被賣資料或成電信詐騙資訊源頭 誰該為“失控”資料負責?
【原標題:誰該為“失控”的資料負責?】
“內鬼”售賣公司客戶資料牟利,大量資料流程向市場逐漸“失控”,進而埋下電信詐騙、盜竊等犯罪的隱患……誰該為“失控”的資料負責?中國政法大學傳播法研究中心副主任朱巍日前在接受採訪時表示,“內鬼”洩密事件發生後,企業應對被洩露的客戶資料承擔民事責任,因為企業對資料具有安全保障義務,“要求其擔責不是強人所難”。
被賣出的客戶資料可能成為精准詐騙的重要資訊來源。對此,朱巍表示,對個人的資訊保護要未雨綢繆,不能等出了問題才去關注,對於詐騙資訊的源頭治理問題,執法部門需要“豎起耳朵來”。
內外勾結售賣客戶資料牟利
北京市海澱區檢察院檢察官白磊介紹,在互聯網科技公司內,網路資訊專業人員掌握公司資訊系統的漏洞,一旦這些專業人員產生犯罪故意,就會出現“內鬼”類駭客案件,且這類案件發生在公司內部,具有隱秘性,不易被發現,其危害性往往更大。
作為最高人民檢察院第九批指導性案例之一的“勾結前同事下載客戶資料售賣換錢”案件的承辦人,白磊向記者介紹了這起典型的“內鬼”洩露個人資訊案件。
女職員龔某供職於北京某科技有限公司(以下簡稱“科技公司”),在運營規劃管理部負責跨區域判罰、框架違規判罰等工作。由於工作需要,她擁有登錄科技公司內部系統的帳號、密碼、Token權杖,可以查看工作範圍內的相關資料資訊。
案發前,龔某與公司的前同事衛某一直保持著聯繫。兩人商量售賣公司的客戶資料賺錢:龔某提供帳號和密碼,衛某則負責資料的下載和售賣,事成之後錢財各分一半。
2016年6月至9月,利用龔某提供的內部帳號和密碼,衛某多次違規登錄內部系統,違規查詢、下載該電腦資訊系統中存儲的公司客戶資料。其商業合作夥伴薛某則負責通過QQ群尋找買家,將非法獲取的客戶資料賣出去,獲利共計3.7萬元。
2016年9月19日,衛某和薛某被刑事拘留,龔某被取保候審。同年10月26日,三人被北京市公安局公共交通安全保衛分局逮捕。後北京市海澱區檢察院對三人提起公訴。
“被告人衛某、薛某、龔某的行為均已構成非法獲取電腦資訊系統資料罪。”今年6月6日,海澱區法院作出判決,衛某、薛某、龔某分別被判處有期徒刑四年、四年、三年零九個月,並分別處罰金4萬元。
公司“內鬼”夥同他人侵入公司網路牟利的案件並非個例,一些大的互聯網公司也存在類似問題。2017年1月至3月,吳某受網名為“阿布小組”的網友(另案處理)指使,通過網路聯繫上在樂視雲計算有限公司(以下簡稱“樂視公司”)擔任工程師的閻某,並向其提供木馬程式。出於牟利目的,閻某先後三次將上述木馬程式佈置在樂視公司位於全國的207台伺服器上。
樂視公司經排查發現問題後報警。檢察機關以閻某、吳某涉嫌非法控制電腦資訊系統罪對二人提起公訴。
被賣資料或成電信詐騙資訊源頭
“公司不願意看見這樣的事情發生。”樂視公司監察部副總經理王磊在接受記者採訪時表示,大眾創業、萬眾創新的時代背景下,技術發展迅速,但相關管理規範沒設計好,一些互聯網從業人員通過各種各樣的手段規避公司規則、逃避法律的情況在整個行業都很典型。有些年輕人手中掌握的資料修改許可權很大,處於沒有監管的狀態,這個風險需要引起關注。
在朱巍看來,類似案件多發的主要原因在於利益驅動,越精准、匹配度高、綜合性強的資料,其價值就越高。
“這類案件頻發的原因是多方面的。”北京市中倫律師事務所合夥人陳際紅律師說,“社會上對個人資訊保護的重視程度還不太夠、非法竊取資料要受法律懲處的規則沒有深入人心、公司的網路安全管理存在漏洞等多種原因,導致個人資訊被非法獲取、銷售的情況還比較嚴重。”
通過非法獲取個人資訊,電信詐騙犯罪也日益精准。除姓名、身份證號、手機號、家庭位址等傳統靜態資訊外,手機定位記錄、通話記錄、開房記錄、車輛運行軌跡等動態資訊越來越多被用於犯罪。
“現在是精准詐騙,這些電信詐騙的資訊從何而來,要拔出蘿蔔帶出泥,建立溯源機制,要在技術上、流程上實現可追查化,做到一目了然。”朱巍補充說,對個人的資訊保護要未雨綢繆,不能等出了問題後才去關注,對於詐騙資訊的源頭,執法部門要“豎起耳朵來”。
個人隨意註冊小號、盲目關注或註冊公號、隨便授權安裝App等都可能成為個人資訊洩露的源頭。對此,朱巍建議,那些沉睡帳號一定要登出,以減少個人資訊洩露的管道。
專家:企業要對客戶資料洩露事件擔責
企業資料涉及廣泛,哪些資訊需要重點保護?朱巍認為,問題的關鍵在於區分好個人資訊與大資料的關係。個人資訊屬於隱私權範疇,未經用戶允許不可使用,而大資料的產權歸採集、計算、製作者,大資料可以流轉買賣,但不能包含可識別使用者身份的資料。
涉及個人資訊的資料一旦“失控”,很可能為不法分子利用。朱巍說,公司內鬼偷、駭客外部攻擊等導致資料洩露的情況出現後,企業要承擔責任,因為其對資料具有安全保障責任。他坦言,從目前的實踐看,資料洩露事件發生後,查找與之對應的責任人可能存在一定難度,但作為資料管理者的企業卻很容易找到,使用者可以要求資料管理者承擔責任。
記者瞭解到,國家網路安全法明確規定,網路運營者應當按照網路安全等級保護制度的要求,履行安全保護義務,保障網路免受干擾、破壞或者未經授權的訪問,防止網路資料洩露或者被竊取、篡改。
陳際紅認為,雖然企業可能也是資料洩露的受害者,但如果其未盡到企業網路安全保護義務的話,仍要承擔包括行政處罰責任在內的法律責任。
目前來看,洩露事件發生後,個人維權仍存在困難。“受侵害的資訊主體有權要求企業承擔民事賠償責任,但在舉證上仍存在一定困難。”陳際紅認為,此種情況下,公安、網信辦等執法部門通過行政執法措施來加強個人資訊保護顯得尤為重要。
“企業要依法收集客戶資訊,明確公告相關條款,告知使用者收集使用的目的、方式和範圍,並在授權的範圍內使用。”陳際紅進一步說,洩露事件發生後,企業要及時啟動應急預案,向相關部門進行報告,並告知受影響的用戶,以盡可能減小損失。
樂視公司經排查發現問題後報警。檢察機關以閻某、吳某涉嫌非法控制電腦資訊系統罪對二人提起公訴。
被賣資料或成電信詐騙資訊源頭
“公司不願意看見這樣的事情發生。”樂視公司監察部副總經理王磊在接受記者採訪時表示,大眾創業、萬眾創新的時代背景下,技術發展迅速,但相關管理規範沒設計好,一些互聯網從業人員通過各種各樣的手段規避公司規則、逃避法律的情況在整個行業都很典型。有些年輕人手中掌握的資料修改許可權很大,處於沒有監管的狀態,這個風險需要引起關注。
在朱巍看來,類似案件多發的主要原因在於利益驅動,越精准、匹配度高、綜合性強的資料,其價值就越高。
“這類案件頻發的原因是多方面的。”北京市中倫律師事務所合夥人陳際紅律師說,“社會上對個人資訊保護的重視程度還不太夠、非法竊取資料要受法律懲處的規則沒有深入人心、公司的網路安全管理存在漏洞等多種原因,導致個人資訊被非法獲取、銷售的情況還比較嚴重。”
通過非法獲取個人資訊,電信詐騙犯罪也日益精准。除姓名、身份證號、手機號、家庭位址等傳統靜態資訊外,手機定位記錄、通話記錄、開房記錄、車輛運行軌跡等動態資訊越來越多被用於犯罪。
“現在是精准詐騙,這些電信詐騙的資訊從何而來,要拔出蘿蔔帶出泥,建立溯源機制,要在技術上、流程上實現可追查化,做到一目了然。”朱巍補充說,對個人的資訊保護要未雨綢繆,不能等出了問題後才去關注,對於詐騙資訊的源頭,執法部門要“豎起耳朵來”。
個人隨意註冊小號、盲目關注或註冊公號、隨便授權安裝App等都可能成為個人資訊洩露的源頭。對此,朱巍建議,那些沉睡帳號一定要登出,以減少個人資訊洩露的管道。
專家:企業要對客戶資料洩露事件擔責
企業資料涉及廣泛,哪些資訊需要重點保護?朱巍認為,問題的關鍵在於區分好個人資訊與大資料的關係。個人資訊屬於隱私權範疇,未經用戶允許不可使用,而大資料的產權歸採集、計算、製作者,大資料可以流轉買賣,但不能包含可識別使用者身份的資料。
涉及個人資訊的資料一旦“失控”,很可能為不法分子利用。朱巍說,公司內鬼偷、駭客外部攻擊等導致資料洩露的情況出現後,企業要承擔責任,因為其對資料具有安全保障責任。他坦言,從目前的實踐看,資料洩露事件發生後,查找與之對應的責任人可能存在一定難度,但作為資料管理者的企業卻很容易找到,使用者可以要求資料管理者承擔責任。
記者瞭解到,國家網路安全法明確規定,網路運營者應當按照網路安全等級保護制度的要求,履行安全保護義務,保障網路免受干擾、破壞或者未經授權的訪問,防止網路資料洩露或者被竊取、篡改。
陳際紅認為,雖然企業可能也是資料洩露的受害者,但如果其未盡到企業網路安全保護義務的話,仍要承擔包括行政處罰責任在內的法律責任。
目前來看,洩露事件發生後,個人維權仍存在困難。“受侵害的資訊主體有權要求企業承擔民事賠償責任,但在舉證上仍存在一定困難。”陳際紅認為,此種情況下,公安、網信辦等執法部門通過行政執法措施來加強個人資訊保護顯得尤為重要。
“企業要依法收集客戶資訊,明確公告相關條款,告知使用者收集使用的目的、方式和範圍,並在授權的範圍內使用。”陳際紅進一步說,洩露事件發生後,企業要及時啟動應急預案,向相關部門進行報告,並告知受影響的用戶,以盡可能減小損失。