据人民网报道,12月21日,有黑客在网上公开了CSDN网站用户数据库,包括600余万个明文的注册邮箱帐号和密码。CSDN向公安机关报案并在网上发表了致歉声明,声明中称CSDN网站早期使用过明文密码。但据业内人士质疑,2010年注册用户也有被泄漏的,CSDN在撒谎。22日,网上更曝出人人网、天涯、开心网、多玩、世纪佳缘、珍爱网、美空网、百合网、178、7K7K等知名网站也采用明文密码,用户数据资料被放到网上公开下载。12月23日凌晨,金山毒霸官方微博发布声明,承认21日在迅雷提供CSDN数据库下载的发布者(迅雷ID:hzqedison),是金山毒霸产品经理韩某。他在迅雷快盘上分享了大小104.85M名为“CSDN-中文IT社区-600万.rar”的文件,后经下载证实确实为CSDN泄密数据包,hzqedison发现事态严重性后,删除了该分享链接。据新京报报道,hzqedison通过微博表态称,自己看到某人发了CSDN数据库文件的迅雷下载链接,于是进行了处理,目前已将该文件删除。
因该案影响巨大,据称是中国互联网历史上最大的用户资料泄漏案件之一,目前公安机关正在侦查当中,更多事实要等待公安机关的公布。在此,仅根据媒体披露的部分事实材料,探讨以下三个法律问题:该案件可能涉及到哪些刑事责任、网站经营者的法律责任、用户资料传播者的法律责任。
案件涉及的刑事责任
盗取用户资料者的刑事责任。2009年2月28日公布实施的刑法修正案(七)针对刑法第二百八十五条的不足,增加了两款新罪名,对侵入除国家事务、国防、科学领域等计算机系统以外的其他计算机系统或者非法获取数据的违法行为,规定为犯罪。规定如下:“第九、在刑法第二百八十五条中增加两款作为第二款、第三款:“(非法获取计算机信息系统数据、非法控制计算机信息系统罪)违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。 “(提供侵入、非法控制计算机信息系统程序、工具罪)提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具,情节严重的,依照前款的规定处罚。” 盗取用户资料者的行为违反该规定,涉嫌非法获取计算机信息系统数据罪,如果盗取并传播或者使用用户资料从事其他违法行为,则可能触犯其他罪名。
网站经营者。目前法律并没有规定网站经营者因为过失即安全防护措施的缺失或者不当,造成用户资料泄漏承担法律责任,所以,网站经营者不承担刑事责任。
网站经营者的法律责任
密码的保存方式和取回方式,如果网站在此方面存在严重的缺失,很有可能被追究法律责任。根据网络业内技术人士的介绍,用户的密码保存在数据库里面,登录数据库看到的不是密码本身,而是经过加密的密文。如果不经过加密处理,直接明文存放,那任何进入数据库的管理员和黑客不经过解密就能直接看到密码。密码的取回,经过加密的密码不能直接用邮箱取回明文密码,而是给出修改链接,登录后修改为新的密码。网站作为服务提供的经营者,在用户资料保护方面本身应承担更多的义务,那如果在数据库管理和密码取回流程的设置方面不能采取有效措施避免泄漏,不能达到业内一般的保护标准,或者根本没有采取防护措施,网站难免被追究和承担民事和行政法律责任。从行政监管的角度看,对此类安全防范措施以及相应的行政处罚也有相关法律法规规定:
公安部《互联网安全保护技术措施规定》(公安部令第82号)第七条 互联网服务提供者和联网使用单位应当落实以下互联网安全保护技术措施:(一)防范计算机病毒、网络入侵和攻击破坏等危害网络安全事项或者行为的技术措施;(二)重要数据库和系统主要设备的冗灾备份措施;(三)记录并留存用户登录和退出时间、主叫号码、账号、互联网地址或域名、系统维护日志的技术措施;(四)法律、法规和规章规定应当落实的其他安全保护技术措施。
1997年《计算机信息网络国际联网安全保护管理办法》对有下列行为之一的网站,可以处以罚款、停业整顿、吊销相关资质执照等方式的行政处罚:(一)未建立安全保护管理制度的; (二)未采取安全技术保护措施的;(三)未对网络用户进行安全教育和培训的。
因为很多网络用户的登录邮箱登录名和密码都是通用的,取得了一个网站的用户名和密码,就很可能逐一成功登录其他热门网站,甚至是盗用他人帐号进行网络消费、支付。当前情况下,网站经营者向其用户发送提醒邮件或者以其他方式提醒用户尽快修改密码,是非常必要的,以积极作为的形式有利于在盗用事件发生后洗清责任。对异常登录的提醒,腾讯QQ在这方面就做的比较好。
用户资料传播者的法律责任
金山毒霸产品经理韩某明知文件包属于流出的被泄漏用户资料文件,仍然将文件包上传到下载网站供他人下载,虽然已经删除,但违法恶意明显,已经涉嫌触犯刑法,罪名是非法获取公民个人信息罪,法律的规定如下:刑法修正案七:第二百五十三条之一:“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。 “窃取或者以其他方法非法获取上述信息,情节严重的,依照前款的规定处罚。 “单位犯前两款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。”
韩某所在公司是杀毒软件公司,职务是杀毒产品的研究和制作,韩某的行为不仅严重违背其职务要求,而且事实上进一步扩散了用户资料,行为实属恶劣,足以引起网络从业者警戒!
