赵占领:非法控制及盗取用户信息可获刑
【搜狐IT消息】12月27日,针对CSDN、天涯等社区用户数据遭黑客泄露事件,中国网络法律网首席法律顾问赵占领做客搜狐微访谈(http://t.sohu.com/talk/1015436)。在回答网友提问时,赵占领称,刑法有明确规定,入侵计算机系统,获取其中存储的数据或者实施非法控制的,都构成犯罪,一般处3年以下有期徒刑,情节特别严重的,处3年以上7年以下有期徒刑。
对于用户维权,赵占领表示,维权的方式有三个方面:一是向公关机关报案,通过刑事途径追究黑客的责任;二是直接向黑客索赔,前提是查出黑客真实身份,目前仅靠个人力量很有难度;三是看看网站有没有过错,有没有尽到基本的信息安全保障义务,有过错的话可以向网站索赔。
据悉,从12月21日开始,有黑客陆续在互联网上公开提供包括人人网、猫扑、多玩、天涯等在内的网站部分用户数据库下载。前日,国内知名的社区网站天涯网的用户隐私也遭到黑客泄漏,据了解此次被泄漏用户数量达到4000万。业内人士预计泄露网站数据库的行为可能会引发连锁效应,更多网站的数据会被黑客放出。由于很多用户的登陆名密码大多一致,这些信息很容易被人刷其它网站的库,产生更大的破坏性。(何冉)
以下是赵占领接受微访谈全文:
提问:京东的数据泄露是不是拉开了另一个开始?毕竟京东是购物网站,更多的个人信息在那里有记录?
赵占领:数据泄漏的事情还没得到京东的确认,不过包括京东在内的一些电商企业已经开始核查。电商网站上用户注册信息绝大多数是真实信息,包括姓名,地址,联系电话,甚至网银或支付宝账号,一旦这些泄漏出去,后果将会比之前几次泄密事件更严重。所以也提醒大家尽快去 修改密码,不是必须的信息尽量删除。
提问:赵老师认为会否有更多大公司的用户数据被泄露出来? 您如何评价这个?
赵占领:这次泄密事件现在一直在不断升级,可以说是近年来非常罕见的个人信息安全事件,为我们的个人信息保护工作敲响警钟。目前不排除有更多互联网公司的用户数据泄漏出来,急需要做的是公关机关尽快进行技术侦查,查出犯罪嫌疑人,防止事态继续恶化。
提问:大家都说事情再逐步升级,您觉得是吗?
赵占领:是的,确实在升级,现在又传出一些电商网站的用户数据泄漏。
提问:黑客的作案动机是什么?
赵占领:有人认为跟目前推行微博实名制有关系,黑客以此表示抗议。我觉得目前来讲,这还只是一种猜测,暂时没有更多的证据来支持。也有可能只是时间上的巧合。最根本的原因还是我们的信息安全保障工作有重大漏洞,需要改进。
提问:这些用户资料有实际意义吗?
赵占领:这些用户资料还是很有价值的,一是盗取之后卖给一些有需求的企业或者个人,可以发送垃圾邮件,有手机号的话可以发垃圾短信,还可以挖掘这些数据之后进行精准营销;二是可以利用这些信息进行诈骗,特别是社交网站的用户信息;三,如果是网游账号,可以盗取其中的游戏装备、虚拟货币,如果是网银或者支付宝账户,可能会盗取其中的金钱。
提问:在无法保证绝对安全的情况下,用户的信息是否可以填写假信息?
赵占领:要根本网站的具体要求来判断,如果不是必须要填写真实信息,尽量提供假信息,相对会安全一些。
提问:和网站的免费合同关系也有法律效应?
赵占领:是的,也具有法律效力。
提问:觉得自己的位置是不是很尴尬?又不知道黑客是谁,也不知道自己的资料是否泄漏。
赵占领:是的,我们普通的网民确实有些无奈,因为这次密码泄漏是发生在服务器端,而不是个人电脑终端,难以通过安全软件进行防护。个人又没有技术手段去判断谁是黑客。资料是否泄漏可以通过一些安全厂商的查询工具进行查询。我们能做到的是尽快修改密码,密码设置复杂一些,不同的网站不要使用相同的密码。
提问:对于普通的网民,如果得到了这个用户的信息包,如果二次传播是不是也属于违法行为?
赵占领:普通的网民如果得到这些密码信息,再进行传播,也是违法的。
提问:赵老师您认为中国互联网安全问题是否会长期处在一个亚健康的状态?
赵占领:互联网的安全是一个长期的问题,需要我们社会各界共同的努力。我们的立法机构需要制定个人信息保护的法律,建立系统完善的法律制度体系,司法机构也需要增强技术力量,严厉打击黑客犯罪行为,震慑更多有不良企图的人。网站作为个人信息的收集和存储方,是保护 信息安全的重要防线,一定要坚守,否则不仅仅损害用户利益,也对自己的运营造成损失。最后,也需要我们广大网友,借这个事件,了解更多的安全知识,增强个人信息保护的意识。
提问:作为一个律师,您觉得这次的事情对于其他互联网公司有什么警示作用吗?
赵占领:对其他互联网企业也是一个警示,个人信息不出事则已,一旦出事,往往影响重大,对用户权益、对企业形象都是很大的伤害。而且事后弥补往往难以完全挽回损失。所以,事先一定要高度重视。
提问:这种事情真的可以得到维权吗?
赵占领:维权的方式有三个方面:一是向公关机关报案,通过刑事途径追究黑客的责任;二是直接向黑客索赔,前提是查出黑客真实身份,目前仅靠个人力量很有难度;三是看看网站有没有尽到过错,有没有尽到基本的信息安全保障义务,有过错的话可以向网站索赔。
提问:法律有针对这一问题的详细条款吗?
赵占领:刑法有明确规定,入侵计算机系统,获取其中存储的数据或者实施非法控制的,都构成犯罪,一般处3年以下有期徒刑,情节特别严重的,处3年以上7年以下有期徒刑。
提问:法律史上是否有黑客由于盗取互联网用户信息,而量刑的情况?
赵占领:因盗取用户信息被追究刑事的案例已经不鲜见了,有些黑客自己觉得水平比较高,不会查出来并追究责任。但是我想提醒的是,我们国家现在越来越意识到信息安全的重要性了,网监的力量也在不断加强。还是那句话,常在河边走,哪有不湿鞋?
提问:没有造成直接损失就不算犯罪?
赵占领:根据司法解释,即使没有直接损失,获得身份认证信息500组以上或者违法所得5000元以上也都构成犯罪。
提问:网站的责任怎么追究?网民起诉?
赵占领:我们普通用户和网站之间是一种服务合同关系,即使服务是免费的。网站一个基本的义务就是采取必要的技术措施,保障用户的个人信息安全。这次泄漏事件中很多是因为明文保存密码,这种情况应该属于没有尽到基本的信息安全保障义务,受害的用户可以主张索赔。如果 有证据证明是故意泄漏的,更不用说了,还可能构成犯罪。
提问:赵老师,请问互联网的信息泄露是不是存在举证困难的问题啊?我们的信息泄露以后受到了损失,怎么才能证明是网站的责任呢?
赵占领:的确存在举证困难的情况,有些可能没有造成直接损失。有些造成直接损失,比如网游装备、虚拟货币被盗,网上银行被转账,这些一般还是可以找到证据的。
提问:如果是内部人员透露的这些资料又该怎么处理?
赵占领:不管是谁透漏的,都是犯罪行为。
提问:就现有的法规来看,如果因为网站对用户信息保护不周导致泄露(比如这次的大规模泄密门事件)给用户带来了损失,包括精神上的损失和物质上的损失,我们用户能够主张网站赔偿么?能主张到什么程度?我们的哪些利益能够得到现有法律的保护和认可?
赵占领:如果有证据能够证明实际遭受的损失,是可以主张网站赔偿的,法院支持程度主要看具体证据情况,不过精神损害赔偿一般难以获得支持。除了赔偿损失之外,还可以要求网站恢复账户使用。
提问:黑客要负的法律问题是什么?
赵占领:既构成犯罪,要承担刑事责任,也涉及到民事侵权。
提问:一些购物网站会在用户的个人电脑中存放Cookie,记录用户的消费习惯和偏好。但是从法律上讲,这些并没有经过用户授权的,网站也没有提醒用户注意。这个是否属于侵权?
赵占领:现在除了刑法规定的非法入侵计算机系统犯罪之外,我们现在没有任何立法对个人信息的范围进行明确界定,没有确定哪些信息能收集,哪些不能收集。国际上的做法,具有身份识别性的信息才属于个人信息,个人信息也不是一概不能收集,但一般要与提供的服务有关系,事先要明确告知收集的范围并经过用户同意。
提问:国外有这样类似的事情发生吗?是怎么进行法律裁决的?
赵占领:国外对个人信息保护的水平比较高,既有追究刑事责任的规定,也有民事索赔的依据,还有一些国家的监管部门会对网站规定比较多的监管义务,一旦违反,还可能要进行行政处罚。我们国家已有刑法进行规定,也有盗窃网游账号信息被判刑的案例,但民事索赔和行政处罚 方面几乎没有依据。目前工信部正在制定个人信息保护的首个国家标准。
提问:像电信行业也容易泄漏吧?
赵占领:电信行业掌握着大家的手机号码,以及其他信息,更容易泄漏,加上手机也部分实现了实名制,影响会更大。之前已经有电信运营商的员工泄漏手机号码被追究刑事责任的案例了。
赵占领:结束语:很高兴与各位网友交流个人信息保护的话题,大家的很多问题也很有代表性,但因时间原因,没能一一答复,非常抱歉。活动结束之后,我们可以继续交流,我也会抽空再给大家回复。谢谢大家,再见!
页:
[1]