//
问题的缘起
//

2015年6月,被告人张某某在登录浏览“魅力惠”购物网站时发现,通过修改该网站网购订单号可以查看到包含用户姓名、手机号、住址等内容的订单信息。为谋取利益,张某某委托他人针对上述网站漏洞编制批量扒取数据的恶意程序,在未经网站授权的情况下,进入该网站后台管理系统,从中非法获取客户订单信息12503条,通过QQ等联络方法将上述客户信息分数次卖给被告人姚某某,获利人民币5359元。被告人姚某某购得上述订单信息后,又在网络上分别加价倒卖从中牟利。

随后,上海市黄浦区人民检察院于2015年9月30日以涉嫌非法获取公民个人信息罪对张某某批准逮捕,于10月20日以证据不足对姚某某不批准逮捕,并要求公安机关补充侦查。此案提起公诉后,2016年3月29日,黄浦区人民法院以侵犯公民个人信息罪,判处张某某有期徒刑一年九个月,罚金人民币五万元,判处姚某某有期徒刑一年六个月,罚金人民币二万元。

如上所述,在的大数据时代,信息的收集和匹配成本越来越低。骇客非法入侵各大互联网/科技公司获取大量的用户信息并以此牟利的事情屡见不鲜。原来单个的、孤立的、可以公示的个人信息一旦被收集、提取和综合,就完全可以与特定的个人相匹配,从而形成某一特定个人详细准确的整体信息。此时,这些全方位、系统性的整体信息,就不再是单个的可以任意公示的个人信息,这些整体信息一旦被泄露扩散,任何人都将没有自己的私人空间,个人的隐私将遭受威胁。由此,基于合理事由掌握上述整体信息的互联网/科技公司不仅面临着防范骇客入侵的技术难题,还面临着骇客入侵用户信息遭受泄露后被用户起诉潜在的法律风险。

//
互联网信息侵权纠纷举证责任分配规则及司法实践
//

(一)适用“谁主张、谁举证”的一般举证责任规则

我国民诉上以“谁主张、谁举证”为一般举证原则,以列举特殊举证规则为例外。因此,在互联网/科技公司对用户信息泄露侵权纠纷作为普通侵权的一种,沿用该一般规则的情况下,有众多审判人员机械运用“谁主张、谁举证”的民事举证规则——网络用户在对自身损害的存在负举证责任的同时,也要对互联网/科技公司对该损害存在过错承担举证责任。在适用“谁主张、谁举证”规则处理互联网侵权纠纷的相关案件中,用户必须举证证明网络服务商对自身的财产损失、侵权损害结果存在过错,才可能让其损害赔偿的诉请得到法院支持①。

以林念平起诉四川航空公司侵犯个人信息案为例:2013年11月5日,林念平订购了一张由成都飞往昆明的机票,订票同时将林念平的手机号码告知四川航空公司,并于当日收到四川航空公司发送的成功出票信息及航班信息。11月9日,林念平的手机收到一个号码发送的信息,载明了林念平的姓名及详细的航班信息,并提示林念平所订购的航班因故将停飞,要求其通过拨打另一电话办理退票或改签手续。林念平另订了一张云南祥鹏航空公司成都飞往昆明的机票。后证实,林念平于2013年11月5日订购的航班并未取消。因此,林念平起诉四川航空公司,要求赔礼道歉和赔偿损失等相关费用②。

本案一审法院认为,林念平虽然举证证明了四川航空公司掌握、知晓其交易信息及该信息被泄露的客观事实,但并未举证证明该信息确系由四川航空公司泄露,应该承担举证不能的法律后果,因此驳回林念平的诉讼请求。

二审法院认为,林念平系远离证据材料、又缺乏必要的收集证据的条件与手段的普通消费者,四川航空公司收集证据的能力明显强于林念平,在举证中处于有利地位,在林念平已经尽自己的所能,将其客观上能够收集到的证据予以举示,证明了其信息在售票渠道被泄露的基本事实,要求林念平进一步举证,显然超出其举证能力,有违公平原则。从而撤销一审判决,支持林念平的主要诉讼请求,包括赔礼道歉、返还四川航空公司会员积分1000分,赔偿林念平5648元。

(二)依公平原则适用举证责任倒置

该原则仍然会以现行法律规定为适用要件,但与前述原则不同的是,该原则注重对现有法律规范权利的重构,对权利各要件进行综合分析,最后结合取证的难易,依据公平原则,在原被告之间进行举证责任分配。有些法官根据上述适用证据规则,还结合诚实信用原则,先估计受侵权的网络用户尽可能所做到的举证能力,其他证据无法取得后,再由网络服务商对该类用户利益被侵犯不存在过错进行举证。

以韩林以虚拟财产被盗为由诉上海盛大网络发展有限公司娱乐服务合同纠纷案为例:原告韩某诉被告上海某网络公司服务合同纠纷,该案判决中这样描述“被告上海盛大网络发展有限公司作为游戏运营商,掌握、控制所有玩家在该游戏中的活动数据,与普通玩家相比,被告由于直接掌控证据,故其具有更加优越的举证能力,应对玩家在游戏中的数据状态、变化及因由承担举证责任。”同时指出“对被告提出的原告虚拟物品被盗系黑客所为的主张,由于没有充足证据予以证明而不予认定③” 。

与“谁主张,谁举证”的原则相比,举证责任倒置处理看似使得互联网侵权纠纷中网络商家的责任增加不少,但考虑到网络服务主体在各方面都有绝对的优势,其还是在总体上仍然处于较主动的地位。

//
骇客攻击后如何应对用户信息遭受泄露后被用户起诉潜在的法律风险
//

(一)收集骇客入侵的电子证据

黑客非法侵入案件中电子证据应注意提取的几个重点方面:服务器日志、网站日志、用户文件、最近访问记录、浏览器记录、删除数据恢复,同时结合具体的案件实例对查找出黑客身份的过程进行了详细分析④。

1

 服务器日志分析

服务器日志记录服务器中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件,这些信息对了解服务器的运行状况很有帮助,还可以通过它寻找受到入侵攻击时,入侵者留下的蛛丝马迹,网站日志可以通过事件查看器查看。

2

网站日志提取

网站Web服务器接收处理请求以及运行错误等各种原始信息,包括用户访问的 IP、访问的具体页面、访问方法或发生的请求 / 提交事件、访问日期时间、端口、http 状态、浏览器、操作系统等项目。网站数据也许已被删除,但通过恢复提取仍可以看到部分日志数据。

3

 最近访问记录分析

最近访问记录着最近访问过的文档、程序,能了解到黑客作案时使用的文件。

4

浏览器记录分析

黑客在进行操作时还后续清理都需要用到工具,这些工具需要通过网页、网盘、FTP等方式传到受入侵的电脑上使用,因此会在浏览器中存有相关记录。

5

 删除数据恢复

骇客使用完工具后会对入侵痕迹进行清理,包括所清除使用的工具、操作的记录。恢复这些文件有助于了解嫌疑人做了什么,甚至可以发现与嫌疑人相关的重要信息。

从电子数据取证的角度出发,上述几种取证方式能够帮助对互联网公司查找出骇客的身份。若互联网/科技公司有证据证明是骇客的攻击才导致用户信息泄露,则互联网/科技公司泄露用户信息的不存在高度可能。

(二)做好内部管控

因骇客通过网络实施侵犯公民个人信息的犯罪,具有远程、非接触的状态下跨省区、多地域完成,作案手段技术含量高,涉案人员关系松散等特点,故在犯罪活动涉及的电子证据源中电脑、QQ、移动存储介质、手机、银行卡等证据的数据提取、固定、转化和验证等给案件取证工作极大的困难。因此互联网/科技公司对骇客入侵证据的获取并非易事,逮捕骇客更是难上加难了。故在实践中,大多数情况下互联网/科技公司陷于无法举证因 “骇客攻击”而泄露用户信息的困境。由此,互联网/科技公司做好内部管控、防范法律风险尤为重要。

1

建立健全公司用户信息保护制度

根据《网络安全法》第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:

(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;

 第四十条 网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。

第四十九条 网络运营者应当建立网络信息安全投诉、举报制度,公布投诉、举报方式等信息,及时受理并处理有关网络信息安全的投诉和举报。

网络运营者对网信部门和有关部门依法实施的监督检查,应当予以配合

根据《电信和互联网用户个人信息保护规定》第十六条规定,电信业务经营者、互联网信息服务提供者应当对用户个人信息保护情况每年至少进行一次自查,记录自查情况,及时消除自查中发现的安全隐患。

根据《信息安全技术个人信息安全规范》第10条第10.2款第a项规定,对个人信息控制者的要求包括: a) 建立个人信息安全影响评估制度,定期(至少每年一次)开展个人信息安全影响评估。

据此,互联网/科技公司应当建立健全如下制度:《网络安全管理制度及操作规程》、《网络安全投诉、举报及处理制度》、《用户信息保护制度》、《用户信息保护自查制度》、《个人信息安全影响评估制度》

2

规范用户信息保护的操作流程

根据《电信和互联网用户个人信息保护规定》第十三条规定,电信业务经营者、互联网信息服务提供者应当采取以下措施防止用户个人信息泄露、毁损、篡改或者丢失:

(一)确定各部门、岗位和分支机构的用户个人信息安全管理责任;

(二)建立用户个人信息收集、使用及其相关活动的工作流程和安全管理制度

根据《网络安全法》第十条规定,建设、运营网络或者通过网络提供服务,应当依照法律、行政法规的规定和国家标准的强制性要求,采取技术措施和其他必要措施,保障网络安全、稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性。

据此,互联网/科技公司应当建立数据安全事件(泄露、毁损、丢失)向主管部门报告机制、建立数据权限管理(代理人权限管理)、操作访问日志审计机制、建立用户信息批量导出、复制、销毁信息审查机制。

3

落实公司内部工作人员用户信息保护培训

根据《信息安全技术 公共及商用服务信息系统个人信息保护指南》第4.1.3条规定,个人信息管理者负责依照国家法律、法规和本指导性技术文件,规划、设计和建立信息系统个人信息处理流程;制定个人信息管理制度、落实个人信息管理责任;指定专门机构或人员负责机构内部的个人信息保护工作,接受个人信息主体的投诉与质询;制定个人信息保护的教育培训计划并组织落实;建立个人信息保护的内控机制,并对信息系统个人信息的安全状况、保护制度及措施的落实情况进行自查或委托独立测评机构进行测评。管控信息系统个人信息处理过程中的风险,对个人信息处理过程中可能出现的泄露、丢失、损坏、篡改、不当使用等事件制定预案;发现个人信息遭到泄漏、丢失、篡改后,及时采取应对措施,防止事件影响进一步扩大,并及时告知受影响的个人信息主体;发生重大事件的,及时向个人信息保护管理部门通报。

因此,互联网/科技公司应定期(至少每年一次)或在隐私政策发生重大变化时,对个人信息处理岗位 上的相关人员开展个人信息安全专业化培训和考核,确保相关人员熟练掌握隐私政策和相关规程,这是互联网/科技公司应尽之义务。

4

健全个人信息安全事件的应急处置和报告制度

根据《信息安全技术个人信息安全规范》第9.1条规定,发生个人信息安全事件后,个人信息控制者应根据应急响应预案进行以下处置: 

(1)记录事件内容,包括但不限于:发现事件的人员、时间、地点,涉及的个人信息及人数,发生事件的系统名称,对其他互联系统的影响,是否已联系执法机关或有关部门; 

(2)评估事件可能造成的影响,并采取必要措施控制事态,消除隐患; 

(3)按《国家网络安全事件应急预案》的有关规定及时上报,报告内容包括但不限于:涉及个人信息主体的类型、数量、内容、性质等总体情况,事件可能造成的影响,已采取或将要采取的处置措施,事件处置相关人员的联系方式; 

(4)按照本标准安全事件告知的要求实施安全事件的告知。 

(5)根据相关法律法规变化情况,以及事件处置情况,及时更新应急预案。 

因此,互联网/科技公司应健全个人信息安全事件的应急处置和报告制度,及时将事件相关情况以邮件、信函、电话、推送通知等方式告知受影响的个人信息主体。难以逐一告知个人信息主体时,应采取合理、有效的方式发布与公众有关的警示信息。


①池锦刚,余建华,吴海青.浅谈大数据时代民事侵权司法裁判的挑战及对策——以举证责任分配为视角[J].法制与经济,2018(04):191-194。

②参见四川省双流县人民法院(2014)双流民初字第 5341 号民事判决书。

③参见河南省开封市鼓楼区人民法院 《民事判决书》(2005)鼓民初字第 475 号。

赖世锋,王江海.黑客非法侵入案件的电子取证分析[J].警察技术,2018(01):61-62。


汉盛律师简介

  夏海波 律师/专利代理人

  上海汉盛律师事务所高级合伙人

  复旦大学法律硕士

  上海市律师协会互联网业务研究委员会委员


图片来源于网络,版权属原作者。如有异议,请联系我们第一时间处理。