计算机信息系统罪|近12亿电商用户信息被泄露：平台该担何责？( 二 ) 同态|沈赟|院长|确权|数据|隐私

“黑客被判为侵犯公民个人信息罪，而不是非法获取计算机信息系统数据罪，这样淘宝因计算机系统数据被窃被而被行政处罚的风险就小了很多。”上海大邦律师事务所高级合伙人游云庭说。
游云庭以一则平台因技术漏洞致数据泄露被追责的案件举例，2011年12月，北京警方接到CSDN网站报案，称其服务器被入侵，核心数据遭到泄露，CSDN网站后被整改。
据警方调查，嫌疑人利用CSDN网站漏洞，非法侵入服务器获取用户数据，以涉嫌非法获取计算机数据罪被刑事拘留。同时，CSDN网站未落实国家信息安全等级保护制度，安全管理制度和技术保护措施落实不到位是造成用户信息泄露的主要原因。
根据《计算机信息系统安全保护条例》第20条第1款规定，有违反计算机信息系统安全等级保护制度，危害计算机信息系统安全的行为，应由公安机关处以警告或者停机整顿。北京市公安局向CSDN网站提出了具体整改要求，并对运营公司北京创新乐知信息技术有限公司做出行政警告处罚。
“一般来说，在类似事件中平台往往也是受害者，只要平台采取了必要的技术防护措施、在数据泄露事件中没有过错，事发后能够及时向用户和监管部门通知相关情况，并采取补救措施、积极挽回损失，一般不会被行政处罚。”夏海龙分析，但是从个人信息保护的角度看，只要用户因信息泄露遭受损失，平台就需要首先向用户赔偿损失。
企业数据安全责任加重
近年来国际上频发的数据泄露事件，不仅让涉事平台承担着高昂的损失费用，还可能因危及大量用户的个人信息安全，面临着巨额罚款。
2020年11月，美国酒店集团万豪就因遭受网络攻击，致使数百万客户个人数据泄露，收到了英国监管机构（ICO）开具的1840万英镑巨额罚单。ICO调查发现，万豪没有按照通用数据保护条例（GDPR）要求，采取适当的技术或组织措施来保护其系统上的个人数据。
社交巨头脸书亦多次深陷数据泄露的泥潭。今年4月，脸书被指泄露5.33亿用户数据，尽管后来澄清系2年前的旧消息，并已修复相关漏洞。但不由让人联想起2018年英国“剑桥分析”公司非法获取8700万脸书用户数据一事，此案最终以脸书同意支付50亿美元罚款落幕。
随着国家及地方的立法纷纷落地，压在我国企业肩头的数据安全的担子也将逐渐变重。
6月10日通过的《数据安全法》规定，开展数据活动的组织、个人不履行数据安全保护义务的（包括采取必要措施保障数据安全、加强风险监测、开展风险评估等），由有关主管部门责令改正，给予警告，可以并处5万元以上50万元以下罚款。
正在二审的《个人信息保护法》草案也对个人信息处理者提出了相应要求，如制定内部管理制度和操作规程、对个人信息实行分类管理、采取相应的加密、采取相应的加密和去标识化等安全技术措施、制定并组织实施个人信息安全事件应急预案等。
深圳、上海、天津、安徽等地的数据立法同样高度重视数据安全问题。
如6月2日发布的《深圳经济特区数据条例（征求意见稿）》提到，数据处理者应当落实数据安全管理责任，防止数据泄露、毁损、丢失、篡改和非法使用，落实监测预警措施，制定数据安全应急预案，风险发生时及时告知相关权利人，并向网信部门和有关行业主管部门报告。
不当使用爬虫涉多重法律风险

文章插图
图 / 图虫
对内，作为数据收集和处理者的企业应建立起完善的数据保护体系；对外，爬虫等网络技术的应用也亟需进一步规范。