大数据时代下电商企业的信息安全保护法律风险

来源: 促进会   2014年06月24日 15:50:12

  从互联网之父“蒂姆·伯纳斯-李(Tim Berners-Lee)”发明英特网使得数以亿计的人能够利用浩瀚的网络资源,再从PC互联网到移动互联网时代,这几十年来人类利用互联网这个工具不断颠覆着传统商业模式。但如果对这些数据运用和保护不当将面临巨大的法律风险,甚至关系到电商企业的存亡,携程网的“隐私泄露门”事件已经将其推到了风口浪尖。笔者结合自己的办案实践来探讨电商企业在大数据时代下所应承担的法律责任,以及如何防信息泄露的法律风险,希望对电商行业的健康发展提供一定的帮助。

 

  以三起信息泄露事件看信息泄露的危害性

  第一起:2013年11月27日,从事电商工作的张建因“涉嫌非法获取公民个人信息罪”,而被杭州市公安局西湖分局刑事拘留,张建案发,由李明(音)牵出。李明系阿里巴巴旗下支付宝的前技术员工,其利用工作之便,在2010年分多次在公司后台下载了支付宝用户的资料,资料内容超20G。李明伙同两位同伙,随后将用户信息多次出售予电商公司、数据公司。[1]

  第二起:2013年下半年,一份名为“2000万开房数据”的资料被网友疯狂下载,引发一场关于隐私和信任的危机。2014年2月14日上午,“2000万开房信息泄露事件”首例诉讼在浦东法院进行了庭前的证据交换。原告王金龙起诉汉庭星空(上海)酒店管理有限公司和浙江慧达驿站网络有限公司,并要求赔偿20万元。笔者有幸作为被告浙江慧达驿站网络有限公司的代理人参与了本案的诉讼活动。

  第三起:2014年3月22日,国内第三方漏洞报告平台乌云网发布的网络安全报告指出:携程安全支付日志可以遍历下载,导致大量用户的银行卡信息泄露(包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin)。一时间,携程旅行网遭到了用户的“口诛笔伐”。

 

  这三起事件所呈现出数据泄露的危害性主要是三个方面:

  1、广大公民的个人隐私及财产信息安全受到严重侵害。

  携程事件中CVV码信息的泄露有业内人士指出“交易网站存CVV相当于小时工偷偷配了你家的钥匙,同时,他还知道关于你家所有的信息。”[2]这意味着如果这些信息被别有用心的人利用,你银行里的钱可能就被无声无息地划走了,哪个人听到这样的信息不背上发凉?2000万开房信息的泄露,用浙江大学新闻传播学院的网络传播学者副教授汪凯在评论支付宝“内鬼”泄露用户数据事件的话来说:“有谁愿意自己何年何月何日何时花了多少钱偷偷买了一盒事后紧急避孕药被天下皆知呢?”[3]个人隐私的泄露好比“皇帝的新装”中的故事,你自以为穿着衣服,但天下人看见的你是赤身裸体的,当你发现事实真相时你会如何地无地自容,你的人格受到了彻底的侮辱。

  2、电商企业的信誉度下降,对企业经营造成严重损害。

  携程受该事件影响,携程股价在周一开盘前的跌幅达到了11%。而汉庭酒店已经面临诉讼,如果一旦败诉,其不仅仅是对原告王金龙的个人的赔偿问题,面临的是所有数据库中的汉庭客户。笔者假设法院判决汉庭向王金龙赔偿100元,而2000万数据库中有200万是汉庭的数据,这200万人都效仿王金龙来诉讼,汉庭付出的赔偿代价就是2亿,简单的讲就是汉庭对数据库中的客户都提供了免费住宿。如果说诉讼赔偿是大出血,而客户的流失是内出血,是温水煮青蛙。而对于携程和汉庭的对手来说,一方面很庆幸这些漏洞不是发生在自己身上,另一方面也开始准备接收从携程和汉庭流失的用户了。因此,信息泄露事件也可能成为竞争对手打击自己的手段。

  3、造成电商行业的信任危机,对互联网模式创新带来打击

  电商行业发展之初的困境就是人们对于这种商业模式的交易信赖度和认可度,每个人第一次接触网络购物最大的心理障碍是对卖家诚信度的怀疑。经过这几年的发展,电商企业不断从技术上和模式上为人们排除了这种障碍,使得电商行业蓬勃发展。但是,信息安全保护的问题正在打击着人们对整个电商行业的信赖度。如果无法保证用户资金安全,还怎么会有用户将资金放在第三方交易平台中,支付平台没有了,交易又到哪里去。

 

  如何防范信息泄露的法律风险

  根据《计算机信息系统安全保护条例》、《信息安全等级保护管理办法》及《关于开展全国重要信息系统安全等级保护定级工作的通知》公信安[2007]861号,我国对计算机信息系统安全实行等级保护,不同的信息安全等级实行不同的保护措施,由系统的运营和使用单位自主定级和自主保护,对二级以上信息系统实行备案管理,符合等级保护要求的由公安机关给予备案证明。

 

  笔者建议电商企业应当根据《信息安全等级保护管理办法》第12、13条的规定,从管理制度和技术要求两个方面来避免信息泄露的风险:

  1、技术方面

  在信息系统建设过程中,运营、使用单位应当按照《计算机信息系统安全保护等级划分准则》(GB17859-1999)、《信息系统安全等级保护基本要求》等技术标准,参照《信息安全技术信息系统通用安全技术要求》(GB/T20271-2006)、《信息安全技术网络基础安全技术要求》(GB/T20270-2006)、《信息安全技术操作系统安全技术要求》(GB/T20272-2006)、《信息安全技术数据库管理系统安全技术要求》(GB/T20273-2006)、《信息安全技术服务器技术要求》、《信息安全技术终端计算机系统安全等级技术要求》(GA/T671-2006)等技术标准同步建设符合该等级要求的信息安全设施。

 

  2、管理制度

  运营、使用单位应当参照《信息安全技术信息系统安全管理要求》(GB/T20269-2006)、《信息安全技术信息系统安全工程管理要求》(GB/T20282-2006)、《信息系统安全等级保护基本要求》等管理规范,制定并落实符合本系统安全保护等级要求的安全管理制度。

 

Copyright © 1999-2013 Zjol. All Rights Reserved 浙江在线版权所有