(电子商务研究中心讯) 一、事件背景
近期,黑市上出现一份数据,称是"趣店学生用户数据"。该数据维度极细,除姓名、电话、还款额、滞纳金、逾期天数、学校、宿舍、毕业时间等详细信息外,还包括学生父母电话、男女朋友电话、学信网账号密码等隐私信息。此份数据号称有百万学生信息,在黑市以10万价格被叫卖。
多位趣店离职员工证实,该数据确实来自趣店,并称早期趣店存在巨大安全隐患,"很多员工都可导出数据,这极可能是内鬼外泄"。但趣店并未正面回应此事,公关相关负责人称:"趣店一直高度重视用户个人信息安全,不断提高数据安全能力与信息加密强度。"
据中国电子商务研究中心日前发布的《2016趣分期用户格式条款审查报告》(www.100ec.cn/zt/hgsc_qfq/)显示,趣分期存豁免自身信息安全保障义务的问题,《趣店用户注册协议》9.5条款表述为"您应对账户信息及密码承担保密责任,因您未能尽到信息安全和保密责任而致使您账户出现任何问题的,您应承担全部责任。"
从该条款可以看出用户在条款设置上就对用户信息安全责任做了规避,审查律师董毅智认为,可信网络交易环境的建设离不开强有力的网络安全技术支撑,作为网络运营者,其有能力亦有法律义务对网络运营安全履行善良管理责任,而不能对网络安全责任采取消极推诿的态度。
趣店集团(原趣分期)包括介入大学生消费市场的趣分期,以及切入互联网金融分期消费服务的来分期,后其称退出校园贷市场。另据中国电子商务投诉与维权公共服务平台接到的用户维权案例库显示,趣分期与来分期商品质量、发货慢、身份信息被盗用、疑似售假、退货难等问题突出。
二、相关法律/法规
全国人大《关于加强网络信息保护的决定》规定:任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息,不得出售或者非法向他人提供公民个人电子信息。公民发现泄露个人身份、散布个人隐私等侵害其合法权益的网络信息,或者受到商业性电子信息侵扰的,有权要求网络服务提供者删除有关信息或者采取其他必要措施予以制止。网络服务提供者和其他企业事业单位及其工作人员对在业务活动中收集的公民个人电子信息必须严格保密,不得泄露、篡改、毁损,不得出售或者非法向他人提供。
《中华人民共和国网络安全法》第四十二条:网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。
网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
第四十四条:任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。
国务院《网络交易管理办法》第十八条规定:网络商品经营者、有关服务经营者在经营活动中收集、使用消费者或者经营者信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络商品经营者、有关服务经营者收集、使用消费者或者经营者信息,应当公开其收集、使用规则,不得违反法律、法规的规定和双方的约定收集、使用信息。网络商品经营者、有关服务经营者及其工作人员对收集的消费者个人信息或者经营者商业秘密的数据信息必须严格保密,不得泄露、出售或者非法向他人提供。网络商品经营者、有关服务经营者应当采取技术措施和其他必要措施,确保信息安全,防止信息泄露、丢失。在发生或者可能发生信息泄露、丢失的情况时,应当立即采取补救措施。
《中华人民共和国电子商务法(草案二次审议稿》第二十六条:电子商务平台经营者应当记录、保存平台上发布的商品和服务信息、交易信息,并确保信息的完整性、保密性、可用性。商品和服务信息、交易信息保存时间自交易完成之日起不少于三年。法律另有规定的,从其规定。电子商务平台经营者有下列行为之一的,责令限期改正;逾期不改正的,责令停业整顿,并处二万元以上十万元以下的罚款;情节严重的,并处十万元以上五十万元以下的罚款。
三、专家点评
针对趣店用户信息泄露事件,长期跟踪研究电商的"智库"--网经社发表本快评,供参考。
1、信息泄露的原因分析
网经社特约研究员、辽宁亚太律师事务所董毅智律师认为,趣店此次信息泄露暴露网贷平台管理漏洞。网贷平台在管理上,在用户信息安全上存在重大问题,最新的《网络安全法》规定,数据外泄,网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。而未尽保护义务的,将根据相关规定罚款警告,情节严重的则被责令暂停相关业务,停业整顿、关闭网站、吊销相关业务许可证或者吊销营销执照。
趣店不仅仅是网络运营者,更属于类金融企业,不但有客户的基本信息,更涉及到客户很多深层次的信用信息,家庭成员信息。这种信息泄露,给客户造成的伤害远远大于普通的平台。
网经社特约研究员、广州金鹏律师事务所合伙人詹朝霞律师认为,信息泄露屡屡出现的原因主要是违法成本低、监管缺失。
(1)违法成本低是"泄密"事件再三出现的根源之一。从法律层面来看,各类服务提供商,基于提供服务所采集的用户信息数据,具有严格保密的法律义务,类似的规定散见于国家工商总局发布的《网络交易管理办法》、《全国人民代表大会常务委员会关于加强网络信息保护的决定》等相关法律法规规章中,虽然规定不少,但相关规定中却没有设置任何对应的处罚措施,违法成本极低。
(2)监管缺失是"泄密"事件再三出现的根源之一。在日益繁杂多变的网络交易中,服务商们忙于应付各种生意,对于用户信息保密仅仅是基于商业道德或品牌荣誉的角度,其实施力度可想而知。可以毫不夸张地说,法律监管的缺失是类似事件一而再三爆发的根本。行政主管部门,比如工商局、银监会、证监会、通管局等相关部门应该形成联动机制,对泄露用户信息的行为甚至是"出卖"用户信息的行为进行狠狠打击,还消费者以安全,还消费者以放心。
2、信息泄露的责任鉴定
网经社特约研究员、北京盈科(杭州)律师事务所方超强律师认为,电商平台在获取个人信息的同时,就有保护个人信息的义务。信息泄露存在不同的情况,如果电商平台提供了符合其规模的保护措施,但在这种情况之下还是被黑客入侵了系统,这种情况属于不可抗力,电商不用承担责任,但如果最终发现因平台存在漏洞而导致信息泄露,那么平台就要负责。
根据《网络交易管理办法》第25条第二款规定:第三方交易平台经营者应当采取必要的技术手段和管理措施保证平台的正常运行,提供必要、可靠的交易环境和交易服务,维护网络交易秩序。
在现实中很难有一个标准去判断什么叫做"平台存在漏洞导致信息泄露",若消费者向法院投诉平台,平台只要举证证明其尽到了安全责任保护义务,就很难对平台进行追责。同时,对于消费者因为在不同电商平台使用相同的账号密码,以致遭到"撞库"盗号,所有账号密码一同被盗,造成自身重大损失,此类情形,应当由谁承担责任要视账号泄密的不同情况分而论之。
今年6月1日正式施行的《网络安全法》就明文规定了"网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失"的义务。显然,趣店平台作为网络运营者,对于用户的个人信息负有较高的安全保护义务,而这不单单体现在对于平台计算机系统安全可靠性、防黑客入侵等方面的要求,也体现在平台内部管理上的安全可靠性要求。
若网络消息披露的趣店信息泄露情况属实,确实是从趣店内部泄露的大量用户个人信息,则该平台在用户信息保护上可谓根本没有尽到保护义务。该平台也需要为这种极不负责的行为和态度买单,根据《网络安全法》第六十四条的规定,行政机关对于违反用户个人信息保护义务的责任主体最高可以处于违法所得10倍或者100万人民币的处罚,情节严重的甚至可以要求停业整顿、吊销业务许可证或者营业执照。
需要值得注意的是,趣店虽然作为信息泄露源需要谴责并承担责任,但并不意味着泄露之后的个人信息可以随意买卖或者向他人提供;反而是有可能构成刑事犯按最!《刑法》第二百五十三条明确规定了:违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
《最高人民法院最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》对于个人信息犯罪的入罪标准确定的很低,部分个人信息只要贩卖50条或者违法收入只要达到5000即构成犯罪。而从网络贩卖个人信息的数量和金额来看,几乎每笔交易都是板上钉钉的犯罪。
董毅智律师也认为,用户信息泄露企业需承担一定赔偿责任。而按照现行法律,公司与用户之间具备合同关系,有保障用户信息安全的义务。如果本次事故是内部人员所为,说明公司内部存在管理问题,没有尽到安全管理责任,应承担相应的民事责任,赔偿用户损失。如果本次事故是外部攻击造成,需要具体分析公司方面是否有采取基本的技术措施保障信息的安全,再来判定公司是否存在过错。
董毅智表示,企业行动体现是否在事件中主动尽责。其中一个重要的问题就是,当企业发现数据泄露后做了什么,是否第一时间发出警报并采取措施直接体现当事公司是否尽到了相关责任。在类似事件中,一些企业往往担心自身名誉受损,对数据泄露抱着遮遮掩掩的态度,这种心态正是网络攻击者所期望的局面,也是攻击者有恃无恐的原因之一。
网经社特约研究员、浙江泽大律师事务所付勇勇律师认为:因商家过失导致消费者经济损失的理应赔偿。《消费者权益保护法》的规定,经营者及其工作人员对收集的消费者个人信息必须严格保密,不得泄露、出售或者非法向他人提供。经营者应当采取技术措施和其他必要措施,确保信息安全,防止消费者个人信息泄露、丢失。
在发生或者可能发生信息泄露、丢失的情况时,应当立即采取补救措施。《网络交易管理办法》也有相同的规定。如果由于经营者的过失,导致消费者经济损失的,理应承担相应的赔偿责任。
3、遭遇信息泄露消费者如何维权
董毅智律师认为用户信息被泄露维权成功率低。根据我国法律对用户隐私的侵权行为约束力有限,用户维权、寻求民事赔偿胜诉率不大,对损失评估难以确定金额,所以想要对隐私泄露的责任人追究还是非常困难的。虽然大规模信息泄露、数据安全事件频出,却从未见到企业负责人被问责。
方超强律师认为,行政处罚之外,信息遭受泄露的用户也可以通过提起民事诉讼(侵权之诉或者违约之诉)的方式向趣店诉讼维权。
网经社法律与权益部分析师姚建芳认为,保护个人信息安全仅靠企业的技术手段远远不够,目前很多互联网用户个人信息泄露事件都是一些企业内部员工泄露导致的,因此企业加大对内部员工的管理至关重要,还可以出台"黑名单"机制,各电商、互联网公司联网,一次犯罪、各家平台、乃至全行业永不录用!
姚建芳建议,信息被泄露消费者可从以下三方面进行维权:
(1)主动向信息泄露方进行索赔。消费者可依据《侵权责任法》、《网络安全法》、《消费者权益保护法》等相关法律,维护合法权益,要求泄露者赔礼道歉、赔偿经济损失等。
(2)向互联网管理部门、工商部门、消协、行业管理部门和相关机构进行投诉举报。中国互联网违法和不良信息举报中心的举报热线为"12377",网址为www.12377.cn。
(3)向公安部门报案。个人在被骗后应及时到公安机关报警,寻求公安机关的帮助,以减少或挽回损失。(文/网经社法律权益部分析师姚建芳)
相关阅读: