分析数据泄露事件背后的违法行为
近日,国内发生的一系列用户数据泄露事件引起了业界高度关注,大量互联网公司被卷入其中。此次泄露事件再一次敲响了互联网安全的警钟,其背后的法律问题也值得重视。一些个人或公司因法律意识淡薄,做出违法之举,如传播泄露数据而被质疑为黑客、利用泄露数据进行非法商业活动等,遭到警告与控诉。
CSDN邀请北京市盛峰律师事务所于国富主任律师,对此次互联网危机事件中某些用户和公司的行为进行法律解析,希望通过该文,进一步增强大家的法律意识。
CSDN记者:被黑客窃取的用户数据是否属于商业机密?被泄露公司应该负怎样的责任?
于国富:商业秘密是指不为公众所知悉的、采取了保密措施的、能为权利人带来经济利益的、具有实用性的技术信息和经营信息。各家网站的账号信息在被泄露之前都是不为公众知悉的,也都采取了保密措施,该账号数据是企业经营获利的关键数据并且具有实用性,因此,被黑客窃取的用户数据属于商业秘密。
被泄密的公司与被泄密账号的注册人都是黑客行为的受害者。但是,与此同时,被泄露公司是否应该承担责任也被广泛讨论。我认为,此次泄露事件如果确属黑客所为,那么,具体实施窃取数据信息的黑客显然是直接责任人。被泄密公司如果在被侵入过程中有失职等过错,应当承担与其过错相当的法律责任。如果被泄密公司并无过错,而是因为系统漏洞造成,则被泄密公司即使进行了必要的加密和安防措施也无法预防此类漏洞被利用,其不应承担法律责任。
CSDN记者:有些用户在获得被泄露数据后,可能出于不同目的,对该数据又进一步向外传播。这种传播行为是否合法?要承担怎样的法律责任?
于国富:根据《反不正当竞争法》第十条的规定,下列行为属于侵犯他人商业秘密的不正当竞争行为:
(1)以盗窃、利诱、胁迫或其它不正当手段获取的权利人的商业秘密;
(2)披露、使用或者允许他人使用以前项手段获取的权利人的商业秘密
(3)违反约定或者违反权利人保守商业秘密的要求,披露、使用或者允许他人使用其所掌握的权利人和商业秘密。
第三人明知或者应知前款所列违法行为,获取、使用或者披露他人的商业秘密,视为侵犯商业秘密。
根据上述法律规定,网民在得到黑客非法窃取的上述秘密信息后,擅自披露该商业秘密信息,也属于侵犯商业秘密的行为。现在有些网站以帮助网民查询其密码是否泄露为借口,将上述数据库信息放置于互联网站提供公开查询,就属于再次披露和使用行为,构成对他人商业秘密的侵犯。
根据《反不正当竞争法》和国家工商局《关于禁止侵犯商业秘密行为的若干规定》的规定,对侵犯商业秘密的不正当行为,工商行政管理机关应当责令停止违法行为,可以根据情节处以一万元以上二十万元以下的罚款,并可对侵权物品作如下处理:
(1)责令并监督侵权人将载有商业秘密的图纸、软件及其他有关资料返还权利人
(2)监督侵犯人销毁使用权利人商业秘密生产的、流入市场将会造成商业秘密公开的产品。但权利人同意收购、销售等其他处理方式的除外。
CSDN记者:一些资源下载类网站,在发现自身网站存在第三方泄露数据的下载链接后,并没有立刻加以阻止,而是任由用户下载。您怎么看这种行为?
于国富:根据侵权责任法36条第2款、第3款之规定:“网络用户利用网络服务实施侵权行为的,被侵权人有权通知网络服务提供者采取删除、屏蔽、断开链接等必要措施。网络服务提供者接到通知后未及时采取必要措施的,对损害的扩大部分与该网络用户承担连带责任。
网络服务提供者知道网络用户利用其网络服务侵害他人民事权益,未采取必要措施的,与该网络用户承担连带责任。”
根据上述法律规定,下载网站接到通知后应当立即删除屏蔽此类侵权内容。如果有证据证明下载站明知此类内容存在而拒绝采取必要措施避免内容扩散的,该网站要承担连带侵权责任。
CSDN记者:一些互联网公司利用第三方的泄露数据,提供诸如用户密码泄露查询功能的网页,他们的做法是否合法?
于国富:请参考对第二个问题的回答。
CSDN记者:某些公司利用泄露数据,向用户狂发垃圾邮件,是否有这方面的法律法规?
于国富:目前我国对于滥发垃圾邮件行为并无明确立法可以遵循。从实践工作来看,2002年中国互联网协会反垃圾邮件协调小组在北京正式成立,国内20多家邮件服务商首批参加了反垃圾邮件协调小组。中国互联网协会在《中国互联网协会反垃圾邮件规范》中是这样定义垃圾邮件的:
“本规范所称垃圾邮件,包括下述属性的电子邮件:
(一)收件人事先没有提出要求或者同意接收的广告、电子刊物、各种形式的宣传品等宣传性的电子邮件;
(二)收件人无法拒收的电子邮件;
(三)隐藏发件人身份、地址、标题等信息的电子邮件;
(四)含有虚假的信息源、发件人、路由等信息的电子邮件。”
目前我国垃圾邮件泛滥的现象比较普遍,与缺乏有效的立法有关。我们也多次呼吁针对性立法阻止垃圾邮件泛滥的状况持续,希望尽早得以实现。
CSDN记者:如何界定因个人数据泄露而造成的用户损失?责任归为何方?
于国富:我个人认为个人数据泄露造成的用户损失应该从两个方面来分析:
一方面,人身损害。主要包括用户个人可能因此受到的隐私泄露等无法用金钱衡量的与其人身相联系的损失。
另一方面,财产损失。主要包括用户的信用卡号码等与财产关联的信息泄露后受到财产侵害的损失,以及用户虚拟财产账户被侵入、控制、转移等侵害导致的财产损失。
无论上述哪一种损失,都需要由用户对损害后果的实际发生举证。
于国富简介:
于国富,中国人民大学法学硕士,北京市盛峰律师事务所主任律师,北京盛邦知识产权代理有限公司首席顾问,中华全国律师协会会员,中国互联网协会政策与资源委员会专家成员。先后办理过多起与互联网、知识产权有关的著名案件,并担任多家知名企业事业单位和政府机构的法律顾问。
【 发表评论0条 】 分享按钮
免责声明:本文仅代表作者个人观点,与世界朋友网无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。