上市公司非法窃取30亿条用户数据,这个锅谁来背?
背景:近日,堪称“史上最大规模数据窃取案”被浙江绍兴越城区警方侦破。据警方透露,该犯罪团伙是一家以瑞智华胜为主的上市公司,该公司先后与全国十余省市的电信、移动、联通、铁通、广电等运营商签订营销广告系统服务合同,为运营商提供精准广告投放系统的开发、维护,从而拿到运营商服务器的远程登录权限,将自主编写的恶意程序放在运营商内部的服务器上,非法从运营商流量池中窃取用户数据,导致百度、腾讯、阿里、今日头条等全国96家互联网公司用户数据被窃取,几乎国内所有的大型互联网企业均被“雁过拔毛”。用户在网上的搜索记录、出行记录、开房记录、交易记录等信息,均被窃取用户信息的犯罪团伙掌握。警方查明,该犯罪团伙利用非法窃取的30亿条用户数据,操控用户账号进行微博、微信、QQ、抖音等社交平台的加粉、刷量、加群、违规推广,非法获利,旗下一家公司一年营收就超过3000万元。
覆盖十多个省,按照全中国的一半省份来预估,大约7亿人口,共计30亿条用户数据,每个人按照5个各类应用账号来算,就是有6亿人口受到了影响,基本就是这十多个省只要上网的,有这些应用账号的,数据都被该犯罪团伙非法收集了,其中考虑去掉一些不上网的用户。
昨天刚报道的,截至2018年6月,我国网民规模为8.02亿。所以基本可以确定这10多个省的几乎所有用户都受到了影响。那么不得不等就想问,出了这么大纰漏,这个锅谁来背比较合适?
此案中可能涉及到三个责任主体:干坏事的瑞智华胜公司、提供应用服务的BAT等应用方、“躺枪”的10来家各地运营商。这三家都是各自范围内的网络运营者。
我们一家家来分析下:首先干坏事的瑞智华胜公司,该公司首先在给各运营商服务过程中设置恶意程序非法获取访问用户 cookies 的权限,从而窃取到各类用户数据,你访问的网站、开房记录、各类账号等等都被其掌握,其可以操控窃取的用户账号进行微博、微信、QQ、抖音等社交平台的加粉、刷量、加群、违规推广等行为。另外其如果真的要收集个人信息要经过个人用户的授权同意,这个显然是没有经过授权的,其行为属于窃取或者以其他非法方式获取个人信息,并以特定方式非法出售或者非法向他人提供个人信息。那么《网络安全法》中第9条,第22条,第44条非常适合瑞智华胜公司。这个锅瑞智华胜公司肯定要背起来。
第九条 网络运营者开展经营和服务活动,必须遵守法律、行政法规,尊重社会公德,遵守商业道德,诚实信用,履行网络安全保护义务,接受政府和社会的监督,承担社会责任。
第二十二条 网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序;发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。
第四十四条 任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。
另外一方:提供应用服务的BAT等应用方。此案中犯罪团伙非法获取了用户的Cookie,从而获取到各类用户信息。Cookie中保存的用户名、密码等个人敏感信息通常是经过加密的,很难将其反向破解。但这并不意味着绝对安全,黑客可通过木马病毒盗取用户浏览器Cookie,直接通过偷取的Cookie骗取网站信任。就像此案中一样,犯罪团伙非法窃取了Cookie,但是如果相关应用服务提供者没有对用户名、密码等敏感信息加密,那么理论上其也应当承担部分责任。具体可以参考《网络安全法》第9条、第10条。所以这次这个锅,不得不等认为和应用服务提供方基本不相关。
第十条 建设、运营网络或者通过网络提供服务,应当依照法律、行政法规的规定和国家标准的强制性要求,采取技术措施和其他必要措施,保障网络安全、稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性。
那么我们再看看“躺枪”的各地运营商们,这些运营商肯定是气坏了,心想:花钱买你们服务,你们服务不好好做就算了,还在我这偷数据,搞事情,这次这个锅你必须背。那么这些运营商们就真的没有一点责任吗?或者说运营商在整个信息传输的环节到底应当扮演什么样的角色?运营商本来想让瑞智华胜过来帮忙其进行精确营销的,结果这家伙没有好好干,干起了其他不法勾当,那么瑞智华胜如何才能进行精确营销呢?肯定得知道用户想什么吧,那么他是怎么知道我们想什么的呢?我们看到的是其非法窃取了我们的Cookie,那么作为控制信息传输源头的运营商就这么容易被黑了?运营商们你们知道这事吗?如果不知道,你们每年的等保、分评做了吗?你们在正常提供网络服务过程中有没有收集用户的个人信息行为呢?但是至少有一点你们的安全技术措施肯定没做好,不然怎么会导致在你们的地盘泄露了用户的Cookie呢,而且瑞智华胜最早从2014年就开始为运营商提供精准广告投放系统的开发、维护服务了。建议运营商们学习下《网络安全法》第9、10、21、38、40、41、42条相关内容。那么这次30亿条数据泄露了,这个锅和运营商有没有关系呢?
第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改
第三十八条 关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。
第四十二条 网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。
第四十条 网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。
第四十一条 网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
好了,扯了半天,不得不等思路都有点混乱了,大家觉得这个锅谁来背最合适?
30亿条用户信息泄露,几乎影响到每个人,这个锅谁来背?(单选)
A.瑞智华胜这孩子干的坏事,必须它来背
B. BAT等应用服务商提供的服务质量不好,它们来背
C. 运营商真“躺枪了”?醒醒起来背锅吧
D. 背锅这事,当然交给专业背锅侠了,临时工准备上场
免责声明:本站内容来源于互联网公开信息,仅供学习和参考使用。如涉及版权问题,请联系我们,我们将在核实后第一时间删除相关内容。