法律约束力有限 数据安全维权难胜诉

xlysoft

携程数据因被删而瘫痪,支付宝因为施工挖断电缆而停运,大数据、云时代遇到简单的问题,最终却网络和信息都极其脆弱地失联了。这显示了网络安全在互联网时代至关重要,无论是技术上的安全还是法律规范上的保障,都缺一不可。
“此次携程数据库,记录了大量的客户信息,而支付宝更为严重,直接涉及到货币金融,好在是物理性断网而非数据入侵。因此,国家有必要进一步加强立法打击黑客等物理性破坏网络的行为,保障网络安全及用户权益。”北京盈科律师事务所高级合伙人吴旭华律师呼吁。
吴旭华分析,虽然网络的特性是去中心化,但是信息存储必须通过一定的物理方式进行,因此去中心化的网络形态反而成了黑客们自由驰骋、肆意破坏的挡箭牌。这在过程中,法律不能缺位,而且更加应当加强,尤其是目前网络监管侧重于内容,对技术性破坏囿于技术水平等因素尚无法进行全面惩处。
按照美国的法律,企业发生一次信息泄露事件就可能被罚得倾家荡产。“根据我国法律对用户隐私的侵权行为约束力有限,用户维权、寻求民事赔偿胜诉率不大,对损失评估难以确定金额,所以想要对隐私泄露的责任人追究还是非常困难的。虽然大规模信息泄露、数据安全事件频出,却从未见到企业负责人被问责。”辽宁亚太律师事务所董毅智律师称。
究竟该谁为用户数据安全负责?董毅智认为,按照现行法律,如果用户信息泄露,企业是需要承担一定的赔偿责任的。因为公司与用户之间具备合同关系,有保障用户信息安全的义务。如果本次事故是内部人员所为,说明携程网内部存在管理问题,没有尽到安全管理责任,应承担相应的民事责任,赔偿用户损失。如果本次事故是外部攻击造成,需要具体分析携程方面是否有采取基本的技术措施保障信息的安全来判定携程是否存在过错。
网路安全事件发生后,一个重要的问题就是,当企业发现数据泄露后该做什么,是否第一时间发出警报并采取措施直接体现了当事公司是否尽到了相关责任。在类似事件中,一些企业往往担心自身名誉受损,对数据泄露抱着遮遮掩掩的态度,这种心态正是网络攻击者所期望的局面,也是攻击者有恃无恐的原因之一。
网络安全犯罪如何定罪量刑?北京志霖律师事务所赵占领律师表示,无论是内部人员所为还是外部攻击,造成携程本次网络瘫痪的人员都涉嫌刑事犯罪。“违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定处罚。故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的,依照第一款的规定处罚。”
相关事件
携程“漏洞门”
2014年3月22日,乌云安全漏洞平台公布了关于“携程安全支付日历导致用户银行卡信息泄露”的相关信息。漏洞发现者指出,携程由于服务器未做到严格的安全配置,包括持卡人姓名、身份证号、持卡类别、卡号、CVV码等信息存在泄露可能,所有支付过程中的 调试信息面临安全风险。该漏洞被曝出后,引发公众担忧。漏洞事件曝光后首个交易日,携程股价也一度下跌近10%。
支付宝“宕机”90分钟
2015年5月27日下午17时左右,支付宝出现在大规模故障。据多个地区的网友用户反映,支付宝账号无法登录,更无法进行转付账。与此同时,打开余额宝后,不能显示余额,只能显示网络无法链接。随后,支付宝在新浪微博回应称:由于杭州市萧山区某地光纤被挖断,造成目前少部分用户无法使用支付宝,运营商以及工程师正在修复。(记者 姚毅婧)
相关法律/法规
——《中华人民共和国刑法》第二百八十六条:
破坏计算机信息系统罪。违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定处罚。故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的,依照第一款的规定处罚。
——《网络交易管理办法》第十八条规定:
网络商品经营者、有关服务经营者及其工作人员对收集的消费者个人信息或者经营者商业秘密的数据信息必须严格保密,不得泄露、出售或者非法向他人提供。网络商品经营者、有关服务经营者应当采取技术措施和其他必要措施,确保信息安全,防止信息泄露、丢失。在发生或者可能发生信息泄露、丢失的情况时,应当立即采取补救措施。
——《关于加强网络信息保护的决定》:
网络服务提供者和其他企业事业单位及其工作人员对在业务活动中收集的公民个人电子信息必须严格保密,不得泄露、篡改、毁损,不得出售或者非法向他人提供。