文|雷达财经 孟帅
编辑|深海
近日,中国裁判文书网公布的《逯某、黎某侵犯公民个人信息一审刑事判决书》显示,逯某在淘宝非法爬取信息高达11.81亿条,并提供给黎某非法获利34.02万元。
判决书显示,被告人黎某犯侵犯公民个人信息罪,判处有期徒刑3年6个月,并处罚金人民币35万元。被告人逯某犯侵犯公民个人信息罪,判处有期徒刑3年3个月,并处罚金人民币10万元。
近年来,个人信息泄露的事件频频出现。据《中国网民权益保护调查报告(2021)》显示,七成左右的网民个人身份信息和个人网上活动信息均遭到泄露。近一年,因个人信息泄露、垃圾信息、诈骗信息等原因,导致遭受的经济损失人均124元,网民总体损失约805亿元。超7%的网民,近一年由于各类权益侵害造成的经济损失在1000元以上。
利用爬虫技术非法爬取淘宝11.81亿条信息
判决书显示,逯某2017年7月在QQ群与黎某结识,黎某当时在做“淘宝客”,于是联系到逯某帮他做“微信加人”软件,逯某并未收钱,黎某承诺逯某技术入股,等日后成立公司再结算。后来,黎某成立浏阳市泰创网络科技有限公司,逯某成为该公司技术员,一直在家远程办公。
自2019年3月起,黎某每月支付逯某一万元报酬。2019年11月,逯某开始用自写软件“淘评评”,通过淘宝商品详细信息接口和淘宝信息分享接口等,爬取淘宝客户的淘宝数字ID、淘宝昵称、淘宝客户手机号信息。
逯某将其中淘宝客户的手机号码提供给黎某开设的浏阳市泰创网络科技有限公司,用于经营活动。该公司自2019年8月至2020年7月营业额为395.26万元,自2019年11月至2020年7月利用该信息经营共非法获利34.02万元。
据该案的证人表示,浏阳市泰创网络科技有限公司主营业务之一是淘宝客,用这些手机号加对方微信好友,公司组员建好各自的微信群后将群二维码提供给黎某,便会有人自动进群。然后在微信群里进行淘宝商品的推广,让用户领取“淘宝联盟”优惠券,对方使用优惠券成功购买商品,公司获得淘宝网佣金和商家服务费。以前也曾尝试做过抖音推广,但效果不好就中断了。
据介绍,浏阳市泰创网络科技有限公司设有社群部、招商部、客服部,社群部主要负责微信群的淘宝爆款商品链接的发送,客服部、招商部主要负责对接淘宝商家。公司拥有600~1000个微信群,每个群平均110人左右。
经国家林业局森林公安司法鉴定中心物证检验报告证实,对逯某、黎某手机数据恢复、提取、鉴定,被告人逯某通过其开发的软件爬取淘宝客户的数字ID、淘宝昵称、手机号码等淘宝客户信息共计11.81亿条。据数据抽样排查,主要字段包含user_id,user_nick,手机号,注册时间等属于淘宝实际认证的真实信息。被告人逯某将其爬取信息中的淘宝客户手机号码通过微信文件的形式发送给被告人黎某使用,共1971.26万条。
淘宝报案后,二人锒铛入狱
2020年7月13日,淘宝网安全风控员马某在工作中发现,平台的评价接口存在异常流量行为,经排查后发现有黑产通过破解接口的形式进行加密数据的爬取,在2020年7月13日至2020年7月20日之间爬取了3500万条数据。
2020年8月14日,淘宝向警方报警称,在2020年7月6日到2020年7月13日时,有黑产通过mtop订单评价接口绕过平台风控批量爬取加密数据,爬取字段量巨大,7月6日至7月13日之间平均每天爬取数量500万,爬取内容包括买家用户昵称,用户评价内容,昵称等敏感字段。
之后,淘宝派工作人员前往商丘市公安局犯罪侦查支队直属二大队协助调查,经淘宝网站排查发现,逯某有重大作案嫌疑,作案地点河南省商丘市睢阳区新城街道长江路民政局家属院,通过逯某的电脑硬盘信息分析统计,共爬取11.81亿条相关信息。
2020年8月15日,逯某因涉嫌非法获取计算机信息系统数据、非法控制计算机信息系统罪,被商丘市公安局新城分局刑事拘留,2020年8月22日,黎某也被商丘市公安局新城分局刑事拘留。2020年9月22日,两人被逮捕。商丘市公安局新城分局对逯某住处及湖南省浏阳市泰创网络科技公司总经理办公室进行搜查,扣押逯某电脑主机5台、电脑显示器3台和手机5个。
商丘市睢阳区人民检察院指控被告人逯某、黎某涉犯侵犯公民个人信息罪,于2021年1月14日向河南省商丘市睢阳区人民法院提起公诉。
判决书显示,公诉机关认为被告人逯某、黎某的行为已触犯《中华人民共和国刑法》第二百五十三条之一、第二十五条之规定,已构成侵犯公民个人信息罪,公诉机关指控罪名成立。辩护人称因二人系共同犯罪,被告人逯某、黎某有坦白情节,且认罪认罚,对其均可从轻处罚。
对于11.81亿条的信息数,被告人逯某辩称,只采集了5千万条,11.81亿条不是其采集的,是从其它地方下载的,并且表示自己采集的信息没有传播,只有电话号码,没有身份信息,没有联系任何一个用户。逯某称其爬取的数据只有客户的手机号码提供给了黎某,而爬取的淘宝客户ID和淘宝昵称都存在自己的电脑硬盘里,没有提供给黎某和外泄他人。获利只有六、七万或七、八万元。
被告人黎某辩称,逯某给其发的信息只是一个单纯的手机号码,没有拿这些信息做违法犯罪的事情,返利部的获利是利用该信息,其他部门获利与该信息无关,愿意退还37万元的违法所得。
但经查,淘宝公司报警称自2020年7月6日至7月13日每天被侵犯信息都有500万条,被告人逯某供述其自2019年11月开始爬取淘宝信息,在提取逯某电脑硬盘检测有11亿多条信息,两证据能相互印证被告人逯某采集的淘宝客信息数量。
法院认为其辩解与事实不符,最终不予采信。
最终,法院依照《中华人民共和国刑法》第二百五十三条之一、第二十五条第一款、第六十七条第三款、第五十二条、第五十三条、第六十四条之规定,判决如下:被告人黎某犯侵犯公民个人信息罪,判处有期徒刑3年6个月,并处罚金人民币35万元。被告人逯某犯侵犯公民个人信息罪,判处有期徒刑3年3个月,并处罚金人民币10万元。被告人黎某、逯某违法所得依法继续予以追缴上缴国库,依法扣押作案工具。
近一年七成网民个人信息遭到泄露
据中国互联网络信息中心(CNNIC)在京发布第47次《中国互联网络发展状况统计报告》显示,截至2020年12月我国网民规模达9.89亿,较2020年3月增长8540万,互联网普及率达70.4%。单从数据上来看,此次淘宝数据泄露信息数量超过网民数。
淘宝数据泄露事件并非孤例,近年来数据泄露案件屡见不鲜,造成的影响也十分恶劣,雷达财经在此前就曾对智联招聘等招聘软件用户简历信息遭泄露进行过报道。
除了被不法黑产主动盗取平台用户数据信息外,还有公司内部人员监守自盗泄露数据的情况。去年7月,圆通速递有限公司也曾出现过数据泄露的丑闻,据悉系河北省公司内部员工利用员工账号和第三方非法工具窃取运单信息,勾结外部不法人士,导致40万条个人信息泄露,涉案金额120余万元。
另外,工信部严查、整治各大APP违规行为侵犯用户权益的新闻,每隔一段时间就出现在大众的视线当中。
除了非法批量扒取个人信息的事件频频发生外,某些公司在筹备上市阶段,数据也惨遭提前外泄。
据永安在线数据资产泄露风险监测平台统计,2020年至今捕获到数据资产泄露事件超过2万起,包括金融、互联网、政府、教育等几乎涉及到生活中各个领域。数据资产泄露的量级,10万以下和10万~100万两个区间的占比分别达到34%和40%。
据《中国网民权益保护调查报告(2021)》显示,近一年,因个人信息泄露、垃圾信息、诈骗信息等原因,导致遭受的经济损失人均124元,网民总体损失约805亿元。超7%的网民,近一年由于各类权益侵害造成的经济损失在千元以上。
据报告称,七成左右的网民个人身份信息和个人网上活动信息均遭到泄露。78.2%的网民个人身份信息(如姓名、学历、家庭住址、身份证号及工作单位等)被泄露;63.4%的网民个人网上活动信息(如通话记录、网购记录、网站浏览痕迹、ip地址、软件使用痕迹及地理位置等)被泄露。近半数的网民个人通讯信息(如即时通讯记录、手机短信等)被泄露。82.3%的网民亲身感受到了由于个人信息泄露对日常生活造成的影响,49.7%的网民认为个人信息泄露情况严重或非常严重。
大量数据泄露背后其实隐藏着一条完整的灰色产业链。据不完全统计,自2015年开始,互联网黑灰产业从业人员就已经超过40万,黑灰产规模达千亿元规模。