内鬼操作? 但在张力看来,在不考虑黑客因素下,公司内部人员数据泄露尤为普遍。 这种说法也得到王怡赞同。他说,类似金融产品明细、用户账户等安全级别相对较低的信息,少部分信息可以通过爬虫程序直接抓取。但从技术的角度看,大部分平台是没有办法通过爬虫软件获取用户电话、账户和其他明细。 王怡称,爬虫软件是模拟人的操作,直接登录抓取页面等常规操作。如果互联网上没有这些数据,那就需要从公司后台数据库直接抓取信息,这是没法使用爬虫程序的。 在王怡看来,通过爬虫软件就能够获得数据,说明安全级别并不高,如果直接获得安全级别高的数据,那就需要一定技术。 王怡表示,一般而言,获取公司数据库内部数据有三种方法,这也是市面上最常使用的方式。一是对方平台服务器的安全措施等级低,技术手段进入对方系统,获取操作权限。二是黑客通过渗透测试工具,通过软件漏洞进行攻击。三是内外勾结,公司内部人进行信息贩卖。 实际上,这已不是网易邮箱出事。 2013年3月15日,央视"3·15晚会"曝光了网易邮箱涉嫌偷窥用户信息,进行广告营销。央视调查发现,网易等一些网站同意第三方公司通过植入代码、获取cookie,从而锁定用户、精准投放广告。网易公司也会对自己的用户进行跟踪分析,甚至包括用户非常隐私的邮件内容。 对此,网易免费邮箱当时称,用户对信息安全的重视,网易感同身受,并一向注重对用户隐私的保护。网易邮箱一天处理约2亿封邮件,不存在任何个人参与窥探用户隐私的可能性。网易现在和将来都不存在、也不会容忍收集用户隐私用于商业目的的行为。同时,网易邮箱将对销售部门进行规范,避免因夸大宣传,引起误导。 华为资深工程师张合表示,如果网易出现邮箱账号泄露,不管是否参与交易,网易都应承担责任,“保护用户的数据隐私是平台最起码的责任。” “网易应该承担责任。”张宏也说,网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的时候,应当立即采取补救措施。但是,这次网易邮箱账号泄露,尚未证实由网易内部人士所为。 买卖数据不违法? 在卖家李娜看来,通过爬虫技术获取网易邮箱并进行交易不违法,“爬虫程序是我男朋友做的,爬取的是网络上公开信息,不涉及违法行为。” “爬取数据的合法性其实很窄,只有不妨害网站的正常运行、严格遵守网站设置的robots协议,不强行突破网站的反爬措施,这才是真正合法的数据爬取行为。”张宏表示,从法律角度来看,虽然数据的爬取是从公开数据当中进行数据抽查,但如果使用不当,也会突破法律的边缘。 《网络安全法》第四十二条规定,网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的时候,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。 另外,《电信和互联网用户个人信息保护规定》第十条规定,电信业务经营者、互联网信息服务提供者及其工作人员对在提供服务过程中收集、使用的用户个人信息应当严格保密,不得泄露、篡改或者毁损,不得出售或者非法向他人提供。 2017年6月1日,《“两高”关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》规定了较低的入刑门槛——该司法解释将个人信息根据敏感度的高低分为三档,非法出售的数量分别达到50条、500条、5000条,或违法所得达5000元以上即可定罪,如果是在履行职责、提供服务过程中“监守自盗”的,标准减半。 “这说明,所有的条件都必须是共同存在,才可以保证最终的合法性,但凡有一个条件违反了,就是违法行为。据我所知,大量程序员在从事数据的爬取过程中,或多或少都有违法的嫌疑。”张宏说。 在张宏看来,企业若要实现数据合法获取,必须满足两个条件。一是互联网企业只能收集其提供服务所必需的个人信息,非必需信息一概不得收集;二是企业必须明示收集、使用的目的、方式和范围,并征得用户的同意,最常见的形式是平时注册账号前需要打勾的“隐私协议”。 | 
|
fe0a33c1-f544-4bfb-9797-92d0a2a77729.jpg)
