K哥爬虫普法12亿公民信息泄露，仅判3年，个人信息是否为爬虫“禁区”？

Posted 2023-04-07 K哥爬虫

我国目前并未出台专门针对网络爬虫技术的法律规范，但在司法实践中，相关判决已屡见不鲜，K 哥特设了“K哥爬虫普法”专栏，本栏目通过对真实案例的分析，旨在提高广大爬虫工程师的法律意识，知晓如何合法合规利用爬虫技术，警钟长鸣，做一个守法、护法、有原则的技术人员。

案情介绍

出生于1983年12月的黎某是湖南省浏阳市人，从2012年开始做淘宝客生意，即通过做淘宝推广赚取淘宝客佣金，其关键就是需要大量的淘宝客户联系方式。

2017年7月，黎某在网上认识了逯某。双方谈起上述生意时，黎某提到，“很难获取大量的淘宝客户联系方式”。为此，逯(lù)某为其编了一个“微信加人”软件，并且没收钱。“这个软件使用起来非常方便，也利于淘宝客生意。我觉得他有很好的网络编程技术，于是就承诺逯某，待成立了公司，算逯某技术入股。”黎某供述称。

2019年3月，黎某在湖南省浏阳市成立了浏阳市泰创网络科技有限公司（自然人独资），该公司主要做“淘宝联盟”里的淘宝返利，主要用一些手机号，加对方微信好友进行推广淘宝商品，让用户领取“淘宝联盟”优惠券，对方使用优惠券成功购买商品，该公司会获得返利。逯某受雇于黎某，作为公司技术员，每月工资一万元。自2019年11月，逯某自写软件“淘评评”。该软件可以通过淘宝商品详细信息接口和淘宝信息分享接口，爬取淘宝客户的淘宝数字 ID 和淘宝昵称，通过淘宝分享接口爬取淘宝客户手机号信息，并将其中淘宝客户的手机号码提供给黎某，用于浏阳市泰创网络科技有限公司用于经营活动。

黎某称，他在收到淘宝客户手机号码之后，会把这些信息数据导入“微信加人”软件，加微信好友成功后，由浏阳市泰创网络科技有限公司的员工负责发送广告链接，淘宝用户在该公司的广告群里购买商品，该公司获得佣金。

该公司一位工作人员王某透露，该公司约有 1100 个微信群，每个微信群最多有 200 人，最少约 90 人。其主营业务就是帮淘宝商家带货，从而获得淘宝网佣金和商家服务费。至于其淘宝客户来源，该人员称“不清楚”。“我们建好微信群后，将群二维码提供给老板黎某，然后就有人自动进群。”王某称。

逯某盗取数据的方式非常激进：仅在2020年7月6日-7月13日这七天里，平均每天爬取数量 500 万，爬取敏感字段量巨大，被淘宝公司风控部门发现。

该公司自2019年11月份至2020年7月份利用该信息经营共获利 340187.68 元。

经司法鉴定，逯某通过其开发的软件爬取淘宝客户的数字 ID、淘宝昵称、手机号码等淘宝客户信息共计 1180738048 条（即：11.8 亿条），逯某将其爬取信息中的淘宝客户手机号码通过微信文件的形式发送给黎某使用共计 19712611 条（即：1971 万条）。

法院观点

法律规定：

• 《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第一条

  刑法第二百五十三条之一规定的“公民个人信息”是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等；

• 《检察机关办理侵犯公民个人信息案件指引》

  对“公民个人信息”的审查认定根据《解释》的规定，公民个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。经过处理无法识别特定自然人且不能复原的信息，虽然也可能反映自然人活动情况，但与特定自然人无直接关联，不属于公民个人信息的范畴。

最高院法官的论述：

在大数据时代，从理论上而言，任何信息与其他足够多的信息相结合，都可以识别特定自然人身份或者反映特定自然人活动情况。因此，对于不能单独识别特定自然人身份或者反映特定自然人活动情况的部分关联信息，究竟哪些可以纳入“公民个人信息”的范畴，必然会存在较大的认识分歧。 在司法适用中具体判断部分关联信息是否可以认定为“公民个人信息”，应注意以下几点：

（1）需要结合的其他信息的程度。 如果涉案信息本身与特定自然人的身份、活动情况关联程度高，需要结合的其他信息相对较少，则认定为“公民个人信息”的可能性较大；反之，如果需要结合的其他信息过多，则认定为“公民个人信息”的可能性较小。

（2）信息本身的重要程度。 如果涉案的信息与人身安全财产安全密切相关，敏感程度较高，则对于此类信息在认定是否属于“公民个人信息”时，可以采取相对从宽的标准。

（3）行为人主观目的。 如果行为人主观上获取涉案信息就不需要识别特定自然人身份或者反映特定自然人活动情况，则此类部分关联信息原则上不宜认定为“公民个人信息”。

判决情况

逯某受雇于黎某，二人违反国家规定，非法获取公民个人信息，情节特别严重，其行为均已构成侵犯公民个人信息罪。公诉机关指控罪名成立。且系共同犯罪，逯某、黎某有坦白情节，且认罪认罚，对其均可从轻处罚。

综合其犯罪情节及社会危害性，依照《中华人民共和国刑法》第二百五十三条之一、第二十五条第一款、第六十七条第三款、第五十二条、第五十三条、第六十四条之规定，判决如下：

一、被告人黎某犯侵犯公民个人信息罪，判处有期徒刑三年六个月，并处罚金人民币三十五万元；

二、被告人逯某犯侵犯公民个人信息罪，判处有期徒刑三年三个月，并处罚金人民币十万元。；

三、被告人黎某、逯某违法所得依法继续予以追缴上缴国库；

四、依法扣押的作案工具逯某电脑主机5台、电脑显示器3台和手机5个，由扣押机关依法处理。

判决文书

（2021）豫1403刑初78号

案例分析

就最高院观点而言，“淘宝昵称”、“淘宝账号”不应该认定为为公民个人信息，虽然账号是不可重复的，但账号并非身份证号码，每个人都可以有多个账号，且并非所有账号都绑定身份信息，仅有账号很难识别到特定自然人。《解释》第一条中虽然列举了“账号密码”为公民个人信息，但应当理解为一组账号和密码，而不是单独的账号或者单独的密码。就本案而言，应当主张在12亿条信息中心剔除“淘宝账号”、“淘宝昵称”两组信息。

如果逯某所述属实，其是通过淘宝分享接口爬取到的淘宝客户手机号信息，证明彼时淘宝的信息安全保护是做的很不到位的，并且缺乏相关意识。近年来信息泄露问题严重，快递信息、防疫信息等都应该引起有关部门及企业的警惕，这方面的安全防护是重中之重。

关于个人隐私保护，这里给到以下建议：

• 保护个人账号密码：设置一个复杂的密码，并且不要把密码告诉任何人。同时，使用密码管理器来妥善管理密码；

• 注意公共 Wi-Fi 的使用：在公共场所使用 Wi-Fi 时，要注意安全，不要在不安全的 Wi-Fi 环境下进行敏感操作，如登录银行账户等；

• 谨慎分享个人信息：不要随意把个人信息分享给陌生人，不要在社交媒体上公开分享个人信息，在网上填写信息的时候，能填虚拟的地方就尽量不要写真实的信息；

• 定期检查账户安全设置：检查并设置账户的安全设置，如双重验证、密保问题等，确保账户安全；

• 不要轻易点击陌生链接：不要随意点击来自不明来源的链接，以免被钓鱼网站欺骗；

• 不要随意下载陌生应用程序：不要轻易下载不知名的应用程序，以免个人信息被窃取；

• 定期清理浏览器缓存：定期清理浏览器缓存和历史记录，以免个人信息被他人利用。

当处理个人隐私数据时，爬虫工程师们需要特别注意以下几点：

• 遵守相关法律法规：必须严格遵守国家的法律法规，包括《个人信息保护法》等相关规定；
• 尊重个人隐私：尊重个人隐私是一种道德和职业操守。在爬取个人数据时，必须确保数据来源合法且已经获得了用户的授权同意，不得擅自窃取、利用、出售或泄露用户的隐私信息；
• 加强数据安全管理：应该加强数据安全管理，包括加密、脱敏、访问日志记录、定期审查等措施，以确保数据的安全；
• 及时删除个人数据：在用户请求删除个人数据或者个人数据不再需要的情况下，应及时删除个人数据，以保障用户隐私；
• 审查第三方合作伙伴：在与第三方合作时，应该审查合作伙伴的数据保护政策和安全措施，确保他们的数据处理流程符合法律法规要求，并且能够保障用户的隐私安全。

个人隐私数据不能碰！数据来源是否合法是爬虫活动的前提，不要因为一时的利益，抱有侥幸心理，常在河边走哪有不湿鞋，银手铐戴到手上的那一刻才知道后悔，就什么都晚了，愿各位警钟长鸣。

Apache Struts漏洞导致1.43亿美国公民信息被泄

E安全9月11日讯 美国征信企业Equifax在9月7号发表声明称被黑客窃取了1.43亿美国用户的个人信息记录，并表示该黑客是利用美国网站应用的漏洞获取了这些文件。

据William Baird&Co.一份关于数据泄露的报告透露，该漏洞存在于名为Apache Struts的开源软件包中，是用Java编写的创建Web应用的框架。截至2017年，Struts中已发现多个高危漏洞，最近的一个高危漏洞则是在9月4号被公布。现在，还不清楚Baird的报告中所指的漏洞是哪一个。

财富500强中有65%的企业受影响

9月4号发现的漏洞从2008年开始就一直存在于Struts中，该漏洞由lgtm.com的安全研究员汇报，编号为CVE-2017-9805，漏洞危害程度为高危（Critical）。当用户使用带有XStream程序的Struts REST插件来处理XML payloads时，可能会遭到远程代码执行攻击。

在lgtm.com网站的报告中，发现该漏洞的安全研究员就警告称许多可公开访问的Web应用程序都在使用Struts，例如航班订票系统和网上银行系统，这种情况下，黑客通过Web浏览器就能加以利用。

报告中说：“财富100强公司中，至少有65的公司在使用这种用Struts框架搭建的Web应用，比如Lockheed Martin, IRS，花旗银行，沃达丰，维珍航空，读者文摘，Office Depot和SHOWTIME等都在用这一框架研发了应用。这足以说明风险分布的范围之广。”

该漏洞对REST插件的影响最大，REST是开发者用来控制Web请求的插件，比如将数据从用户填写的表单发送到服务器。该漏洞关系到Struts如何解析这类数据并将其转换成Java编程语言能读取的信息。一旦漏洞被成功利用，黑客就可能在数据后隐藏恶意代码，使Struts转换数据时执行这些恶意代码。

这意味着入侵者可以轻松地把恶意软件植入Web服务器中，甚至在不被检测到的情况下就窃取或删除敏感数据，或是用勒索软件感染电脑，亦或是更糟。

Lgtm.com网站的一名研究人员Man Yue Mo认为，使用Struts的企业应该立刻升级组件。受影响用户可将软件升级到修复了漏洞的最新版本。研究人员表示暂未发现该对漏洞的利用在互联网，黑市或其他地方有扩散。

Redmonk行业分析师芬坦·瑞恩表示，Struts通常用于维护或加强现有应用程序，根据企业使用Struts的情况统计得出，财富500强中有65%的企业潜在受该漏洞影响。

Apache Struts关于Equifax被入侵的官方声明

9月9日，Apache Struts发布了一份关于Equifax被入侵的官方声明，以下是E安全（微信公众号：E安全）编译的声明全文：

Apache Struts 项目管理委员会愿意就Equifax数据泄露做出声明，因为这与Apache Struts Web框架有关，而且我们在知晓Equifax遭受了数据泄露，且盗取数据者是利用Apache Struts Web框架后，感到非常遗憾。目前，尚不清楚被利用的是哪一个Struts漏洞。Quartz.com网站上曾发表一篇文章，称与CVE-2017-9805漏洞有关，而这个漏洞是在9月4号公布的，随后Apache便发布了可修复漏洞的Struts框架新升级。然而，该安全漏洞早在7月就以被检测到，这意味着要么是Equifax服务器上存在未被及时修复的补丁，要么是攻击者利用了零日漏洞。如果漏洞确由CVE-2017-9805引起，那可能是黑客在利用该漏洞时，它还只是个零日漏洞。因为这篇文章称CVE-2017-9805已经存在九年时间。

作为Apache Struts的项目管理委员会想表明的是，我们的研发团队为了保障我们产品的安全付出了巨大努力，而且会在第一时间解决问题。按照Apache 安全政策的要求，一旦我们发现可能存在的安全问题，我们就会先私下与报告方合作解决问题，并升级产品以修复漏洞。然后才会将漏洞以及修复的方式告知大众。即便漏洞是我们已经知道的，我们也会将信息拦截若干周，以便泄露事件在全球爆发前他们有足够的时间修复自己的软件。然而，由于漏洞检测和漏洞的利用已经成了专门的产业，通过对补丁做逆向工程或是扫描未知漏洞，是很有可能在我们完全曝光攻击向量之前就出现攻击事件的。

考虑这篇文章中说CVE-2017-9805是一个存在9年的漏洞，读者就必须理解检测一个存在9年的漏洞和了解一个存在若干年的漏洞并非同一个概念。如果是后者，安全团队就不得不花大量精力向公众解释为何没能早一点提供补丁。但这并非现在的情况——我们也只是最近才被告知某段代码可能存在什么问题，而后我们便尽快做了修复。我们所见到的是一起常见的软件工程案例——写代码的人是为了实现某种功能，可能无法面面俱到，难免留下漏洞。一旦理解了这一层，我们就希望所有其他的库和框架持有者也尽快修复漏洞。在CVE-2017-9805的案例中，我们就实现了这一目标。

我们对使用Apache Struts以及其他在其软件产品和服务中存在任何开源或封闭式库的企业和个人给出如下几点建议：

1.了解你的软件中使用的是哪个框架和库，分别是什么版本。随时关注该产品和版本的安全公告。

2.创建快速修复进程，一旦出于安全原因需要更新框架或库，可确保及时更新。最好是在几小时或几天之内，而不是几周或几个月的时间。我们所知的大多数泄露事故都是由于软件的漏洞已经公开数月，但未及时更新补丁而造成的。

3.任何复杂的软件都包含漏洞。不要在假定软件无漏洞的基础上设置安全策略。

4.设置安全分层。在面向公众层（如Apache Struts框架）之后再额外设置安全层是可取之策。这样即便是在面向公众的层级发生入侵，也不足以让黑客有能力进入所有后端信息资源。

5.对非常规进入公共Web资源的访问设置非常规访问模式监控，目前，有多种开源和收费产品可以检测这种访问模式并发出警告。对于特别倚重Web服务的企业，我们推荐这种监控。

以上几点有助于阻止类似Equifax所经历的入侵事件。

René Gielen
Apache Struts副总裁

相关解决方案

CVE-2017-9805解决方案：

• 在不使用时删除Struts REST插件，或仅限于服务器普通页面和JSONs：
  

• 限制服务器端扩展类型，删除XML支持。

• 建议升级到Struts 2.5.13！

https://www.easyaq.com/news/642051193.shtml

相关阅读：

• 
  

• 
  

• 
  

• 
  

• 
  

• 
  

▼点击“阅读原文” 查看更多精彩内容