網易賬號公開叫賣怎么回事？網易賬號為什么會被公開叫賣事件始末（2）

內鬼操作？

但在張力看來，在不考慮黑客因素下，公司內部人員數據泄露尤為普遍。

這種說法也得到王怡贊同。他說，類似金融產品明細、用戶賬戶等安全級別相對較低的信息，少部分信息可以通過爬蟲程序直接抓取。但從技術的角度看，大部分平臺是沒有辦法通過爬蟲軟件獲取用戶電話、賬戶和其他明細。

王怡稱，爬蟲軟件是模擬人的操作，直接登錄抓取頁面等常規操作。如果互聯網上沒有這些數據，那就需要從公司后臺數據庫直接抓取信息，這是沒法使用爬蟲程序的。

在王怡看來，通過爬蟲軟件就能夠獲得數據，說明安全級別并不高，如果直接獲得安全級別高的數據，那就需要一定技術。

王怡表示，一般而言，獲取公司數據庫內部數據有三種方法，這也是市面上最常使用的方式。一是對方平臺服務器的安全措施等級低，技術手段進入對方系統，獲取操作權限。二是黑客通過滲透測試工具，通過軟件漏洞進行攻擊。三是內外勾結，公司內部人進行信息販賣。

實際上，這已不是網易郵箱出事。

對此，網易免費郵箱當時稱，用戶對信息安全的重視，網易感同身受，并一向注重對用戶隱私的保護。網易郵箱一天處理約2億封郵件，不存在任何個人參與窺探用戶隱私的可能性。網易現在和將來都不存在、也不會容忍收集用戶隱私用于商業目的的行為。同時，網易郵箱將對銷售部門進行規范，避免因夸大宣傳，引起誤導。

華為資深工程師張合表示，如果網易出現郵箱賬號泄露，不管是否參與交易，網易都應承擔責任，“保護用戶的數據隱私是平臺最起碼的責任。”

“網易應該承擔責任。”張宏也說，網絡運營者應當采取技術措施和其他必要措施，確保其收集的個人信息安全，防止信息泄露、毀損、丟失。在發生或者可能發生個人信息泄露、毀損、丟失的時候，應當立即采取補救措施。但是，這次網易郵箱賬號泄露，尚未證實由網易內部人士所為。

買賣數據不違法？

在賣家李娜看來，通過爬蟲技術獲取網易郵箱并進行交易不違法，“爬蟲程序是我男朋友做的，爬取的是網絡上公開信息，不涉及違法行為。”

“爬取數據的合法性其實很窄，只有不妨害網站的正常運行、嚴格遵守網站設置的robots協議，不強行突破網站的反爬措施，這才是真正合法的數據爬取行為。”張宏表示，從法律角度來看，雖然數據的爬取是從公開數據當中進行數據抽查，但如果使用不當，也會突破法律的邊緣。

《網絡安全法》第四十二條規定，網絡運營者不得泄露、篡改、毀損其收集的個人信息；未經被收集者同意，不得向他人提供個人信息。但是，經過處理無法識別特定個人且不能復原的除外。網絡運營者應當采取技術措施和其他必要措施，確保其收集的個人信息安全，防止信息泄露、毀損、丟失。在發生或者可能發生個人信息泄露、毀損、丟失的時候，應當立即采取補救措施，按照規定及時告知用戶并向有關主管部門報告。

另外，《電信和互聯網用戶個人信息保護規定》第十條規定，電信業務經營者、互聯網信息服務提供者及其工作人員對在提供服務過程中收集、使用的用戶個人信息應當嚴格保密，不得泄露、篡改或者毀損，不得出售或者非法向他人提供。

2017年6月1日，《“兩高”關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》規定了較低的入刑門檻——該司法解釋將個人信息根據敏感度的高低分為三檔，非法出售的數量分別達到50條、500條、5000條，或違法所得達5000元以上即可定罪，如果是在履行職責、提供服務過程中“監守自盜”的，標準減半。

“這說明，所有的條件都必須是共同存在，才可以保證最終的合法性，但凡有一個條件違反了，就是違法行為。據我所知，大量程序員在從事數據的爬取過程中，或多或少都有違法的嫌疑。”張宏說。

在張宏看來，企業若要實現數據合法獲取，必須滿足兩個條件。一是互聯網企業只能收集其提供服務所必需的個人信息，非必需信息一概不得收集；二是企業必須明示收集、使用的目的、方式和范圍，并征得用戶的同意，最常見的形式是平時注冊賬號前需要打勾的“隱私協議”。

如何保護數據隱私？

近年來，在互聯網市場快速成長的背景下，個人信息保護不力的事件屢見不鮮。

3月27日，上海市消保委發布了針對39款網購、旅游、生活類常用手機APP涉及個人信息權限的評測結果。結果顯示，25款APP存在數據問題，尤其關于“日歷”權限的過度申請和隨意授權更令人擔憂。

這也就是說，這些APP申請了發送短信、錄音、撥打電話、讀取聯系人、監控外撥電話、重新設置外撥電話的路徑、讀取通話記錄等敏感權限，卻未在應用中進行使用。

張合向人民網創投頻道表示，在市場中，侵權行為俯拾即是，有顯性的，也有隱性的。

所謂顯性，就是數據泄露已經影響市民生活。商家通過電話、郵件等方式對市民狂轟濫炸發送廣告，甚至開展詐騙行為。

所謂的隱形數據泄露最簡單也是最常見的表現形式是，當你在搜索軟件進行搜索的時候，關于你的數據已經傳播至其他軟件公司，任何公司都能夠根據用戶需求，提供相應產品，然后以機票、新聞、商戶等推薦形式展現。

“這是令人不寒而栗的。”張合說，人的記憶并不可靠，每個人都對自己沒有絕對的理解，但是互聯網數據是固定的，互聯網會比你更了解你自己，如果不加以控制，任何人都沒有隱私。

在我國，隨著《網絡安全法》及《“兩高”關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》等政策的實施，配合既有的法律、法規、規章，已形成刑事、行政、民事三位一體的法律保護體系。

張宏認為，從懲戒力度上看，在我國侵犯隱私的行為入刑門檻低、刑罰重，但行政處罰力度不及歐盟，民事訴訟也較難取得大額賠償；相較之下，歐洲更為推崇行政監管，美國則倚重民事救濟，體現了各國政府選擇治理手段上的不同側重。