专业团队

天元汇聚各领域精英律师,拥有200余名合伙人,800余名律师及专业人员,凭借深厚的执业经验和项目经验,为客户提供全方位、跨区域、综合性、一站式的法律服务和最佳商业解决方案。

专业领域

天元凭借30年法律实践经验和不断创新的执业能力,业务覆盖中国律师主要执业领域和新兴领域,并在诸多领域保持中国顶尖律师水准和跨团队综合服务能力,近年来连续承办了诸多开创先河的交易和极具行业影响力的项目和案件。

洞察资讯

天元律师紧跟行业发展趋势,聚焦法律热点话题,凭借独到视角和市场洞察力,帮助客户了解法律最新变化,用专业的观察、分析与见解助力客户做出更为明智的商业选择与决策。

关于天元

作为国内具有长远历史和深厚文化的领先律所,天元始终以法律服务为根本,不断探索和创新,30年来与中国经济同向前行,在中国15个经济活跃城市设立办公室,在业内享有盛誉。

企业数据合规之数据采集那些事儿
日期:2020年05月06日

文 | 天元律师事务所 楼奇 朱腾飞 吴晓洪
数据来源及其争议在企业之间不断涌现,在华为与腾讯的数据之争、顺风与菜鸟的接口门事件、新浪诉脉脉案、大众点评诉百度案、淘宝诉美景的纠纷案中[1],各方所争议的核心问题都是数据采集。一个网络平台通常会使用哪些技术方式获取另一个平台的数据?这些技术是否完全非法?在哪些情形下可能会产生法律责任?本文主要探讨数据的采集方式以及不同方式可能产生的法律责任,以期能对数据采集中产生的各种法律责任有更为清晰的认识。
一、数据采集技术
大数据时代,互联网企业采集数据有多种技术,包括爬虫技术、撞库技术以及通过APP采集等。网络爬虫技术,又称网络爬虫(又称为网页蜘蛛,网络机器人,在FOAF社区中间,更经常的称为网页追逐者),是一种按照一定的规则,自动地抓取万维网信息的程序或者脚本。另外一些不常使用的名字还有蚂蚁、自动索引、模拟程序或者蠕虫。[2]可以说网络爬虫技术是一个自动提取网页的程序,它为搜索引擎从万维网上下载网页,是搜索引擎的重要组成。通过网络爬虫这种技术,网络平台可以较快的从其他平台获取自身所需的各种数据信息,在当今社会网络爬虫有着极广的运用范围。
撞库技术。撞库是黑客通过收集互联网已泄露的用户和密码信息,生成对应的字典表,尝试批量登陆其他网站后,得到一系列可以登录的用户。[3]很多用户在不同网站使用的是相同的账号密码,因此黑客可以通过获取用户在A网站的账户从而尝试登录B网址,这就可以理解为撞库攻击。黑客会收集在网络上已泄露的用户名、密码等信息,之后用技术手段前往一些网站逐个尝试登录,最终“撞大运”地试出一些可以登录的用户名、密码。[4]
APP收集。APP,即Application的缩写,指某种类型的应用程序,主要指安装在移动智能手机上的嵌入式软件,用以弥补完善原始操作系统的不足与个性化。随着智能手机的普及,APP的运用渗透到每个人的方方面面,如支付宝,微信,淘宝。这些APP便利了我们的生活,但使用这些APP的过程都需要填写各类信息或者允许APP获取我们手机的各类访问和查询权限。在此过程中,APP收集到了社会不同人群和组织的各类信息。
在这些技术中,首先,爬虫是计算机技术,技术是中立的,爬虫本身在法律上并不被禁止。如果爬虫采集的是公开可转载的数据,那么这种爬取行为是合法的。如果爬取时侵入其他平台系统,获取一些未公开或者直接声明不允许爬取的数据,此时爬取行为是不合法的,会产生各类法律责任。其次,APP如同爬虫技术一样,在遵守法律法规的情形下,完全可以做到合法收集信息,不会产生法律责任;但如果超过法律规定的范围进行采集,则也会涉及到对数据权利人的权利的侵犯以及其他法律责任。最后,“撞库”是一种黑客攻击方式。根据“撞库”的定义,可以得出“撞库”与爬虫技术和APP收集信息不同,“撞库”本身带有违法倾向。“撞库”的过程中必然会侵犯其他平台系统,必然存在恶意获取网络用户数据信息的行为。
二、采集数据的方式
大数据时代,数据信息的采集离不开爬虫、撞库等技术。运用这些技术采集数据的同时,可将数据采集方式进行初步分类。需要说明的是目前数据采集的分类方式尚未形成权威共识。依据收集信息主体以及是否符合法律规定,可将数据采集分为法定采集、授权采集以及未授权采集(不当采集)三类。
(一)法定采集
法定采集,指为了公共利益的需要,法律明确规定需要收集的信息。这些法律规定散布在各种法律规范之中,一般收集这些数据的主体是国家机构或事业单位,收集的数据都与国计民生息息相关。
例如《中华人民共和国水污染防治法》第二十三条规定“实行排污许可管理的企业事业单位和其他生产经营者应当按照国家有关规定和监测规范,对所排放的水污染物自行监测,并保存原始监测记录。重点排污单位还应当安装水污染物排放自动监测设备,与环境保护主管部门的监控设备联网,并保证监测设备正常运行。”第二十四条规定“实行排污许可管理的企业事业单位和其他生产经营者应当对监测数据的真实性和准确性负责。环境保护主管部门发现重点排污单位的水污染物排放自动监测设备传输数据异常,应当及时进行调查。”
《中华人民共和国防震减灾法》第二十五条提到“国务院地震工作主管部门建立健全地震监测信息共享平台,为社会提供服务。专用地震监测台网和强震动监测设施的管理单位,应当将地震监测信息及时报送所在地省、自治区、直辖市人民政府负责管理地震工作的部门或者机构。第二十六条规定“其他单位和个人通过研究提出的地震预测意见,应当向所在地或者所预测地的县级以上地方人民政府负责管理地震工作的部门或者机构书面报告,或者直接向国务院地震工作主管部门书面报告。收到书面报告的部门或者机构应当进行登记并出具接收凭证。”
《中华人民共和国气象法》第十七条规定“在中华人民共和国内水、领海和中华人民共和国管辖的其他海域的海上钻井平台和具有中华人民共和国国籍的在国际航线上飞行的航空器、远洋航行的船舶,应当按照国家有关规定进行气象探测并报告气象探测信息。”在武汉环保局处罚好江南公司案件[5]中,好江南公司为他人车辆进行虚假检测并出具报告,根据《大气污染防治法》第五十四条第一款“机动车排放检验机构应当依法通过计量认证,使用经依法检定合格的机动车排放检验设备,按照国务院环境保护主管部门制定的规范,对机动车进行排放检验,并与环境保护主管部门联网,实现检验数据实时共享。机动车排放检验机构及其负责人对检验数据的真实性和准确性负责”的规定,武汉环保局作出武环罚〔2016〕69号行政处罚决定。
根据《传染病防治法》第十二条在中华人民共和国领域内的一切单位和个人,必须接受疾病预防控制机构、医疗机构有关传染病的调查、检验、采集样本、隔离治疗等预防、控制措施,如实提供有关情况。疾病预防控制机构、医疗机构不得泄露涉及个人隐私的有关信息、资料。
根据《突发公共卫生事件应急条例》相关规定,第十一条:“全国突发事件应急预案应当包括以下主要内容:(一)突发事件应急处理指挥部的组成和相关部门的职责;(二)突发事件的监测与预警;(三)突发事件信息的收集、分析、报告、通报制度;”第十四条国家建立统一的突发事件预防控制体系。县级以上地方人民政府应当建立和完善突发事件监测与预警系统。县级以上各级人民政府卫生行政主管部门,应当指定机构负责开展突发事件的日常监测,并确保监测与预警系统的正常运行。第三十六条国务院卫生行政主管部门或者其他有关部门指定的专业技术机构,有权进入突发事件现场进行调查、采样、技术分析和检验,对地方突发事件的应急处理工作进行技术指导,有关单位和个人应当予以配合;任何单位和个人不得以任何理由予以拒绝。
气象数据,地震监测信息、水污染数据以及传染病等突发事件数据都是国家以法律法规明确要求收集,并且要求民众或者相关企业配合收集报送检测。这些法律法规都与国家防震减灾或者国民安全以及经济发展息息相关,是为了公共利益的需要。
(二)授权采集
授权采集,主要指互联网企业收集数据信息时,需征得数据所有人的授权或者同意的一种数据采集方式。收集数据信息时需征得当事人的同意已经是普遍的共识,并且得到了法律法规的确认。《网络安全法》、《信息安全技术个人信息安全规范》、《互联网个人信息安全保护指南》和《App违法违规收集使用个人信息行为认定方法》等法律规范和行业规范都明确要求采集数据时必须先获得授权,得到当事人的同意。
《网络安全法》第二十二条明确规定“网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。”第四十一条规定“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。”
《信息安全技术个人信息安全规范》有专门关于收集个人信息时的授权同意的要求,包括:收集个人信息前,应向个人信息主体明确告知所提供产品或服务的不同业务功能分别收集的个人信息类型,以及收集、使用个人信息的规则(例如收集和使用个人信息的目的、收集方式和频率、存放地域、存储期限、自身的数据安全能力、对外共享、转让、公开披露的有关情况等),并获得个人信息主体的授权同意;如果存在间接获取个人信息时,应要求个人信息提供方说明个人信息来源,并对其个人信息来源的合法性进行确认;应了解个人信息提供方已获得的个人信息处理的授权同意范围,包括使用目的,个人信息主体是否授权同意转让、共享、公开披露等。如本组织开展业务需进行的个人信息处理活动超出该授权同意范围,应在获取个人信息后的合理期限内或处理个人信息前,征得个人信息主体的明示同意。
授权采集是除法定采集以外,最广泛的采集方式。授权采集中,是否获得授权是至关重要的一步。获得授权意味着采集已经得到当事人的同意,通常情形下,获得授权的数据采集是合法合规的。如果未获得数据当事人的“知情同意”,则可能衍生出各种法律责任。
(三)未授权采集(不当采集)
未授权采集是指采集信息时未获得当事人同意和授权的采集。这种不当采集信息的行为有多种表现方式。
第一、窃取行为(获取行为)。网络运营者未经其他平台允许,窃取其数据信息为己所用。这种行为未经他人允许,在窃取过程中极易侵犯其他平台的商业秘密,或者平台用户的个人隐私。若情节严重,还可能构成刑事犯罪。
第二,侵入行为。数据采集时,网络运营者利用爬虫、撞库等技术,未经其他平台允许,擅自侵入其他平台计算机信息系统内部。这种侵入行为可能引发各类法律责任,甚至具有构成犯罪的可能性。根据侵入计算机信息系统的性质的不同,对技术使用者的行为要求也具有不同。若使用爬虫技术,非法侵入了国家事务、国防建设、尖端科学技术领域的计算机信息系统,则只要实施了侵入行为即构成非法侵入计算机信息系统罪。[6]
第三,破坏行为。网络运营者为了收集信息,利用APP、撞库等技术对计算机信息系统功能或计算机信息系统中存储、处理或者传输的数据和应用程序进行破坏,或者故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的行为[7]。比如,行为人编写爬虫程序,将其植入计算机信息系统,对计算机信息系统中存储的数据进行删除,后果严重。
另外,未授权采集还包括政府部门工作人员在执行公务过程中不当获取、传播数据的行为。如网信部门和有关部门违反《网络安全法》第三十条规定,将在履行网络安全保护职责中获取的信息用于其他用途。
三、不当采集产生的法律责任
(一)窃取行为的法律责任
1、民事责任
在民事领域,我国《民法总则》第一百一十条规定,自然人享有隐私权。《民法总则》在第一百一十一条明确规定了个人信息受法律保护,确保信息安全,不能非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。《侵权责任法》六十二条提到医疗机构及其医务人员应当对患者的隐私保密。泄露患者隐私或者未经患者同意公开其病历资料,造成患者损害的,应当承担侵权责任。《网络安全法》第四十三条规定,个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。除此以外,《反不正当竞争法》、《著作权法》等相关法律规定要求违法收集、使用公民个人信息者承担侵权或违约责任。
(1)侵犯个人隐私
当网络运营者利用爬虫或撞库技术获取其他平台系统数据信息,可能涉及侵犯公民的个人隐私。同样,APP收集信息需要遵守法律的规定。然而很多企业披着合法授权的外衣,行违法收集数据之实。如APP在收集用户信息时超过了用户的隐私范围,收集了与APP使用完全无关的信息,比如收集了个人用户的家庭状况,或者该用户个人病史。这种收集行为明显超过了合理范围,如果未做任何保护措施,导致信息泄露,无疑会侵犯了用户个人隐私。此时APP应当承担相应的民事责任,停止侵权行为,删除获取的信息。
“探索云盘搜索”案中,被告人马某、莫某在用户不知情,且未经百度网站授权的情况下,利用“探索云盘搜索”的插件自动抓取用户存储于百度网盘的分享链接的地址和提取码,将该信息收录于自己研发的网站上用于牟利。那些被下载了“探索云盘搜索”插件的用户不知道该软件中的插件具有非法获取自己百度网盘内数据信息的属性,其私人信息被窃取。
在民事领域,公民隐私权被侵犯的,有权依据侵权责任法要求侵权人承担侵权责任,侵权行为危及他人人身、财产安全的,被侵权人可以请求侵权人承担停止侵害、排除妨碍、消除危险等侵权责任。侵害他人人身权益,造成他人严重精神损害的,被侵权人可以请求精神损害赔偿。
(2)不正当竞争
网络运营者利用技术窃取其他网站未公开的数据信息,窃取网站“内网”客户信息进行不正当竞争,“不劳而获”或“搭便车”,超出合理使用限制,对于原网站造成了实质性替代损害其商业利益,这些行为构成不正当竞争。我国《关于审理不正当竞争民事案件应用法律若干问题的解释》[8]中将符合条件的客户名单纳入商业秘密保护范畴。《反不正当竞争法》十二条规定经营者利用网络从事生产经营活动,应当遵守本法的各项规定。经营者不得利用技术手段,通过影响用户选择或者其他方式,实施妨碍、破坏其他经营者合法提供的网络产品或者服务正常运行的行为。在北京集奥诉刘某清、北京青稞不正当竞争纠纷案[9]中,北京青稞未经北京奥聚允许,直接将集奥的用户信息爬取整合为己所用。法院认为由于双方当事人都是从事大数据服务,向客户提供精准广告服务,二者之间存在直接的竞争关系。北京青稞爬取北京集奥的网络用户和上网信息,并且对数据进行整理、挖掘和分析,形成一定的数据库,用以商业用途,该行为损害了集奥公司的合法权益,应承担赔偿责任。
同样,大众点评诉爱帮案例中,汉涛公司经营的大众点评网与爱帮聚信公司经营的爱帮网均为网络分类信息查询服务。爱帮网在经营中大量复制、甚至直接摘取大众点评网上的商户简介及用户点评内容,一审北京市海淀区法院、二审北京市第一中级人民法院均认定爱帮网构成不正当竞争。裁判要旨为,爱帮网与大众点评网提供服务具有同质性,存在直接竞争关系。对于爱帮网所主张的垂直搜索和摘要等技术行为,法院认为技术实施仍应遵守反不正当竞争法规定。虽然垂直搜索引擎技术本身并不具有违法性,但技术手段须控制在合理范围之内,不可对被引网站造成市场替代后果。本案中,用户通过爱帮网可直接获取商户简介的全部内容和用户点评的绝大部分内容,其已对全部商户简介内容和绝大部分点评内容进行了充分展示,不可能属于摘录,已经构成对大众点评网相应内容的实质性替代,必将不合理地损害汉涛公司的商业利益。汉涛公司通过商业运作吸引用户在大众点评网上注册、点击、评论,并有效地收集和整理信息,进而获得更大的商业利润,该合法权益应受法律保护。
“女装网撞库”案件[10]中,两位原告是“女装网”的运营方及管理者,“女装网”作为女装行业门户网站,集商务、资讯服务于一体,以服务经销商和女装企业为核心,构建女装行业专业口碑的交流互动平台。被告C网络科技公司系“中服网”的经营者。后两原告发现被告以“撞库”方式非法获取、使用“女装网”上的账号及密码登录“女装网”并查看经销商数据库信息,导致杭州A科技公司、杭州B科技公司客户的流失,削弱了两公司的市场竞争优势,损害了两公司的核心竞争力,严重扰乱了服装网站行业的竞争秩序。法院认定涉案经销商数据信息可给两原告带来直接的经济利益,属于应当受法律保护的权益。从案情分析,C公司确实违反诚实信用原则和公认的商业道德。原被告双方当事人的商业模式、企业定位、用户群体存在高度重合性,互联网服装领域是直接竞争关系,所以涉案被控侵权行为确实给杭州A科技公司、杭州B科技公司造成了损害。经审理判定被告浙江C网络科技公司立即停止侵权,并赔偿原告杭州A科技公司、杭州B科技公司经济损失共计350000元,同时承担消除影响的民事责任,一并驳回其他诉讼请求。
(3)构成垄断
在市场上具有优势地位的网络公司利用其优势地位,未经其他平台授权就获取其他平台的信息,形成垄断。如2015年Verizon美国最大的移动运营商因使用一种无法被屏蔽的“超级插件”来追用旗下互联网服务公司AOL的用户,被FTC处以135万美元的罚款。Google所开发的社交软件GoogleBuzz因未经用户允许擅自基于Gmail的电子邮件平台推出GoogleBuzz社交网络,本质是Google基于其在电子邮件领域的数据垄断形成的支配地位而滥用其支配地位加速其在其他领域的扩张与发展,破坏市场竞争且侵犯了用户的隐私。Facebook对用户数据的收集方式也遭到了德国反垄断机构“联邦卡特尔局”(FederalCartelOffice)的调查,在facebook表示其约8700万的用户数据遭到泄露后,蒙德特认为虽然facebook的用户对facebook收集用户数据有心理准备,但用户对其何时收集收集哪些数据等并不知情,包括利用“like”或“share”按钮来追踪用户的网站访问记录。
2、刑事责任
(1)非法获取计算机信息系统罪
网络平台利用爬虫技术爬取信息时未经授权获取其他平台的隐私数据,如破解了对方服务器的防抓措施收集信息的或者采用技术手段抓取被他人服务器中存储的视频数据,情节严重。依据《刑法》第二百八十五条规定违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
以上海晟品、侯明强等韭法获取计算机信息系统数据罪案[11]为例,被告单位上海晟品网络科技于2016年至2017年间采用技术手段抓取被害单位北京字节跳动服务器中存储的视频数据,并由侯明强指使被告人郭辉破解北京字节跳动网络技术有限公司的防抓取措施,使用“tt_spider”文件实施视频数据抓取行为,并将结果存入到数据库中的逻辑。在数据抓取的过程中使用伪造的device_id绕过服务器的身份校验,使用伪造UA及IP绕过服务器的访问频率限制。上海晟品恶意破解字节跳动的防抓系统,获取字节跳动的商业数据信息,侵害了其商业利益。法院依法判处上海晟品高管和侯明强非法获取计算机信息系统罪。
(2)侵犯公民个人信息罪
网络运营者为窃取行为时,必然会侵犯公民个人信息,受到我国《刑法》第二百五十三条规定的侵犯公民个人信息罪的惩罚。该罪规定违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,构成侵犯公民个人信息罪。
在杨国、朱伟铭侵犯公民个人信息罪一案[12]中,被告人杨国在新晃侗族自治县通达路通达鑫苑某单元某房间内负责提供电脑和组装电脑,利用电脑从“SOSO云”等网络搜索引擎上下载原始“淘宝账号+密码”和“支付宝账号+密码”等形式的公民个人信息,然后通过远程控制软件传送到新晃侗族自治县原交警队宿舍某房间内的电脑上,并远程控制电脑对原始公民个人信息进行“撞库”加工;被告人杨隆负责看护和查看原交警队宿舍某房间内的电脑是否正常运行,如电脑运行出现问题就通知被告人杨国过来维修,以及对被告人杨国传送过来的原始公民个人信息数据进行“扫存”和“撞库”加工,并把加工后的公民个人信息数据传送给被告人杨国;被告人朱伟铭负责提供电脑以及对被告人杨国传送过来的原始公民个人信息数据进行“扫存”和“撞库”加工,并把加工后的公民个人信息数据传送给被告人杨国。此后,被告将获得的这些公民个人信息高价出售,获利颇丰。法院判决时认定杨国、朱伟铭等人侵害的公民个人信息数量巨大,情节特别严重,其行为构成侵犯公民个人信息罪。
3、行政责任
在行政法层面,最直接相关的是在信息安全领域基本法《网络安全法》中有针对个人信息使用自主进行保护的规定:网络运营者收集、使用个人信息需要公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意;个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息。这一规定对个人信息使用自主的保护集中在两个方面:一是第四十一条规定了收集使用个人信息的前提条件,即收集者需对收集使用个人信息公开规则和明确目的、方式和范围;二是规定了个人对违法收集使用方的救济措施,即可以对未按约定收集使用个人信息的主张删除其个人信息。这两个方面的规定无疑对保护个人信息使用自主可以起到一定程度的积极保护作用。
《网络安全法》第二十二条、《个人信息安全规范》等国家标准及《解释》第三条确认“知情同意”为合法收集个人信息的前置条件。APP未经用户授权或同意擅自收集个人信息,或者收集个人信息超过权限范围的,根据《网络安全法》四十一条和《APP违法违规收集使用个人信息行为认定办法》的规定,该APP需要承担行政责任,由有关主管部门责令改正,根据情节进行行政处罚。      
《网络安全法》第四十一规定网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。《APP违法违规收集使用个人信息行为认定方法》对“违反必要原则,收集与其提供的服务无关的个人信息”进行穷尽列举,包括收集信息时未公开收集使用规则,未明示收集使用个人信息的目的、方式和范围,未经用户同意收集使用个人信息,违反必要原则收集与其提供的服务无关的个人信息,未经同意向他人提供个人信息,未按法律规定提供删除或更正个人信息功能或未公布投诉、举报方式等行为。
以“墨迹天气”为例,2019年10月12日,“墨迹天气”IPO被证监会否决,导致该公司被否决的其中一个重要原因是,通过自主收集及第三方途径获取用户数据及标签,并利用数据进行商业化变现等问题。墨迹天气APP获取用户信息涉嫌不合规,存在侵犯用户隐私或数据的法律风险。可以说,“墨迹天气”运营中存在“数据违规”导致公司上下多年来的努力付之东流。同样,2020年1月3日中华人民共和国工业和信息化部向社会公开披露第一批限期未整改完毕的APP处理结果,3款未整改完毕的APP将立即进行下架处理。2020年1月8日,中华人民共和国工业和信息化部公布关于侵害用户权益行为的APP(第二批)通报,现将第二批发现存在问题且未完成整改的15款APP向社会通报。包括天涯社区、风行视频、瑞幸咖啡、绿城生活、一点资讯、知米背单词、爱青岛等15款APP应在2020年1月17日前完成整改落实工作,逾期不整改的,工业和信息化部将依法依规组织开展相关处置工作。
《网络安全法》第六十四条规定,网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十三条规定,侵害个人信息依法得到保护的权利的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。违反本法第四十四条规定,窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息,尚不构成犯罪的,由公安机关没收违法所得,并处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款。
《消费者权益保护法》使得个人信息得到保护,根据《消费者权益保护法》工商行政机关可以对侵犯个人信息进行行政处罚,并且公民可以向法院起诉。第五十六条规定,经营罪侵害消费者个人信息依法得到保护的权利的,除承担相应的民事责任外,其他有关法律、法规对处罚机关和处罚方式有规定的,依照法律、法规的规定执行;法律、法规未作规定的,由工商行政管理部门或者其他有关行政部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处以违法所得一倍以上十倍以下的罚款,没有违法所得的,处以五十万元以下的罚款;情节严重的,责令停业整顿、吊销营业执照。
综上可见,我国从《网络安全法》、《消费者权益保护法》等法律多维度保护公民个人信息,网络运营者、网络产品或者服务的提供者侵犯公民个人信息的。行政机关有权对其作出行政处罚,轻则被警告、罚款,重则可能被吊销营业执照。
另外,对于在执行公务过程中的不当获取、传播信息的法律责任,《网络安全法》第七十三条网信部门和有关部门违反本法第三十条规定,将在履行网络安全保护职责中获取的信息用于其他用途的,对直接负责的主管人员和其他直接责任人员依法给予处分。网信部门和有关部门的工作人员玩忽职守、滥用职权、徇私舞弊,尚不构成犯罪的,依法给予处分。
(二)侵入行为的法律责任
1、民事责任
网络运营者为了获取其他平台信息,侵入其他平台,破解其他平台反爬系统,给其他平台造成损害的,应当承担民事责任,停止侵害,造成损失的,还要赔偿损失。北京玩蟹科技有限公司与李斌财产损害赔偿纠纷案[13]中,李斌使用他人开发的充值程序,通过侵入后篡改数据的方式在不实际支付货币的情况下获得游戏虚拟货币,并将游戏虚拟货币出售给他人,使得他人从李斌处获取参与游戏的资格,而不必通过向玩蟹公司支付对价的方式获得。法院认为李斌的行为客观上造成玩蟹公司的经济损失。因此,李斌侵犯了玩蟹公司的财产权利,造成了玩蟹公司财产损失,应当承担侵权责任。侵害他人财产的,财产损失按照损失发生时的市场价格或者其他方式计算。该案中李斌被判赔偿北京玩蟹科技有限公司财产损失。
2、刑事责任
(1)非法侵入计算机信息系统罪
网络运营者侵入其他平台系统,情节严重可能构成非法侵入计算机信息系统罪。网络平台未经政府授权,侵入政府内网或后台服务器(包括窃取账号登录),依据《刑法》第二百八十五条规定,违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,构成非法侵入计算机信息系统罪,处三年以下有期徒刑或者拘役。
在滕守昆、房川、蒋小东、滕守灿非法侵入计算机信息系统罪的案例[14]中,被告人滕守昆、蒋小东、房川、滕守灿为了帮人处理车辆交通违章业务时方便查询相关车辆的信息,利用技术非法侵入政府内网,查询了政府内网信息,泄露了政府内网车辆信息,最终被法院判处非法获取计算机信息系统数据罪。
再以全国范围内撞库打码第一案为例谈网络运营者侵入行为所触犯的刑法罪名。2015年1月左右,被告人叶某编写了用于批量登陆某宝账号、密码的“小黄伞”软件供他人使用,他人在使用“小黄伞”软件时还需在被告人叶某开设的“小诚店铺”淘宝店上购买验证码充值卡才能对图片验证码进行识别,从而完成批量登陆某宝账号。被告人叶某将图片验证码识别(俗称“打码”)的业务交由被告人张某协助完成,被告人张某在明知被告人叶某的打验证码平台用于批量登陆某宝账号的情况下,组织了多名码工帮助被告人叶某“打码”,并从被告人叶某处收取好处费。2015年1月左右至9月期间,被告人谭某通过下载使用被告人叶某编写的“小黄伞”软件、购买验证码充值卡,在被告人张某帮助“打码”的情况下,成某获取淘宝账号、密码2万余组,并将非法获取的淘宝账号、密码出售给他人,获取违法所得25万余元。被告人叶某、张某通过向被告人谭某出售验证码充值卡,获取违法所得4万余元。经杭州市余杭区法院审理认为,被告人谭某违反国家规定,采用技术手段获取计算机信息系统中存储的数据,并进行出售牟利,情节特别严重,其行为已构成非法获取计算机信息系统数据罪;被告人叶某、张某结伙提供专门用于侵入计算机信息系统的程序,情节特别严重,其行为均已构成提供侵入计算机信息系统程序罪。公诉机关指控的罪名均成立。被告人谭某犯非法获取计算机信息系统数据罪,判处有期徒刑三年,缓刑四年,并处罚金人民币四万元。被告人叶某犯提供侵入计算机信息系统程序罪,判处有期徒刑三年,缓刑四年,并处罚金人民币四万元。被告人张某犯提供侵入计算机信息系统程序罪,判处有期徒刑三年,缓刑三年,并处罚金人民币三万元。
(三)破坏行为的法律责任
1、民事责任
网络运营者为了获取其他平台信息,破坏其他平台系统的源代码或数据信息,给其他平台造成损害的,应当承担民事责任,停止侵害,赔偿受损方的损失。
2、刑事责任
(1)非法控制计算机信息系统罪
网络运营者为了获取其他平台信息,破坏其他平台系统,如破解其他平台反爬系统,进而控制或取得其数据信息的。以施有林非法控制计算机系统、非法获取计算机信息系统数据罪一案[15]为例。案件中被告人施有林花人民币200元从陈某(另行处理)处购得一款专门对铁路12306购票系统数据进行扫描和提取的“密正”软件,之后,利用该软件和在网络上搜集、购买的邮箱、密码等数据和“过滤器”,对铁路12306购票系统进行“撞库”,从该计算机系统内提取了包括邮箱、用户名、姓名、身份证号、密码、手机号等字段的用户身份认证信息。2014年12月11日,被告人施有林通过QQ聊天工具将名称为12306@邮箱-密码-姓名-身份证-手机.txt的文件传输给蒋某(另行处理),后蒋又将该文件上传至“数据之家”网站(http//www.datahome.me)的“终身VIP数据板块”供该网站终身VIP会员下载。该案中法院认为施有林违反国家规定,购买并使用可对铁路12306系统数据进行扫描和提取的“密正”软件,非法获取该计算机信息系统内存储的注册用户身份认证信息达686,170组,构成非法获取计算机信息系统数据罪,判决施有林非法获取计算机信息系统罪。
(2)破坏计算机信息系统罪
网络运营者为了收集信息,进而攻击其他平台系统,导致平台系统崩坏,造成严重后果的,受到《刑法》二百八十六条“违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的”的规范,为破坏计算机信息系统罪。
3、行政责任
根据《治安管理处罚法》第二十九条规定:“有下列行为之一的,处五日以下拘留;情节较重的,处五日以上十日以下拘留:……(二)违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行的知;(三)违反国家规定,对计算机信息系统中存储、处理、传输的数据和应用程序进行删除、修改、增加的;因此,网络运营者如果出现破坏计算机系统行为时,可能受到政府的行政处罚。
注释:
[1]丁晓东. (2019). 数据到底属于谁?——从网络爬虫看平台数据权属与数据保护.   华东政法大学学报,   022(005), 69-83.
[2]https://baike.baidu.com/item/网络爬虫/5162711?fromtitle=爬虫&fromid=22046949&fr=aladdin,2020年4月8日访问。
[3]李维杰, 穆琳, & 桂畅旎. (2018). 网络社会数据风险识别与应对.   北京邮电大学学报:社会科学版,   20(06), 29-37.
[4]《人民日报批评豆瓣 评分背后又暗藏怎样的玄机呢?-国际在线 》。
[5]https://www.itslaw.com/detail?
initialization=%7B%22category%22%3A%22CASE%22%2C%22id%22%3A%2267cea35a-c2b5-42ef-8552-409437b9986f%22%2C%22anchor%22%3Anull%2C%22detailKeyWords%22%3A%5B%22%E4%BE%B5%E5%85%A5%E8%AE%A1%E7%AE%97%E6%9C%BA%22%2C%22%E6%B0%91%E4%BA%8B%E8%B4%A3%E4%BB%BB%22%5D%7D#content_null ,访问于4月24日。
[6]李慧敏, & 孙佳亮. (2018). 论爬虫抓取数据行为的法律边界.   电子知识产权,   325(12), 60-69.
[7] 范思力(2016),《网络犯罪的证据关联性判断 》,广西政法管理干部学院学报。
[8] 《关于审理不正当竞争民事案件应用法律若干问题的解释》将符合以下条件的客户名单也纳入商业秘密保护范畴:1、具有长期稳定交易关系的客户名单,包括名称、联系方式以及交易的习惯、意向、内容等,是区别于公知信息的特殊信息,具有价值性。2、采取合理保密措施的(保密协议、保密制度、电脑设置密码等),构成商业秘密。3、离职员工使用客户名单引诱老东家的客户、抢夺交易机会,新东家明知员工的行为而使用客户名单的,共同侵害老东家的商业秘密。
[9]https://www.itslaw.com/detail?initialization=%7B"category"%3A"CASE"%2C"id"%3A"f374136a-60f0-468a-ac94-8f9296864b84"%2C"anchor"%3Anull%2C"detailKeyWords"%3A%5B"北京青稞"%5D%7D#content_null,访问于2020年4月11日;本案案号:(2015)京知民终字第00318号
[10]http://www.jcrb.com/ajpd/tpjj/201911/t20191105_2072824.html,访问于2020年4月15日。
[11]https://www.itslaw.com/detail?initialization=%7B"category"%3A"CASE"%2C"id"%3A"41ecc634-4872-45c0-860c-ce334896dc3d"%2C"anchor"%3Anull%2C"detailKeyWords"%3A%5B"上海晟品"%5D%7D#content_null,访问于2020年4月9日;本案案号:(2017)京0108刑初2384号
[12]https://www.itslaw.com/detail?initialization=%7B"category"%3A"CASE"%2C"id"%3A"fd47297c-12f9-47d5-ae23-7e9352da5a58"%2C"anchor"%3Anull%2C"detailKeyWords"%3A%5B"杨国、朱伟铭"%5D%7D#content_null,访问于2020年4月13日;本案案号:(2017)湘1227刑初31号
[13]https://www.itslaw.com/detail?initialization=%7B%22category%22%3A%22CASE%22%2C%22id%22%3A%22aa00af5a-e320-484d-8da5-cb1b10040f6e%22%2C%22anchor%22%3Anull%2C%22detailKeyWords%22%3A%5B%22%E7%A0%B4%E5%9D%8F%E8%AE%A1%E7%AE%97%E6%9C%BA%22%2C%22%E6%B0%91%E4%BA%8B%E8%B4%A3%E4%BB%BB%22%5D%7D#content_null,访问于4月24日。案号:(2017)京0108民初15897号。
[14]https://www.itslaw.com/detail?initialization=%7B"category"%3A"CASE"%2C"id"%3A"94e37d8f-8423-4783-97d6-8944ea74849a"%2C"anchor"%3Anull%2C"detailKeyWords"%3A%5B"滕守昆"%5D%7D#content_null,访问于2020年4月12日;本案案号:(2017)川0411刑初135号
[15]https://www.itslaw.com/detail?initialization=%7B"category"%3A"CASE"%2C"id"%3A"42a95bd9-3f5f-4bad-822d-67e6c80d1103"%2C"anchor"%3Anull%2C"detailKeyWords"%3A%5B"施有林"%5D%7D#content_null;访问于2020年4月11日;本案案号:(2016)沪71刑终40号

相关领域