個人數(shù)據(jù)泄露問題及其規(guī)避
——以2019年網(wǎng)絡(luò)爬蟲事件為例

蘇麗潔

1 學(xué)術(shù)回顧與研究綜述

本文文獻(xiàn)研究主要利用CNKI 全文數(shù)據(jù)庫，通過關(guān)鍵詞“數(shù)據(jù)泄露”搜索結(jié)果，時間限制為2018年至2020 年，檢索出共338 篇文獻(xiàn)，其中有核心期刊33 篇；繼而在搜索結(jié)果中檢索“政府”一詞，得出共有22 篇文獻(xiàn)，其中與“政府開放數(shù)據(jù)”相關(guān)文獻(xiàn)共3 篇。從近兩年338 篇相關(guān)文獻(xiàn)來看，其中被引用文獻(xiàn)共259 篇，被核心期刊引用共44 篇。

通過對這些文獻(xiàn)進(jìn)行閱讀發(fā)現(xiàn)，近兩年我國對數(shù)據(jù)泄露的研究主要集中于數(shù)據(jù)泄露反思和解決辦法兩個方面。王春偉［1］研究了央企防范數(shù)據(jù)的辦法，指出數(shù)據(jù)防范的兩大困難，分別是管理者的疏忽和技術(shù)缺陷；茍洪景［2］以Facebook 數(shù)據(jù)泄露事件為例，指出了數(shù)據(jù)泄露的原因，首先是網(wǎng)絡(luò)媒體和信息技術(shù)為數(shù)據(jù)泄露提供條件，其次是個人數(shù)據(jù)價值不斷升高，一切網(wǎng)絡(luò)活動痕跡都可能成為有價值的數(shù)據(jù)，并給媒體創(chuàng)造經(jīng)濟(jì)利益，一旦被不法分子盜取利用，給個人帶來極大傷害；張志成［3］指出數(shù)據(jù)泄露是政府，企業(yè)和個人多方技術(shù)作用的結(jié)果，在社交媒體時代，保護(hù)個人信息數(shù)據(jù)可利用區(qū)塊鏈技術(shù)；王澤群［4］指出政府在個人數(shù)據(jù)保護(hù)中應(yīng)重塑職能；數(shù)據(jù)泄露的持續(xù)發(fā)展引起政府的極大重視，不僅對個人數(shù)據(jù)的保護(hù)，政府開放數(shù)據(jù)的保護(hù)同樣重要。侯曉麗［5］在研究政府開放數(shù)據(jù)保護(hù)中指出，政府應(yīng)建立完善定密制度，加強(qiáng)對工作人員的管理與限制，更好的保護(hù)數(shù)據(jù)信息；張素華［6］認(rèn)為通過行為規(guī)制模式保護(hù)數(shù)據(jù)可以更好的防范風(fēng)險，數(shù)據(jù)保護(hù)應(yīng)由個人控制轉(zhuǎn)向社會控制，將靜態(tài)的隱私保護(hù)轉(zhuǎn)向動態(tài)的隱私保護(hù)。

除此之外，不少學(xué)者，從立法角度尋找數(shù)據(jù)保護(hù)辦法。趙淑鈺［7］認(rèn)為我國數(shù)據(jù)泄露時常見的仍是網(wǎng)絡(luò)運營者的自我補(bǔ)救，我國應(yīng)當(dāng)借鑒國外數(shù)據(jù)泄露通知制度①內(nèi)容，保障《網(wǎng)絡(luò)安全法》的實施，同時相關(guān)政府部門能夠有法所依，對數(shù)據(jù)泄露現(xiàn)象迅速做出反應(yīng)，減少損失；王海波［8］則指出當(dāng)前我國數(shù)據(jù)保護(hù)制度尚不完善，政府相關(guān)部門應(yīng)提高對相關(guān)法律法規(guī)建設(shè)的重視度；何玉顏［9］通過對歐盟《通用數(shù)據(jù)保護(hù)條例》分析，提出我國應(yīng)當(dāng)學(xué)習(xí)國外法律條例，統(tǒng)一個人數(shù)據(jù)保護(hù)的原則性問題，對各行各業(yè)數(shù)據(jù)保護(hù)制定最低標(biāo)準(zhǔn)。

總體來看，數(shù)據(jù)泄露行為的反思與保護(hù)是近兩年研究熱點，研究學(xué)者大多利用案例分析法進(jìn)行研究，并且基本都認(rèn)識到數(shù)據(jù)泄露下政府監(jiān)管的重要性和我國數(shù)據(jù)保護(hù)立法空白現(xiàn)象。本文將以2019年網(wǎng)絡(luò)爬蟲風(fēng)波事件為例，展現(xiàn)我國政府在此次數(shù)據(jù)泄露事件中的處理辦法。

2 數(shù)據(jù)買賣與暴力催收問題

網(wǎng)絡(luò)爬蟲（又稱為網(wǎng)頁蜘蛛，網(wǎng)絡(luò)機(jī)器人，在FOAF 社區(qū)中間，更經(jīng)常的稱為網(wǎng)頁追逐者），是一種按照一定的規(guī)則，自動地抓取萬維網(wǎng)信息的程序或者腳本。它是指這樣的一類程序，他們可以自動鏈接到互聯(lián)網(wǎng)站點，并讀取網(wǎng)頁中的內(nèi)容或存放在網(wǎng)絡(luò)上各種信息，并按照某種策略對目標(biāo)信息進(jìn)行采集（如對某個網(wǎng)站的頁面進(jìn)行全部讀?。?0］。

早在2017 年，致力于為全球人工智能企業(yè)提供數(shù)據(jù)獲取及數(shù)據(jù)產(chǎn)品服務(wù)的數(shù)據(jù)公司數(shù)據(jù)堂，由于大量售賣市民的私人信息，在2019 年2 月份時，對其作出了判決，相關(guān)八人，最嚴(yán)重的判罰5 年有期徒刑，并罰款310 萬元人民幣②。在2019 年4 月22 日，巧達(dá)科技法人代表王某某等36 人因非法獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)，被依法批準(zhǔn)逮捕。該公司在未經(jīng)授權(quán)的情況下，通過大量代理IP 地址、偽造技術(shù)設(shè)備等手段，大量惡意竊取放在服務(wù)器上的用戶數(shù)據(jù)③。

2019 年中秋以來，杭州市公安加大對數(shù)據(jù)公司的查處力度，該次調(diào)查行動起源于貸款催收公司，通過貸款人個人信息進(jìn)行暴力催收導(dǎo)致自殺事件。2019 年9 月6 日，魔蝎數(shù)據(jù)公司高管被警方帶走，引起業(yè)內(nèi)波動；9 月11 日，公信寶運營方杭州存信數(shù)據(jù)科技有限公司被警方查封；同年10 月21 日，港股上市公司51 信用卡因外包催收公司暴力催收尋釁滋事被杭州警方突擊查處，將此次數(shù)據(jù)泄露風(fēng)波推向高潮④。網(wǎng)絡(luò)爬蟲的合法性受到質(zhì)疑。綜合此次事件得知，當(dāng)抓取的數(shù)據(jù)是真實的數(shù)據(jù)并且遵守使用規(guī)則的情況下，是允許的；但遇見原創(chuàng)數(shù)據(jù)時，受版權(quán)限制不能轉(zhuǎn)載，否則會造成嚴(yán)重的侵權(quán)行為。

2.1 數(shù)據(jù)泄露與非法買賣

據(jù)安全情報供應(yīng)商RBS 顯示⑤，截至2019 年9 月30 日，全球披露的數(shù)據(jù)泄漏事件共有5183起，較2018 年上漲了33%；泄露的數(shù)據(jù)數(shù)量達(dá)到了79.95 億條，較2018 年上漲了117%。從泄露的內(nèi)容來看，53%的內(nèi)容是個人基本信息，其次是用戶個人的賬號信息。由此可看，數(shù)據(jù)泄露事件在全球范圍內(nèi)一直在發(fā)生，這也展現(xiàn)了數(shù)據(jù)泄露是亟待解決的問題。

此次爬蟲風(fēng)波的核心原因是數(shù)據(jù)泄露和非法買賣。在數(shù)據(jù)保護(hù)法中，數(shù)據(jù)大致分為可以采集的數(shù)據(jù)和禁止采集的數(shù)據(jù)［11］。作為可以采集的數(shù)據(jù)指的是不涉及個人隱私的數(shù)據(jù)或經(jīng)個人同意授權(quán)的數(shù)據(jù)；禁止采集的數(shù)據(jù)是涉及個人隱私數(shù)據(jù)或商業(yè)機(jī)密的數(shù)據(jù)。眾多數(shù)據(jù)公司被查處的原因之一是利用網(wǎng)絡(luò)爬蟲技術(shù)從網(wǎng)頁上非法獲取個人隱私數(shù)據(jù)。例如，信川科技下的核心產(chǎn)品數(shù)聚魔盒通過數(shù)據(jù)采集工具幫助客戶采集信息，利用爬蟲技術(shù)獲取各類用戶個人數(shù)據(jù)，但在爬取個人信息前是否征求用戶個人同意不得而知，所以在此次風(fēng)波中也不得不暫停相關(guān)服務(wù)。

網(wǎng)絡(luò)爬蟲爬取數(shù)據(jù)來源是多樣的，數(shù)據(jù)來源主要有一下幾個方面：企業(yè)產(chǎn)生的用戶數(shù)據(jù)，第三放數(shù)據(jù)購買平臺，政府開放數(shù)據(jù)和網(wǎng)頁數(shù)據(jù)。無論數(shù)據(jù)來自何處，利用爬蟲技術(shù)進(jìn)行爬取數(shù)據(jù)信息時，涉及個人隱私的數(shù)據(jù)應(yīng)當(dāng)征求當(dāng)事人同意。此次被調(diào)查的數(shù)據(jù)公司絕大部分對外提供數(shù)據(jù)分析服務(wù)，對購買服務(wù)人員收取相應(yīng)的服務(wù)費，但存在風(fēng)險，且受技術(shù)程度的限制，同時不確定數(shù)據(jù)信息的合法性，時刻在法律邊緣游走。非法獲取個人數(shù)據(jù)信息是其一，倒賣個人數(shù)據(jù)是其二，兩者造成大數(shù)據(jù)風(fēng)控公司走向風(fēng)口浪尖的主要原因。例如，2015 年11 月至2016 年5 月，元光公司為了提高本公司的App 軟件“車來了”的用戶量和信息查詢的準(zhǔn)確度，指使員工利用爬蟲技術(shù)爬取谷米公司“酷米客”App的實時公交數(shù)據(jù)信息，用于自己公司的軟件并對外提供公眾查詢數(shù)據(jù)［12］。對于倒賣個人數(shù)據(jù)，最為典型的例子是2017 年數(shù)據(jù)堂公司被查處，數(shù)據(jù)堂公司大量售賣個人信息，8 個月內(nèi)，日均傳送個人信息1.3 億條，數(shù)量之多，令人驚訝。

2.2 網(wǎng)貸下的暴力催收

杭州警方此次調(diào)查的大數(shù)據(jù)風(fēng)控公司，起因于貸款催收導(dǎo)致自殺事件。不少知名大數(shù)據(jù)風(fēng)控公司深陷其中，如同盾科技，新顏科技，公信寶以及51 信用卡等。梳理被查處公司信息了解到，大多數(shù)公司為銀行，貸款平臺，保險等提供風(fēng)控服務(wù)。其中對公眾影響最大的是貸款業(yè)務(wù)。用戶在下載某些借錢App 時，系統(tǒng)要求開放用戶開放手機(jī)內(nèi)的通訊錄等隱私信息，這些隱私信息為后期催還貸款暴力催收埋下“炸彈”。2019 年9 月11 日杭州市公安局舉行新聞發(fā)布會，共有60 個套路貸App被關(guān)停，搗毀現(xiàn)金貸等犯罪團(tuán)伙8 個。早在2019年“3.15”晚會上，曝光了一大批網(wǎng)貸平臺，其中涉及現(xiàn)金貸犯罪團(tuán)伙8 個，抓獲違法犯罪行為300余人。

套路貸⑥是指以無抵押快速放貸為誘餌，以民間借貸為幌子，誘騙或強(qiáng)迫他人陷入借貸圈套，通過精心設(shè)計的“套路”手段讓借款人的債務(wù)在短時間內(nèi)幾何式倍增，繼而通過暴力討債、虛假訴訟等手段非法占有他人較大數(shù)額財產(chǎn)，是一種組織性、預(yù)謀性強(qiáng)的違法犯罪行為。10 月21 日杭州公安發(fā)布聲明，51 信用卡涉及大量異常投訴信息。綜合多方信源，51 信用卡委托外包催收公司催還貸款，并利用自身技術(shù)優(yōu)勢，將貸款人的個人通信錄，定位住址提供給催收公司，通過恐嚇，滋擾等軟暴力形式催收債務(wù)。根據(jù)威瑞森《2019 年數(shù)據(jù)泄露調(diào)查報告》⑦顯示：在41 686 件安全事件中，共有2 013件已經(jīng)證實的數(shù)據(jù)泄露事件，可見數(shù)據(jù)泄露規(guī)模之大。這些數(shù)據(jù)泄露事件中，其中71%的違規(guī)行為來自經(jīng)濟(jì)動機(jī)，這就不難理解為什么此次被查處的數(shù)據(jù)公司均與銀行，金融行業(yè)有關(guān)。

3 數(shù)據(jù)保護(hù)的法律保護(hù)與技術(shù)支持

3.1 數(shù)據(jù)泄露倒逼法律完善

大數(shù)據(jù)時代下，數(shù)據(jù)泄露成為老生常談的話題，我國關(guān)于數(shù)據(jù)泄露立法至今尚不完善，此次風(fēng)波在一定程度上促進(jìn)我國立法完善。目前我國刑法中的二百五十三條強(qiáng)調(diào)侵犯公民個人信息罪，《中華人民共和國民法總則》中明確個人信息權(quán)利受到法律保護(hù)。但針對我國數(shù)據(jù)泄露的特定法律仍有欠缺。在2017 年6 月1 日，《網(wǎng)絡(luò)安全法》⑧正式實行，第四十四條規(guī)定，任何個人和組織不得竊取或者以其他非法方式獲取個人信息，不得非法出售或者非法向他人提供個人信息。此次法律的頒布使得我國個人信息泄露犯罪行為有法可依。2018 年5 月歐盟出臺了《通用數(shù)據(jù)保護(hù)條例》⑨，表明過去互聯(lián)網(wǎng)機(jī)構(gòu)習(xí)以為常的、利用爬蟲技術(shù)過度抓取用戶行為數(shù)據(jù)的做法，因涉嫌侵犯隱私變得不再“合法”。

2019 年9 月至10 月的“爬蟲風(fēng)波”，引起政府得極大重視，杭州市公安局對相關(guān)數(shù)據(jù)公司迅速摸查，查處違法犯罪行為。例如針對51 信用卡公司的突擊檢查時，動用三輛客運車，公司內(nèi)部被警方嚴(yán)格把守，只進(jìn)不出。由此可看，對于違法犯罪的數(shù)據(jù)公司嚴(yán)格防范與查處。同年10 月14 日，央行下發(fā)了《個人金融信息（數(shù)據(jù)）保護(hù)試行辦法》，第十八條規(guī)定：金融機(jī)構(gòu)不得以概括授權(quán)得方式獲取信息主體對收集處理使用和對外提供其個人金融信息的同意，同時要求各企業(yè)征信機(jī)構(gòu)自我排查是否存在違法爬蟲行為。上海市在10 月份率先實施《上海市公共數(shù)據(jù)開放暫行辦法》⑩，該《辦法》重點考慮了數(shù)據(jù)開放和數(shù)據(jù)安全的關(guān)系，既要推進(jìn)公共數(shù)據(jù)開放和深度利用，又要高度重視和保障數(shù)據(jù)安全，明確指出政府應(yīng)當(dāng)落實數(shù)據(jù)安全管理要求，采取措施保護(hù)商業(yè)秘密和個人隱私，防止被非法獲取。

除了對數(shù)據(jù)安全迅速作出回應(yīng)，在51 信用卡被查處的當(dāng)天，針對貸款違法犯罪行為，我國最高人民法院頒布了《關(guān)于辦理非法刑事案件若干問題的意見》，明確提出了，涉及強(qiáng)行索要非法貸款行為，因非法放貸誘發(fā)涉黑涉惡以及其他違法犯罪活動，違法必究。2019 年12 月時，全國人大表明，中國將在2020 年制定《數(shù)據(jù)安全法》和《個人信息保護(hù)法》，其中《數(shù)據(jù)安全管理辦法》目前已經(jīng)完成了公開征求意見。今年政協(xié)會議上，明確提出政府部門之間應(yīng)加快信息之間的統(tǒng)籌協(xié)調(diào)，建立統(tǒng)一的個人信息保護(hù)監(jiān)管平臺，避免重復(fù)執(zhí)法。由此可看，我國對數(shù)據(jù)安全的探索始終沒有停止，雖然我國關(guān)于數(shù)據(jù)保護(hù)的法律沒有國外那么完善，但一直在探索的道路上，始終為人民社會服務(wù)。

3.2 借助區(qū)塊鏈技術(shù)，加強(qiáng)數(shù)據(jù)保護(hù)

數(shù)據(jù)泄露伴隨互聯(lián)網(wǎng)運營而生，數(shù)據(jù)保護(hù)理應(yīng)是政府，企業(yè)和用戶三者共同努力的結(jié)果。其中政府應(yīng)做好帶頭作用，大力鼓勵數(shù)據(jù)保護(hù)技術(shù)，利用數(shù)據(jù)加密技術(shù)保護(hù)數(shù)據(jù)。區(qū)塊鏈技術(shù)2019 年引起大家的關(guān)注，習(xí)近平總書記在中央政治局第十八次集體學(xué)習(xí)時強(qiáng)調(diào)，把區(qū)塊鏈作為核心技術(shù)自主創(chuàng)新重要突破口，加快推動區(qū)塊鏈技術(shù)和產(chǎn)業(yè)創(chuàng)新發(fā)展11。區(qū)塊鏈作為一種去中心化的分布式賬本數(shù)據(jù)庫，通過數(shù)據(jù)密碼學(xué)進(jìn)行加密，避免了數(shù)據(jù)的篡改與盜竊。這為數(shù)據(jù)保護(hù)提供了更好的技術(shù)支撐。今年3 月保爾森基金會綠色金融中心與清華大學(xué)綠色金融發(fā)展研究中心聯(lián)合發(fā)布《金融科技推動中國綠色金融發(fā)展：案例與展望》12報告中指出，利用區(qū)塊鏈等技術(shù)，解決資金穿透管理的問題，可以幫助金融機(jī)構(gòu)實現(xiàn)對綠色信貸、綠色債券等投向的跟蹤，幫助降低“洗綠”“漂綠”的風(fēng)險。由此可看，區(qū)塊鏈技術(shù)應(yīng)用廣泛，區(qū)塊鏈本質(zhì)作為一個數(shù)據(jù)庫，不僅為數(shù)據(jù)保護(hù)提供技術(shù)支撐，且該技術(shù)不涉及第三方，對大數(shù)據(jù)公司的金融服務(wù)建設(shè)健康交易環(huán)境。

4 結(jié)語

網(wǎng)絡(luò)爬蟲技術(shù)是數(shù)據(jù)和信息的搬運工，最為常見的網(wǎng)絡(luò)爬蟲是通用網(wǎng)絡(luò)爬蟲即搜索引擎，如百度，谷歌等瀏覽器。除此之外，還有增量型網(wǎng)絡(luò)爬蟲，聚焦型網(wǎng)絡(luò)爬蟲。網(wǎng)絡(luò)爬蟲爬取的數(shù)據(jù)來源是多樣的，主要有政府公開數(shù)據(jù)，第三方平臺買賣數(shù)據(jù)，網(wǎng)頁數(shù)據(jù)以及企業(yè)產(chǎn)生的用戶數(shù)據(jù)，其中第三方平臺購買數(shù)據(jù)存在較大風(fēng)險，是數(shù)據(jù)泄露主要方向之一，同時也此次爬蟲風(fēng)波的主要承擔(dān)者。數(shù)據(jù)公司獲取數(shù)據(jù)主要通過網(wǎng)絡(luò)爬蟲技術(shù)實現(xiàn)，這使得網(wǎng)絡(luò)爬蟲走向了“害蟲”，技術(shù)中立也有可能走向違法犯罪行為。

2019 年網(wǎng)絡(luò)爬蟲事件凸顯兩大問題，一是數(shù)據(jù)泄露，二是貸款后的暴力催收。我國政府對次進(jìn)行了硬核查處，不少知名數(shù)據(jù)公司深陷其中。相關(guān)政府部門也迅速對此作出回應(yīng)，建立數(shù)據(jù)保護(hù)相關(guān)法律條例；針對網(wǎng)絡(luò)非法貸款，最高法院提出相關(guān)辦法。數(shù)據(jù)保護(hù)不僅通過法律的約束，還要從技術(shù)層面解決問題，我國現(xiàn)如今大力發(fā)展區(qū)塊鏈技術(shù)，為數(shù)據(jù)保護(hù)提供新的方向。

注釋

①數(shù)據(jù)泄露通知制度：是指負(fù)有數(shù)據(jù)安全保護(hù)義務(wù)的主體在發(fā)生個人信息泄露事件時，在規(guī)定的時間內(nèi)以適當(dāng)形式，通知主管機(jī)構(gòu)及用戶的制度。

②2018年7月11日 中國證券網(wǎng) http://www.cqn.com.cn/cj/content/2018-07/11/content_6025374.htm。

③2019年4月22日騰訊網(wǎng)https://new.qq.com/omn/20190422/20190422A0N7IF.html。

④2019年10月26日澎湃新聞https://m.thepaper.cn/baijiahao_4790252。

⑤Risk Based Security (RBS) 2019年Q3季度全球數(shù)據(jù)泄露事件報告https://www.freebuf.com/column/225216.html。

⑥套路貸：2019年4月10日 常德長安網(wǎng)《掃黑除惡為何要給這四個詞“官方解釋”》

⑦威瑞森 2019年數(shù)據(jù)泄露事件報告 該報告從2008年記錄至今，http://www.199it.com/archives/885531.html。

⑧《網(wǎng)絡(luò)安全法》：由全國人民代表大會常務(wù)委員會于2016年11月7日發(fā)布，自2017年6月1日起施行。中華人民共和國主席令（第五十三號）公布。

⑨《通用數(shù)據(jù)保護(hù)條例》：2018年5月25日，歐洲聯(lián)盟出臺《通用數(shù)據(jù)保護(hù)條例》，前身是1995年制定的《計算機(jī)數(shù)據(jù)保護(hù)法》。

⑩《上海市公共數(shù)據(jù)開放暫行辦法》：2019年9月10日上海市人民政府公開，定于同年10月1日正式實行。

11 2019年10月24日習(xí)近平總書記在中央政治局第十八次集體學(xué)習(xí)時的重要講話。

12 2020年3月9日，該報告首次出爐，經(jīng)過一年的合作研究，綜述了金融科技在綠色金融領(lǐng)域運用的一些具體案例，討論了這些運用所面臨的障礙，展望了未來的發(fā)展前景，并從政策和產(chǎn)業(yè)支持角度提出了建議。