近日,王思聪因账号被改绑
公开怒怼大众点评
而除了他以外
还有一些网友分享了同款遭遇
大众点评与美团的
网络数据安全问题受到关注
有网络安全专家分析
王思聪疑似是被人套取个人信息后
通过多次“撞库”等方式实现了盗绑
这种现象背后潜藏着什么法律问题?
个人数据与网络信息安全应该如何保障?
记者带着这些问题采访了专家
事件回顾
王思聪账号被盗,多名网友自曝类似经历
10月10日,王思聪更新微博发文称,自己的大众点评被别人改绑手机号。从王思聪发布的截图中可以看到,系统提示:由于你在2021年10月9日通过美团将大众点评账号“王思聪”绑定的手机号更新为:137****2797,因此你需要使用新手机号重新登录。
动态发布没过多久,王思聪转发上述动态,这次点名了“美团”称:“震惊!国家数据安全法实施后市值万亿的美团点评依旧我行我素!”
10日晚间,大众点评回应,非常抱歉给王思聪带来了不愉快的用户体验,相关账号已在王思聪反馈后的第一时间内予以保护性冻结。
王思聪发文后,有网友表示,自己也有过类似的经历,甚至因为此事报过警。
10月11日,博主@轩宁轩Sir 爆料称美团存在安全漏洞,只要获得账号本人的手机号和生日,就可以修改绑定手机号,然后就能看到各种美团订餐订单、买药订单、开房订单、家庭住址等私密信息。该博主表示:“王思聪的账号可能就是因此被盗的。”
专家解析
盗绑如何实现?专家解析“撞库”与法律问题
个人账号是如何被盗绑的,相关细节尚在核查之中,目前还无法确知。据新京报报道,有网络安全专家分析,王思聪疑似是 被人套取个人信息后,通过多次“撞库”等方式实现了盗绑,导致其平台账号安全面临风险。
撞库”是指不法者通过收集互联网已泄露账户或隐私信息,尝试登录相关平台,得到一系列可以登录的账户。比如,微博账户和密码被泄露,别人得到后去知乎尝试登录成功了,而你的生日信息和身份证信息被泄露了,别人也可能拿去猜测网站密码。
现如今为了方便,许多人习惯在不同平台设置相同的密码与用户名,一旦信息遭到泄露,很有可能会殃及网络生活的各个环节,对于公众人物来说,这种隐患与危害还会进一步放大。
“撞库”行为背后流露出怎样的法律问题? 华东政法大学数字法治研究院副院长、副研究员韩旭至 说:“ ‘撞库’是网络灰黑产经常使用的手段,属于对个人信息的窃取行为。 ” 根据刑法第253条之一的规定,“违反国家有关规定,向他人出售或者提供公民个人信息”,“窃取或者以其他方法非法获取公民个人信息”情节严重的,将构成侵犯公民个人信息罪。
具体到这起案件中,王思聪的账号被盗绑是否涉嫌犯罪,韩旭至表示具体还需结合《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第5条所列举的十种情节严重的情形进行判断。
“个人信息泄露对个体的伤害是很大的,一些私密信息的扩散传播甚至会导致一个人的社会性死亡,对于名人往往还附带着一定的经济利益,危害更是不容小觑。” 上海政法学院教授曹阳 说道。
数据安全保障困境如何打破?平台企业、政府部门应齐发力
对于平台来说,保护好用户的个人信息与数据安全是应尽的责任与义务,但是曹阳指出,安全总是相对的,在互联网环境下往往没有绝对的安全。“从企业与平台自身的商业模式来说,安全问题的保障需要资金投入,这种负效益的环节难免成为一种负担,所以很多平台都不愿意在安全问题上进行投入。”这也无疑成为了一项现实困境。
事实上,关于企业与平台没有尽到保障个人信息安全的处罚,法律上有着相关的规定。韩旭至介绍,一方面,根据《个人信息保护法》第66条,履行个人信息保护职责的部门有权对违反个人信息保护义务的平台作出责令改正、警告、没收违法所得、责令暂停或者终止提供服务、罚款等处罚。其中, 若大型平台违反个人信息保护义务情节严重,则可能面临上一年度营业额百分之五的巨额罚单。
另一方面,根据《数据安全法》第45条,平台若不履行数据安全保护义务,亦将面临责令改正、警告、责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照、罚款等处罚。此外,若对个人人格尊严、财产利益造成实际损害的,平台亦需根据过错承担民事责任。
就个人信息被盗用、平台信息保护漏洞等问题,韩旭至介绍了几种维权途径。
一是应及时联系平台进行信息更正 ,以便账号不被继续盗用,根据《个人信息保护法》的规定,当平台拒不更正时,可依法提起诉讼。
二是可向网信部门投诉反映。 根据《个人信息保护法》第61条,履行个人信息保护职责的部门应“接受、处理与个人信息保护有关的投诉、举报”,“调查、处理违法个人信息处理活动”。
三是可就侵犯公民个人信息权益的违法犯罪行为向公安机关报案。
四是可向有权提起个人信息保护公益诉讼的组织反映。 《个人信息保护法》第70条规定,“个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。”
企业如何提升保障网络信息安全的能力?曹阳建议,平台 对内应该不断加强技术投入 ,了解最新的安全漏洞、安全措施、安全规范,自身要随时监控网络安全,内部把安全问题放在优先位置。 对外则需要借助外部的技术专家 ,可以考虑建立安全监督机构,对大型企业和平台的安全程度进行检验、测试、审计等。
韩旭至也建议,企业应将数据安全、个人信息保护的制度规定落实到技术代码之中。在产品设计之时即充分重视网络安全、数据合规。“《个人信息保护法》实施在即,企业必须做好准备,至少应建立完善个人行使权利的申请受理和处理机制,依法进行个人信息保护影响评估,充分尊重保护个人信息权益。”
依据《个人信息保护法》第58条,美团等应属于“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”,更需要建立健全个人信息保护合规制度体系,依法成立独立机构对个人信息保护情况进行监督,制定平台规则,规范平台内的产品或者服务提供者合规运营,定期发布个人信息保护社会责任报告。
曹阳补充道,国家相关部门也应积极出面,从行政方面进行监管,建立起关于个人信息与网络数据的安全标准,要求平台承担更大的安全保障义务。
上海市司法局在回应市人大代表提出的关于网络安全的建议时表示,目前国家层面有关数据安全保护的相关规定散见于《民法典》《网络安全法》《消费者权益保护法》《刑法》等,较为原则,可操作性不强。今年4月,《数据安全法(草案二次审议稿)》《个人信息保护法(草案二次审议稿)》已经面向社会公开征求意见, 上述两部法律的出台将对在线新经济背景下个人隐私保护和数据安全等方面产生深远影响 。
据悉, 上海市已将数据条例列为今年的人大立法计划正式项目,并进行一审 。市司法局透露,草案围绕数据全生命周期,从采集、使用、加工、传输、销毁等各环节的安全管理入手,为数据活动全流程管理提供有力的法制保障,为在线新经济的有序发展提供制度支撑。
整理 | 张旭凡 陈颖婷
新闻素材综合自中国基金报、澎湃新闻、新京报