通過qq群,山東的軟件工程師王某和只有小學(xué)文化的四川無業(yè)游民李某搭上了線,王某負(fù)責(zé)破解軟件,李某利用軟件登錄快達(dá)物流客戶端,竊取該公司客戶信息,至案發(fā)共有742053條客戶信息失竊。 近日,湖北省襄陽市中級法院以侵犯公民個(gè)人信息罪判處李某有期徒刑4年,并處罰金10萬元;判處王某有期徒刑3年6個(gè)月,并處罰金2萬元。
家在四川仁壽縣農(nóng)村的李某,只有小學(xué)文化。2014年,李某上網(wǎng)得知買賣公民個(gè)人信息可以賺錢,便開始從QQ群里收集公民個(gè)人信息。通過QQ群聊天,李某認(rèn)識了在山東的軟件工程師王某。
聽說王某懂計(jì)算機(jī)能開發(fā)破解軟件,李某于是主動(dòng)與王某多次聯(lián)系。
2015上半年,李某通過QQ將某數(shù)據(jù)管理軟件傳送給王某,王某運(yùn)用程序反匯編破解軟件后教授給李某一些“技術(shù)”,李某之后又用該數(shù)據(jù)管理軟件登錄北京快達(dá)國際物流服務(wù)有限公司客戶端,獲取了包括寄件人、收件人姓名、住址、電話等信息。
李某在使用王某提供的破解軟件過程中經(jīng)常遇到技術(shù)障礙,多次請王某修復(fù)漏洞。其間,李某給王某轉(zhuǎn)賬了11000元的報(bào)酬。
之后,李某多次通過軟件侵入北京快達(dá)國際物流服務(wù)有限公司計(jì)算機(jī)信息系統(tǒng),下載公民個(gè)人信息,共計(jì)有781902條,其中742053條為該公司的客戶信息。
快達(dá)物流的企業(yè)介紹顯示,該公司主要為中小型企業(yè)提供倉儲(chǔ)物流服務(wù),“滿足中小型企業(yè)、電商和微商的倉儲(chǔ)管理需求”。
2016年5月至10月,單某(另案處理)通過QQ認(rèn)識李某后,表示要向李某購買大量的公民個(gè)人信息,并支付給李某9.41萬元報(bào)酬。
之后,單某又將這些信息對外出售,其中僅賣給馬某(另案處理)的信息就獲利了10.86萬元。馬某獲得信息后又進(jìn)行轉(zhuǎn)賣。
2016年8月,王某應(yīng)李某的要求,利用黑客手段又登錄了京廣物流客戶端后臺(tái),獲取用戶名后通過軟件自動(dòng)生成767組賬戶和密碼,李某利用這些賬戶和密碼登錄京廣物流公司后臺(tái),獲取了該物流公司的站內(nèi)短信、個(gè)人資料、新聞管理等信息。
但這次,李某耍賴推脫不愿給報(bào)酬,王某一氣之下將李某拉入黑名單不再聯(lián)系。
2017年2月17日,李某在四川家中被警察抓獲。2017年3月28日,王某在山東東營被警察抓獲。
警方抓獲李某時(shí)發(fā)現(xiàn),除了侵入快達(dá)物流非法獲取的78萬余條個(gè)人信息,李某的臺(tái)式電腦、微云里,共存儲(chǔ)公民個(gè)人信息297萬余條。
經(jīng)過審理法院認(rèn)為,李某違反國家有關(guān)規(guī)定,利用破解軟件侵入公司計(jì)算機(jī)信息系統(tǒng)下載等方式非法獲取并向他人出售公民個(gè)人信息;王某明知李某侵犯公民個(gè)人信息而為其提供技術(shù)支持,情節(jié)特別嚴(yán)重,二人的行為均構(gòu)成侵犯公民個(gè)人信息罪。
專家解讀
用戶信息泄露卻難取證
白帽匯安全研究院負(fù)責(zé)人趙武告訴法晚記者,物流公司的客戶端一般都為內(nèi)部數(shù)據(jù),并不對公司管理人員以外的人開放,王某能夠輕易獲得快達(dá)物流客戶端,很可能是物流公司內(nèi)部管理出現(xiàn)問題。
360企業(yè)安全研究院院長裴智勇表示,目前國內(nèi)很多熱門行業(yè),都存在“重生產(chǎn)、輕安全”的情況,其系統(tǒng)往往缺乏安全防護(hù),或出現(xiàn)漏洞后也未能及時(shí)發(fā)現(xiàn),導(dǎo)致用戶隱私泄露。
目前,《網(wǎng)絡(luò)安全法》中雖規(guī)定,涉事企業(yè)要承擔(dān)責(zé)任,但因無法證明用戶的損失是因?yàn)樵撈髽I(yè)的用戶信息泄露而造成損失的,所以難以取證。
此外,在《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》中并未明確涉及物流、外賣等私營中小企業(yè),而此類企業(yè)恰恰成為公民個(gè)人信息泄露的重災(zāi)區(qū)。目前,相關(guān)監(jiān)管部門也在梳理關(guān)于公民個(gè)人隱私保護(hù)的相關(guān)法律,為公民隱私安全保駕護(hù)航。
律師解讀
未盡保護(hù)義務(wù)公司擔(dān)責(zé)
對于公司數(shù)據(jù)泄露,物流公司是否應(yīng)承擔(dān)相應(yīng)的責(zé)任呢?對此,北京律師連大有表示,對于黑客利用計(jì)算機(jī)技術(shù)非法侵入物流公司數(shù)據(jù)庫,泄露并倒賣公民信息的情況,如果該公司對信息安全沒有盡到一般保護(hù)義務(wù),應(yīng)承擔(dān)相應(yīng)責(zé)任。非法侵入者擔(dān)責(zé),可以是民事侵權(quán),嚴(yán)重的也會(huì)受到刑事制裁。
依據(jù)刑法第二百五十三條規(guī)定:“違反國家有關(guān)規(guī)定,向他人出售或者提供公民個(gè)人信息,情節(jié)嚴(yán)重的,處三年以下有期徒刑或者拘役,并處或者單處罰金;情節(jié)特別嚴(yán)重的,處三年以上七年以下有期徒刑,并處罰金。”
在此,也提醒廣大公司應(yīng)重視對公民信息的保護(hù),加強(qiáng)自身防護(hù)措施,以免給不法分子以可乘之機(jī)。