人的信息保護(hù)要未雨綢繆�����,不能等出了問(wèn)題后才去關(guān)注�����,對(duì)于詐騙信息的源頭��,執(zhí)法部門(mén)要“豎起耳朵來(lái)”��。
個(gè)人隨意注冊(cè)小號(hào)�、盲目關(guān)注或注冊(cè)公號(hào)、隨便授權(quán)安裝App等都可能成為個(gè)人信息泄露的源頭�����。
對(duì)此����,朱巍建議,那些沉睡賬號(hào)一定要注銷(xiāo),以減少個(gè)人信息泄露的渠道��。
專(zhuān)家:企業(yè)要對(duì)客戶數(shù)據(jù)泄露事件擔(dān)責(zé) 企業(yè)數(shù)據(jù)涉及廣泛���,哪些信息需要重點(diǎn)保護(hù)����?朱巍認(rèn)為��,問(wèn)題的關(guān)鍵在于區(qū)分好個(gè)人信息與大數(shù)據(jù)的關(guān)系��。
個(gè)人信息屬于隱私權(quán)范疇����,未經(jīng)用戶允許不可使用����,而大數(shù)據(jù)的產(chǎn)權(quán)歸采集、計(jì)算���、制作者���,大數(shù)據(jù)可以流轉(zhuǎn)買(mǎi)賣(mài),但不能包含可識(shí)別用戶身份的數(shù)據(jù)。
涉及個(gè)人信息的數(shù)據(jù)一旦“失控”��,很可能為不法分子利用���。
朱巍說(shuō)��,公司內(nèi)鬼偷�����、黑客外部攻擊等導(dǎo)致數(shù)據(jù)泄露的情況出現(xiàn)后��,企業(yè)要承擔(dān)責(zé)任�,因?yàn)槠鋵?duì)數(shù)據(jù)具有安全保障責(zé)任��。
他坦言���,從目前的實(shí)踐看���,數(shù)據(jù)泄露事件發(fā)生后,查找與之對(duì)應(yīng)的責(zé)任人可能存在一定難度���,但作為數(shù)據(jù)管理者的企業(yè)卻很容易找到�,用戶可以要求數(shù)據(jù)管理者承擔(dān)責(zé)任。
記者了解到��,國(guó)家網(wǎng)絡(luò)安全法明確規(guī)定��,網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求����,履行安全保護(hù)義務(wù),保障網(wǎng)絡(luò)免受干擾���、破壞或者未經(jīng)授權(quán)的訪問(wèn)��,防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取�����、篡改�����。
陳際紅認(rèn)為,雖然企業(yè)可能也是數(shù)據(jù)泄露的受害者�����,但如果其未盡到企業(yè)網(wǎng)絡(luò)安全保護(hù)義務(wù)的話,仍要承擔(dān)包括行政處罰責(zé)任在內(nèi)的法律責(zé)任���。
目前來(lái)看��,泄露事件發(fā)生后��,個(gè)人維權(quán)仍存在困難�。
“受侵害的信息主體有權(quán)要求企業(yè)承擔(dān)民事賠償責(zé)任����,但在舉證上仍存在一定困難。
”陳際紅認(rèn)為�,此種情況下,公安����、網(wǎng)信辦等執(zhí)法部門(mén)通過(guò)行政執(zhí)法措施來(lái)加強(qiáng)個(gè)人信息保護(hù)顯得尤為重要。
“企業(yè)要依法收集客戶信息��,明確公告相關(guān)條款��,告知用戶收集使用的目的�、方式和范圍,并在授權(quán)的范圍內(nèi)使用�����。
”陳際紅進(jìn)一步說(shuō),泄露事件發(fā)生后��,企業(yè)要及時(shí)啟動(dòng)應(yīng)急預(yù)案��,向相關(guān)部門(mén)進(jìn)行報(bào)告����,并告知受影響的用戶,以盡可能減小損失���。
