“內鬼”售賣公司客戶數據牟利,大量數據流向市場逐漸“失控”,進而埋下電信詐騙、盜竊等犯罪的隱患……誰該為“失控”的數據負責?中國政法大學傳播法研究中心副主任朱巍日前在接受采訪時表示,“內鬼”泄密事件發生后,企業應對被泄露的客戶數據承擔民事責任,因為企業對數據具有安全保障義務,“要求其擔責不是強人所難”。

被賣出的客戶數據可能成為精準詐騙的重要信息來源。對此,朱巍表示,對個人的信息保護要未雨綢繆,不能等出了問題才去關注,對于詐騙信息的源頭治理問題,執法部門需要“豎起耳朵來”。

內外勾結售賣客戶數據牟利

北京市海淀區檢察院檢察官白磊介紹,在互聯網科技公司內,網絡信息專業人員掌握公司信息系統的漏洞,一旦這些專業人員產生犯罪故意,就會出現“內鬼”類黑客案件,且這類案件發生在公司內部,具有隱秘性,不易被發現,其危害性往往更大。

作為最高人民檢察院第九批指導性案例之一的“勾結前同事下載客戶數據售賣換錢”案件的承辦人,白磊向記者介紹了這起典型的“內鬼”泄露個人信息案件。

女職員龔某供職于北京某科技有限公司(以下簡稱“科技公司”),在運營規劃管理部負責跨區域判罰、框架違規判罰等工作。由于工作需要,她擁有登錄科技公司內部系統的賬號、密碼、Token令牌,可以查看工作范圍內的相關數據信息。

案發前,龔某與公司的前同事衛某一直保持著聯系。兩人商量售賣公司的客戶數據賺錢:龔某提供賬號和密碼,衛某則負責數據的下載和售賣,事成之后錢財各分一半。

2016年6月至9月,利用龔某提供的內部賬號和密碼,衛某多次違規登錄內部系統,違規查詢、下載該計算機信息系統中存儲的公司客戶數據。其商業合作伙伴薛某則負責通過QQ群尋找買家,將非法獲取的客戶數據賣出去,獲利共計3.7萬元。后公司發現異常,報了警。

2016年9月19日,衛某和薛某被刑事拘留,龔某被取保候審。同年10月26日,三人被北京市公安局公共交通安全保衛分局逮捕。后北京市海淀區檢察院對三人提起公訴。

“被告人衛某、薛某、龔某的行為均已構成非法獲取計算機信息系統數據罪?！苯衲?月6日,海淀區法院作出判決,衛某、薛某、龔某分別被判處有期徒刑四年、四年、三年零九個月,并分別處罰金4萬元。

公司“內鬼”伙同他人侵入公司網絡牟利的案件并非個例,一些大的互聯網公司也存在類似問題。2017年1月至3月,吳某受網名為“阿布小組”的網友(另案處理)指使,通過網絡聯系上在樂視云計算有限公司(以下簡稱“樂視公司”)擔任工程師的閻某,并向其提供木馬程序。出于牟利目的,閻某先后三次將上述木馬程序布置在樂視公司位于全國的207臺服務器上。

樂視公司經排查發現問題后報警。檢察機關以閻某、吳某涉嫌非法控制計算機信息系統罪對二人提起公訴。

被賣數據或成電信詐騙信息源頭?

“公司不愿意看見這樣的事情發生?！睒芬暪颈O察部副總經理王磊在接受記者采訪時表示,大眾創業、萬眾創新的時代背景下,技術發展迅速,但相關管理規范沒設計好,一些互聯網從業人員通過各種各樣的手段規避公司規則、逃避法律的情況在整個行業都很典型。有些年輕人手中掌握的數據修改權限很大,處于沒有監管的狀態,這個風險需要引起關注。?

在朱巍看來,類似案件多發的主要原因在于利益驅動,越精準、匹配度高、綜合性強的數據,其價值就越高。

“這類案件頻發的原因是多方面的。”北京市中倫律師事務所合伙人陳際紅律師說,“社會上對個人信息保護的重視程度還不太夠、非法竊取數據要受法律懲處的規則沒有深入人心、公司的網絡安全管理存在漏洞等多種原因,導致個人信息被非法獲取、銷售的情況還比較嚴重。”

通過非法獲取個人信息,電信詐騙犯罪也日益精準。除姓名、身份證號、手機號、家庭地址等傳統靜態信息外,手機定位記錄、通話記錄、開房記錄、車輛運行軌跡等動態信息越來越多被用于犯罪。

“現在是精準詐騙,這些電信詐騙的信息從何而來,要拔出蘿卜帶出泥,建立溯源機制,要在技術上、流程上實現可追查化,做到一目了然?！敝煳⊙a充說,對個人的信息保護要未雨綢繆,不能等出了問題后才去關注,對于詐騙信息的源頭,執法部門要“豎起耳朵來”。

個人隨意注冊小號、盲目關注或注冊公號、隨便授權安裝App等都可能成為個人信息泄露的源頭。對此,朱巍建議,那些沉睡賬號一定要注銷,以減少個人信息泄露的渠道。

專家:企業要對客戶數據泄露事件擔責

企業數據涉及廣泛,哪些信息需要重點保護?朱巍認為,問題的關鍵在于區分好個人信息與大數據的關系。個人信息屬于隱私權范疇,未經用戶允許不可使用,而大數據的產權歸采集、計算、制作者,大數據可以流轉買賣,但不能包含可識別用戶身份的數據。

涉及個人信息的數據一旦“失控”,很可能為不法分子利用。朱巍說,公司內鬼偷、黑客外部攻擊等導致數據泄露的情況出現后,企業要承擔責任,因為其對數據具有安全保障責任。他坦言,從目前的實踐看,數據泄露事件發生后,查找與之對應的責任人可能存在一定難度,但作為數據管理者的企業卻很容易找到,用戶可以要求數據管理者承擔責任。

記者了解到,國家網絡安全法明確規定,網絡運營者應當按照網絡安全等級保護制度的要求,履行安全保護義務,保障網絡免受干擾、破壞或者未經授權的訪問,防止網絡數據泄露或者被竊取、篡改。

陳際紅認為,雖然企業可能也是數據泄露的受害者,但如果其未盡到企業網絡安全保護義務的話,仍要承擔包括行政處罰責任在內的法律責任。

目前來看,泄露事件發生后,個人維權仍存在困難。“受侵害的信息主體有權要求企業承擔民事賠償責任,但在舉證上仍存在一定困難?！标愲H紅認為,此種情況下,公安、網信辦等執法部門通過行政執法措施來加強個人信息保護顯得尤為重要。

“企業要依法收集客戶信息,明確公告相關條款,告知用戶收集使用的目的、方式和范圍,并在授權的范圍內使用。”陳際紅進一步說,泄露事件發生后,企業要及時啟動應急預案,向相關部門進行報告,并告知受影響的用戶,以盡可能減小損失。