传媒教育网

 找回密码
 实名注册

QQ登录

只需一步,快速开始

搜索
传媒教育网 新闻聚焦 查看内容

淘客大牛利用“爬虫”非法获取近12亿公民个人信息,

2021-6-18 22:22| 发布者: 刘海明| 查看: 69| 评论: 0|来自: 网络法实务圈

摘要: 近期,在淘客圈中沸沸扬扬传了好久的一则消息,某淘客大牛利用“爬虫”技术非法获取某头部电商平台近12亿用户个人信息的刑事案件,终被实锤,受害者为淘宝(中国)软件有限公司。萌蛋接下来将结合判决书内容,揭秘该 ...

近期,在淘客圈中沸沸扬扬传了好久的一则消息,某淘客大牛利用“爬虫”技术非法获取某头部电商平台近12亿用户个人信息的刑事案件,终被实锤,受害者为淘宝(中国)软件有限公司。

萌蛋接下来将结合判决书内容,揭秘该起目前公开查询到的最大量级侵犯公民个人信息罪的案件细节,对圈内人咨询较多的4个问题,作简要解答。后附判决原文

基本案情简介与法院认定

基本案情简介:

 

被告人逯某因涉嫌非法获取计算机信息系统数据、非法控制计算机信息系统罪,被告人黎某因涉嫌侵犯公民个人信息罪,两被告分别被商丘市公安局新城分局刑事拘留,均于2020922日被逮捕。商丘市睢阳区人民检察院指控被告人逯某、黎某涉嫌侵犯公民个人信息罪,于2021114日向河南省商丘市睢阳区人民法院提起公诉。被告人黎某成立浏阳市泰创网络科技有限公司,从事淘宝客推广业务。被告人逯某受雇于该淘客公司技术人员,其利用自行开发的“爬虫”软件“淘评评”,通过淘宝网页接口爬取淘宝用户的数字ID、昵称、手机号码等个人信息共计1180738048条,20198-20207月非法获利39余万元。逯某在爬取数据后将手机号码发送黎某,由黎某用微信机器人加为好友并拉入微信群中,组建千余个微信社群进行“淘宝联盟”优惠券推广分发,并获得返利佣金30余万。

 

法院判决认定:

 

经法院审理,认定被告人逯某受雇于被告人黎某,二人违反国家规定,非法获取公民个人信息,情节特别严重,均构成侵犯公民个人信息罪,且系共同犯罪,被告人逯某、黎某有坦白情节,且认罪认罚,对其均可从轻处罚,判决被告人黎某犯侵犯公民个人信息罪,判处有期徒刑三年六个月,并处罚金人民币35万元;被告人逯某犯侵犯公民个人信息罪,判处有期徒刑三年三个月,并处罚金10万元。被告人黎某、逯某违法所得依法上缴国库。

Q:

未获利,或者未泄露,不构成侵犯公民个人信息罪?

“侵犯公民个人信息罪”并不以是否非法获利,或者是否造成公民个人信息泄漏为犯罪构成要件。对信息数量、违法所得数额标准,以及信息用途引发的严重后果,主要是用于认定是否构成“情节特别严重”的标准。

行为人一旦违反相关法律规定,向他人出售或提供公民个人信息,非法窃取公民个人信息,或者以其他方法非法获取,包括通过互换、交换、共享、购买、收受等方式,或者在履职、提供服务过程中收集个人信息的方式,则可能涉嫌构成侵犯公民个人信息罪。

如果网络服务提供者拒不履行网络安全义务,导致个人信息泄露的,则可能构成拒不履行信息网络安全管理义务罪。

相关法律依据:

《刑法》第二百五十三条之一“侵犯公民个人信息罪“规定,“违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚”。

依据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第五条的规定,非法获取、出售或者提供公民个人信息,“情节严重”的情形如下:

(一)出售或者提供行踪轨迹信息,被他人用于犯罪的;

(二)知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供的;

(三)非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;

(四)非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的;

(五)非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的;

(六)数量未达到第三项至第五项规定标准,但是按相应比例合计达到有关数量标准的;

(七)违法所得五千元以上的;

(八)将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人,数量或者数额达到第三项至第七项规定标准一半以上的;

(九)曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法获取、出售或者提供公民个人信息的;

(十)其他情节严重的情形。

实施前款规定的行为,具有下列情形之一的,应当认定为刑法第二百五十三条之一第一款规定的“情节特别严重”:

(一)造成被害人死亡、重伤、精神失常或者被绑架等严重后果的;

(二)造成重大经济损失或者恶劣社会影响的;

(三)数量或者数额达到前款第三项至第八项规定标准十倍以上的;

(四)其他情节特别严重的情形。

依据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第九条规定,“网络服务提供者拒不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,致使用户的公民个人信息泄露,造成严重后果的,应当依照刑法第二百八十六条之一的规定,以拒不履行信息网络安全管理义务罪定罪处罚”。

Q:

公安机关认定非法获取计算机信息系统数据、非法控制计算机信息系统罪,到检察院以侵犯公民个人信息罪提起公诉,其法律依据为何?

萌蛋特别留意到一个事实,被告人究竟如何“爬取”到如此“精确”的公民个人信息。真的只是“网页接口爬取”如此简单吗?

在判决书中,被告人逯某辩称“通过淘宝网页接口爬取淘宝用户的信息”,而淘宝公司报警称“通过mtop订单评价接口绕过平台风控批量爬取包括买家用户昵称,用户评价内容,昵称等加密数据,平均每天爬取数量500万”。淘宝网安全风控员马某作为证人证实“通过破解接口的形式进行加密数据的爬取”。

通常来说,要获取数字ID与手机号码等如此“精确”的公民个人信息,除非获取淘宝网用户唯一数字ID,并且获取用户密码,登陆并通过数字安全认证后,方可获取到淘宝用户的手机号码。如此量级的个人信息,很难靠一一获得数字ID以及对应的密码,授权登录后再通过网页接口爬取“精确”手机号码等个人信息的方式来实现。况且,淘宝网这类平台都会设置诸如数字认证等“反爬虫”机制,即采取用户身份信息认证机制同态的计算机信息系统安全措施加以保密。这在全国首例“爬虫”技术第一案中已予以认可,被告人郭某破解北京字节跳动网络技术有限公司的防抓取措施,即使用的“tt_spider”文件(“爬虫”技术)实施视频数据抓取。

如上所述,对于被告人非法获取“精确”的个人信息,描述的获取方式确有三种来源。如果被告人以“破解接口”方式“入侵”淘宝网系统,且对淘宝网系统功能进行删除、修改、增加、干扰,造成系统不能正常运行的,则可能触犯“破坏计算机信息系统罪”这一更为严重的罪行,后果严重的,将面临5年以下有期徒刑,特别严重的,将面临5年以上有期徒刑。

而在本案中,法院最终认定为侵犯公民个人信息罪,被告人辩称“网页接口爬虫爬取”,而非“绕开”或“突破”、“破解”,即行为人未对系统或系统中存储、处理或者传输的数据,进行删除、修改、增加等破坏性行为,并非“破坏计算机信息系统罪”。

依据《最高人民检察院关于印发《检察机关办理侵犯公民个人信息案件指引》的通知(高检发侦监字〔201813号)》规定,“对于违反国家有关规定,采用技术手段非法侵入合法存储公民个人信息的单位数据库窃取公民个人信息的行为,也符合刑法第二百八十五条第二款非法获取计算机信息系统数据罪的客观特征,同时触犯侵犯公民个人信息罪和非法获取计算机信息系统数据罪的,应择一重罪论处”。

“爬取”这一行为,出现侵犯公民个人信息罪与非法获取计算机信息系统数据与非法获取计算机信息系统数据罪的责任竞合时,择一重罪论处。即在本案中,法院认定两被告人利用“爬虫”技术手段非法侵入淘宝网获取公民个人信息,其数量远超规定标准的十倍以上,并取得相关违法所得收益,属于情节特别严重情形,犯侵犯公民个人信息罪。

相关法律依据:

《刑法》第二百八十五条“非法获取计算机信息系统数据、非法控制计算机信息系统罪”规定,违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。

《刑法》第二百八十六条“破坏计算机信息系统罪”规定,违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定处罚。故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的,依照第一款的规定处罚。单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照第一款的规定处罚。

Q:

12亿个人信息,真有12亿用户吗?

如前所述,侵犯公民个人信息罪有关“情节特别严重”的认定标准,其中之一是判断信息数量、违法所得数额标准。

依据《最高人民检察院关于印发《检察机关办理侵犯公民个人信息案件指引》的通知(高检发侦监字〔201813号)》规定,“对批量出售、提供公民个人信息的条数,根据查获的数量直接认定,但是有证据证明信息不真实或者重复的除外”。从判决书中的本案司法鉴定意见可知,从被告人逯某台式主机MYsq1数据库中提取出1180738048条有关公民个人信息的记录。一条可以只是手机号码,或者一条数字ID加昵称,或者昵称加手机号码,从数据库中提取到记录公民个人信息的条数,而非指用户数量。

且从判决书中来看,并无其他证据证明存在重复计算或累计计算了公民个人信息的条数,本案以电脑中查获的数量直接认定信息条数。

Q:

明明395万余,为何只认定30多万为非法所得?

被告人称395万余是公司全部的经营额,而利用非法获取的公民个人信息,拉人加微信群,并通过该部分用户导购所产生的返利佣金为34万余元,其余收入并非通过非法手段而取得的违法所得。此点从被告人提交的201911月至20207月提现明细可知。故法院仅对其通过非法手段取得的违法所得予以追缴。

编辑:马皖雪


鲜花

握手

雷人

路过

鸡蛋

最新评论

掌上论坛|小黑屋|传媒教育网 ( 蜀ICP备16019560号-1

Copyright 2013 小马版权所有 All Rights Reserved.

Powered by Discuz! X3.2

© 2016-2022 Comsenz Inc.