近日， *** 近12亿用户信息泄露案引起关注。

根据河南省商丘市绥阳区人民法院公布的一起案件，犯罪分子通过自己的开发软件爬上了 *** 客户的数字ID、从事 *** 客户推广业务的 *** 昵称、手机号码等信息近12亿条，共盈利34万余元，最终被判侵犯公民个人信息罪。

近年来，数据泄露案件频繁发生。一些专家指出，虽然企业也是受害者之一，但从个人信息保护的角度来看，只要用户因信息泄露而遭受损失，平台就需要承担一定的责任。

随着国家和地方立法的实施，中国企业数据安全的负担越来越大，不履行相关义务的将面临罚款。另一方面，爬虫等 *** 技术的应用也迫切需要法律监管，这些技术的使用边界需要进一步规范。

近12亿 *** 用户信息被泄露

根据裁判文件，2020年8月， *** (中国)软件有限公司报警称，7月6日至13日，黑产通过mtop订单评估接口绕过平台风险控制批量爬行加密数据。在此期间，爬行字段数量巨大，平均每天爬行字段数量为500万，包括买方用户昵称、用户评估内容、昵称等敏感字段。

经 *** 调查发现，陆涉嫌重大犯罪。他担任浏阳泰创 *** 科技有限公司（以下简称浏阳泰创）的技术员。

浏阳泰创的主要业务是 *** 客，即在微信群里进行 *** 商品的推广，从而获得 *** 网佣金和商家服务费。

2019从2011年11月开始，陆在家里开发了爬虫软件淘评，通过 *** 网页接口爬取客户信息，并向李提供手机号码。

爬行的信息在哪里？李将这些信息数据导入一个名为微信加人的软件，以添加微信好友。据公司员工介绍，公司成立了多个微信群，最多可能达到1100个，每个群的人数从90人到200人不等。这些员工负责在群中发送广告链接。一旦 *** 用户在广告群中购买商品，公司就可以获得佣金。

截至2020年7月，该公司利用爬取的信息经营共获利340187.68元。经司法鉴定，陆某通过其开发的软件爬上 *** 客户的数字ID、 *** 昵称、手机号码等 *** 客户信息共1180738048条。陆以微信文件的形式向被告李发送了 *** 客户手机号码，共19712611条。

被爬行的信息还在其他地方使用吗？陆说，除了向提供手机号码外，客户ID *** 昵称有自己的电脑硬盘，没有泄露。李辩称，起诉书指控公司全部营业额超过395万元，利润应为37万元，不使用非法信息。上述信息均由法院采纳。

法院最终认为，陆和李违反了国家规定，非法获取了公民的个人信息，情节特别严重，构成了侵犯公民个人信息的罪行。根据其犯罪情节和社会危害，法院判处李有期徒刑3年6个月，罚款35万元；陆有期徒刑3年3个月，罚款10万元。

平台对数据泄露有何责任？

然而，陆最初因涉嫌非法获取计算机信息系统数据和非法控制计算机信息系统而被刑事立案。后来，检察院起诉，指控他不喜欢侵犯公民的个人信息。

犯罪前后为何发生变化？

北京清律师事务所首席合伙人熊定忠解释说，由于陆通过网页接口爬取数据，没有侵入计算机系统，被判个人信息犯罪是最合理的。

上海申伦律师事务所律师夏海龙表示，通过购买、接受、交换等方式获取公民个人信息，可能构成侵犯公民个人信息罪。但构成非法获取计算机信息系统数据和非法控制计算机信息系统罪的前提是犯罪嫌疑人违反刑法背景下的国家规定。仅在陆擅自爬上 *** 用户信息的情况下，还没有达到这重程度。

上海大邦律师事务所高级合伙人游云庭表示：黑客被判侵犯公民个人信息罪，而不是非法获取计算机信息系统数据罪，因此 *** 因计算机系统数据被盗而受到行政处罚的风险要小得多。

2011年12月，北京警方接到了一起平台因技术漏洞导致数据泄露被追究责任的案件。CSDN该网站报告称，其服务器被入侵，核心数据被泄露，CSDN整改后的网站。

据警方调查，嫌疑人使用CSDN网站漏洞，非法侵入服务器获取用户数据，涉嫌非法获取计算机数据被刑事拘留。CSDN网站未实施国家信息安全等级保护制度，安全管理制度和技术保护措施落实不到位是用户信息泄露的主要原因。

根据《计算机信息系统安全保护条例》第20条第1款规定，有违反计算机信息系统安全等级保护制度，危害计算机信息系统安全的行为，应由公安机关处以警告或者停机整顿。北京市公安局向CSDN该网站提出了具体的整改要求，并对运营公司北京创新乐知信息技术有限公司进行了行政警告。

一般来说，平台通常是类似事件的受害者。只要平台采取必要的技术保护措施，在数据泄露事件中无过错，就可以及时通知用户和监管部门，采取补救措施，积极恢复损失，一般不受行政处罚。夏海龙分析说，但从个人信息保护的角度来看，只要用户因信息泄露而遭受损失，平台就需要首先向用户赔偿损失。

加重企业数据安全责任

近年来，国际频繁的数据泄露事件不仅使相关平台承担了高昂的损失成本，而且可能面临巨额罚款，危及大量用户的个人信息安全。

202011月，美国酒店集团万豪因 *** 攻击泄露了数百万客户的个人数据，并收到了英国监管机构（ICO）巨额罚款1840万英镑。ICO调查发现，万豪没有遵守通用数据保护条例（GDPR）采取适当的技术或组织措施来保护系统中的个人数据。

社交巨头脸书也多次陷入数据泄露的泥潭。今年4月，脸书被指控泄露5.331亿用户数据，尽管后来澄清了两年前的旧消息，并修复了相关漏洞。但人们不禁想到，2018年，英国剑桥分析公司非法获得了8700万Facebook用户数据，最终以Facebook同意支付50亿美元的罚款结束。

随着国家和地方立法的实施，中国企业肩上的数据安全负担将逐渐增加。

6根据10月10日通过的《数据安全法》，组织和个人不履行数据安全保护义务（包括采取必要措施确保数据安全、加强风险监测、风险评估等），由有关主管部门责令改正，给予警告，并处5万元以上50万元以下罚款。

二审《个人信息保护法》草案还对制定内部管理制度和操作规程、对个人信息进行分类管理、采取相应加密、采取相应加密、去标识化等安全技术措施、制定并组织实施个人信息安全事件应急预案等提出了相应要求。

深圳、上海、天津、安徽等地的数据立法也高度重视数据安全。

例如，6月2日发布的《深圳经济特区数据条例（草案）》提到，数据处理人应履行数据安全管理责任，防止数据泄露、损坏、丢失、篡改和非法使用，实施监控预警措施，制定数据安全应急预案，及时通知相关权利人，并向 *** 信息部门和相关行业主管部门报告。

爬虫使用不当涉及多重法律风险

在内部，企业作为数据收集和处理者，应建立完善的数据保护系统；进一步规范爬虫等 *** 技术的应用。

*** 爬虫是互联网时代最早应用于搜索引擎领域的 *** 信息搜索技术，通过收集网页上的信息或数据，将其纳入数据库。

*** 爬虫技术的不当使用可能会带来多种法律风险。除上述非法获取计算机信息系统数据、非法控制计算机信息系统和侵犯公民个人信息外，还可能涉及侵犯作权和欺诈，构成不正当竞争。

如上海市徐汇区人民法院公布的一起案件中，段某于2013年开始视频网站，未经着作权人许可，利用爬虫技术对乐视、土豆等视频网站的影视作品设置加框链接，屏蔽片头广告，转而在自己的网页内发布广告，获利74余万。法院最终判定段某构成侵犯着作权罪。

在上海市宝山区人民法院公布的另一起案件中，爬虫技术已成为实施欺诈的工具。叶雇佣他人，通过购买爬虫软件获取 *** 新店信息，冒充 *** 客户服务人员发送商店未激活、交易关闭等虚假信息，帮助商店解决问题同意远程协助，提供支付宝账户和密码，然后通过计算机远程操作使用受害者支付宝视频账户充值。法院认为，叶的行为构成了欺诈罪。

与爬虫有关的法律问题更多的是关于垄断和不正当竞争的争议。例如，2013年的百度诉360案、2017年的酷米、2016年的16年的非法抓取用户信息微博下文案被称为中国首起大数据不正当竞争纠纷案。

6美国更高法院于14日要求下级法院重审领英诉讼竞争对手hiQ Labs抓取用户 *** 息。此前，由于相关法案不禁止公司在互联网上公开访问数据，领英败诉。

这些案例的争议点主要是数据所有权问题， *** 爬虫可以很容易地收集用户数据，在数据是石油的未来，保持对用户数据的控制是互联网运营商的必要场所。

以非法捕获用户信息案为例， *** 社交应用 *** 在推出之初就与新浪微博合作，用户可以通过微博账号和个人手机号码注册登录 *** 。然而，新浪微博发现， *** 还捕获和使用了大量新浪微博用户的头像、名称、职业、教育等信息。双方随后终止合作，新浪微博提起诉讼。

一审和二审法院都认为，脉搏的上述行为构成了不公平的竞争。法院二审判决指出，在数据资源已成为互联网企业重要的竞争优势和商业资源的情况下，企业的竞争力不仅体现在技术设备上，也体现在互联网行业的数据规模上。脉冲违反开发商协议，未经用户同意，未经新浪微博授权，获取用户相关信息，显示在脉冲应用 *** 细节中，侵犯新浪微博商业资源，不公平获取竞争优势，超出法律保护的合法竞争行为。

目前，我国还没有 *** 爬虫技术的配套法律法规。在多次纠纷下， *** 爬虫的使用边界正在标准化。在2019年5月发布的《数据安全管理办法（草案）》中，首次确定了 *** 爬虫的法律红线。

草案第二章第十六条规定， *** 运营商采用自动手段访问和收集网站数据，不得妨碍网站的正常运行；这种行为严重影响网站的运行。如果自动访问收集流量超过网站日平均流量的三分之一，则网站应停止自动访问收集。

更多内容请下载21财经APP