個人數據泄露問題及其規避
——以2019年網絡爬蟲事件為例

蘇麗潔

1 學術回顧與研究綜述

本文文獻研究主要利用CNKI 全文數據庫，通過關鍵詞“數據泄露”搜索結果，時間限制為2018年至2020 年，檢索出共338 篇文獻，其中有核心期刊33 篇；繼而在搜索結果中檢索“政府”一詞，得出共有22 篇文獻，其中與“政府開放數據”相關文獻共3 篇。從近兩年338 篇相關文獻來看，其中被引用文獻共259 篇，被核心期刊引用共44 篇。

通過對這些文獻進行閱讀發現，近兩年我國對數據泄露的研究主要集中于數據泄露反思和解決辦法兩個方面。王春偉［1］研究了央企防范數據的辦法，指出數據防范的兩大困難，分別是管理者的疏忽和技術缺陷；茍洪景［2］以Facebook 數據泄露事件為例，指出了數據泄露的原因，首先是網絡媒體和信息技術為數據泄露提供條件，其次是個人數據價值不斷升高，一切網絡活動痕跡都可能成為有價值的數據，并給媒體創造經濟利益，一旦被不法分子盜取利用，給個人帶來極大傷害；張志成［3］指出數據泄露是政府，企業和個人多方技術作用的結果，在社交媒體時代，保護個人信息數據可利用區塊鏈技術；王澤群［4］指出政府在個人數據保護中應重塑職能；數據泄露的持續發展引起政府的極大重視，不僅對個人數據的保護，政府開放數據的保護同樣重要。侯曉麗［5］在研究政府開放數據保護中指出，政府應建立完善定密制度，加強對工作人員的管理與限制，更好的保護數據信息；張素華［6］認為通過行為規制模式保護數據可以更好的防范風險，數據保護應由個人控制轉向社會控制，將靜態的隱私保護轉向動態的隱私保護。

除此之外，不少學者，從立法角度尋找數據保護辦法。趙淑鈺［7］認為我國數據泄露時常見的仍是網絡運營者的自我補救，我國應當借鑒國外數據泄露通知制度①內容，保障《網絡安全法》的實施，同時相關政府部門能夠有法所依，對數據泄露現象迅速做出反應，減少損失；王海波［8］則指出當前我國數據保護制度尚不完善，政府相關部門應提高對相關法律法規建設的重視度；何玉顏［9］通過對歐盟《通用數據保護條例》分析，提出我國應當學習國外法律條例，統一個人數據保護的原則性問題，對各行各業數據保護制定最低標準。

總體來看，數據泄露行為的反思與保護是近兩年研究熱點，研究學者大多利用案例分析法進行研究，并且基本都認識到數據泄露下政府監管的重要性和我國數據保護立法空白現象。本文將以2019年網絡爬蟲風波事件為例，展現我國政府在此次數據泄露事件中的處理辦法。

2 數據買賣與暴力催收問題

網絡爬蟲（又稱為網頁蜘蛛，網絡機器人，在FOAF 社區中間，更經常的稱為網頁追逐者），是一種按照一定的規則，自動地抓取萬維網信息的程序或者腳本。它是指這樣的一類程序，他們可以自動鏈接到互聯網站點，并讀取網頁中的內容或存放在網絡上各種信息，并按照某種策略對目標信息進行采集（如對某個網站的頁面進行全部讀取）［10］。

早在2017 年，致力于為全球人工智能企業提供數據獲取及數據產品服務的數據公司數據堂，由于大量售賣市民的私人信息，在2019 年2 月份時，對其作出了判決，相關八人，最嚴重的判罰5 年有期徒刑，并罰款310 萬元人民幣②。在2019 年4 月22 日，巧達科技法人代表王某某等36 人因非法獲取計算機信息系統數據，被依法批準逮捕。該公司在未經授權的情況下，通過大量代理IP 地址、偽造技術設備等手段，大量惡意竊取放在服務器上的用戶數據③。

2019 年中秋以來，杭州市公安加大對數據公司的查處力度，該次調查行動起源于貸款催收公司，通過貸款人個人信息進行暴力催收導致自殺事件。2019 年9 月6 日，魔蝎數據公司高管被警方帶走，引起業內波動；9 月11 日，公信寶運營方杭州存信數據科技有限公司被警方查封；同年10 月21 日，港股上市公司51 信用卡因外包催收公司暴力催收尋釁滋事被杭州警方突擊查處，將此次數據泄露風波推向高潮④。網絡爬蟲的合法性受到質疑。綜合此次事件得知，當抓取的數據是真實的數據并且遵守使用規則的情況下，是允許的；但遇見原創數據時，受版權限制不能轉載，否則會造成嚴重的侵權行為。

2.1 數據泄露與非法買賣

據安全情報供應商RBS 顯示⑤，截至2019 年9 月30 日，全球披露的數據泄漏事件共有5183起，較2018 年上漲了33%；泄露的數據數量達到了79.95 億條，較2018 年上漲了117%。從泄露的內容來看，53%的內容是個人基本信息，其次是用戶個人的賬號信息。由此可看，數據泄露事件在全球范圍內一直在發生，這也展現了數據泄露是亟待解決的問題。

此次爬蟲風波的核心原因是數據泄露和非法買賣。在數據保護法中，數據大致分為可以采集的數據和禁止采集的數據［11］。作為可以采集的數據指的是不涉及個人隱私的數據或經個人同意授權的數據；禁止采集的數據是涉及個人隱私數據或商業機密的數據。眾多數據公司被查處的原因之一是利用網絡爬蟲技術從網頁上非法獲取個人隱私數據。例如，信川科技下的核心產品數聚魔盒通過數據采集工具幫助客戶采集信息，利用爬蟲技術獲取各類用戶個人數據，但在爬取個人信息前是否征求用戶個人同意不得而知，所以在此次風波中也不得不暫停相關服務。

網絡爬蟲爬取數據來源是多樣的，數據來源主要有一下幾個方面：企業產生的用戶數據，第三放數據購買平臺，政府開放數據和網頁數據。無論數據來自何處，利用爬蟲技術進行爬取數據信息時，涉及個人隱私的數據應當征求當事人同意。此次被調查的數據公司絕大部分對外提供數據分析服務，對購買服務人員收取相應的服務費，但存在風險，且受技術程度的限制，同時不確定數據信息的合法性，時刻在法律邊緣游走。非法獲取個人數據信息是其一，倒賣個人數據是其二，兩者造成大數據風控公司走向風口浪尖的主要原因。例如，2015 年11 月至2016 年5 月，元光公司為了提高本公司的App 軟件“車來了”的用戶量和信息查詢的準確度，指使員工利用爬蟲技術爬取谷米公司“酷米客”App的實時公交數據信息，用于自己公司的軟件并對外提供公眾查詢數據［12］。對于倒賣個人數據，最為典型的例子是2017 年數據堂公司被查處，數據堂公司大量售賣個人信息，8 個月內，日均傳送個人信息1.3 億條，數量之多，令人驚訝。

2.2 網貸下的暴力催收

杭州警方此次調查的大數據風控公司，起因于貸款催收導致自殺事件。不少知名大數據風控公司深陷其中，如同盾科技，新顏科技，公信寶以及51 信用卡等。梳理被查處公司信息了解到，大多數公司為銀行，貸款平臺，保險等提供風控服務。其中對公眾影響最大的是貸款業務。用戶在下載某些借錢App 時，系統要求開放用戶開放手機內的通訊錄等隱私信息，這些隱私信息為后期催還貸款暴力催收埋下“炸彈”。2019 年9 月11 日杭州市公安局舉行新聞發布會，共有60 個套路貸App被關停，搗毀現金貸等犯罪團伙8 個。早在2019年“3.15”晚會上，曝光了一大批網貸平臺，其中涉及現金貸犯罪團伙8 個，抓獲違法犯罪行為300余人。

套路貸⑥是指以無抵押快速放貸為誘餌，以民間借貸為幌子，誘騙或強迫他人陷入借貸圈套，通過精心設計的“套路”手段讓借款人的債務在短時間內幾何式倍增，繼而通過暴力討債、虛假訴訟等手段非法占有他人較大數額財產，是一種組織性、預謀性強的違法犯罪行為。10 月21 日杭州公安發布聲明，51 信用卡涉及大量異常投訴信息。綜合多方信源，51 信用卡委托外包催收公司催還貸款，并利用自身技術優勢，將貸款人的個人通信錄，定位住址提供給催收公司，通過恐嚇，滋擾等軟暴力形式催收債務。根據威瑞森《2019 年數據泄露調查報告》⑦顯示：在41 686 件安全事件中，共有2 013件已經證實的數據泄露事件，可見數據泄露規模之大。這些數據泄露事件中，其中71%的違規行為來自經濟動機，這就不難理解為什么此次被查處的數據公司均與銀行，金融行業有關。

3 數據保護的法律保護與技術支持

3.1 數據泄露倒逼法律完善

大數據時代下，數據泄露成為老生常談的話題，我國關于數據泄露立法至今尚不完善，此次風波在一定程度上促進我國立法完善。目前我國刑法中的二百五十三條強調侵犯公民個人信息罪，《中華人民共和國民法總則》中明確個人信息權利受到法律保護。但針對我國數據泄露的特定法律仍有欠缺。在2017 年6 月1 日，《網絡安全法》⑧正式實行，第四十四條規定，任何個人和組織不得竊取或者以其他非法方式獲取個人信息，不得非法出售或者非法向他人提供個人信息。此次法律的頒布使得我國個人信息泄露犯罪行為有法可依。2018 年5 月歐盟出臺了《通用數據保護條例》⑨，表明過去互聯網機構習以為常的、利用爬蟲技術過度抓取用戶行為數據的做法，因涉嫌侵犯隱私變得不再“合法”。

2019 年9 月至10 月的“爬蟲風波”，引起政府得極大重視，杭州市公安局對相關數據公司迅速摸查，查處違法犯罪行為。例如針對51 信用卡公司的突擊檢查時，動用三輛客運車，公司內部被警方嚴格把守，只進不出。由此可看，對于違法犯罪的數據公司嚴格防范與查處。同年10 月14 日，央行下發了《個人金融信息（數據）保護試行辦法》，第十八條規定：金融機構不得以概括授權得方式獲取信息主體對收集處理使用和對外提供其個人金融信息的同意，同時要求各企業征信機構自我排查是否存在違法爬蟲行為。上海市在10 月份率先實施《上海市公共數據開放暫行辦法》⑩，該《辦法》重點考慮了數據開放和數據安全的關系，既要推進公共數據開放和深度利用，又要高度重視和保障數據安全，明確指出政府應當落實數據安全管理要求，采取措施保護商業秘密和個人隱私，防止被非法獲取。

除了對數據安全迅速作出回應，在51 信用卡被查處的當天，針對貸款違法犯罪行為，我國最高人民法院頒布了《關于辦理非法刑事案件若干問題的意見》，明確提出了，涉及強行索要非法貸款行為，因非法放貸誘發涉黑涉惡以及其他違法犯罪活動，違法必究。2019 年12 月時，全國人大表明，中國將在2020 年制定《數據安全法》和《個人信息保護法》，其中《數據安全管理辦法》目前已經完成了公開征求意見。今年政協會議上，明確提出政府部門之間應加快信息之間的統籌協調，建立統一的個人信息保護監管平臺，避免重復執法。由此可看，我國對數據安全的探索始終沒有停止，雖然我國關于數據保護的法律沒有國外那么完善，但一直在探索的道路上，始終為人民社會服務。

3.2 借助區塊鏈技術，加強數據保護

數據泄露伴隨互聯網運營而生，數據保護理應是政府，企業和用戶三者共同努力的結果。其中政府應做好帶頭作用，大力鼓勵數據保護技術，利用數據加密技術保護數據。區塊鏈技術2019 年引起大家的關注，習近平總書記在中央政治局第十八次集體學習時強調，把區塊鏈作為核心技術自主創新重要突破口，加快推動區塊鏈技術和產業創新發展11。區塊鏈作為一種去中心化的分布式賬本數據庫，通過數據密碼學進行加密，避免了數據的篡改與盜竊。這為數據保護提供了更好的技術支撐。今年3 月保爾森基金會綠色金融中心與清華大學綠色金融發展研究中心聯合發布《金融科技推動中國綠色金融發展：案例與展望》12報告中指出，利用區塊鏈等技術，解決資金穿透管理的問題，可以幫助金融機構實現對綠色信貸、綠色債券等投向的跟蹤，幫助降低“洗綠”“漂綠”的風險。由此可看，區塊鏈技術應用廣泛，區塊鏈本質作為一個數據庫，不僅為數據保護提供技術支撐，且該技術不涉及第三方，對大數據公司的金融服務建設健康交易環境。

4 結語

網絡爬蟲技術是數據和信息的搬運工，最為常見的網絡爬蟲是通用網絡爬蟲即搜索引擎，如百度，谷歌等瀏覽器。除此之外，還有增量型網絡爬蟲，聚焦型網絡爬蟲。網絡爬蟲爬取的數據來源是多樣的，主要有政府公開數據，第三方平臺買賣數據，網頁數據以及企業產生的用戶數據，其中第三方平臺購買數據存在較大風險，是數據泄露主要方向之一，同時也此次爬蟲風波的主要承擔者。數據公司獲取數據主要通過網絡爬蟲技術實現，這使得網絡爬蟲走向了“害蟲”，技術中立也有可能走向違法犯罪行為。

2019 年網絡爬蟲事件凸顯兩大問題，一是數據泄露，二是貸款后的暴力催收。我國政府對次進行了硬核查處，不少知名數據公司深陷其中。相關政府部門也迅速對此作出回應，建立數據保護相關法律條例；針對網絡非法貸款，最高法院提出相關辦法。數據保護不僅通過法律的約束，還要從技術層面解決問題，我國現如今大力發展區塊鏈技術，為數據保護提供新的方向。

注釋

①數據泄露通知制度：是指負有數據安全保護義務的主體在發生個人信息泄露事件時，在規定的時間內以適當形式，通知主管機構及用戶的制度。

②2018年7月11日 中國證券網 http://www.cqn.com.cn/cj/content/2018-07/11/content_6025374.htm。

③2019年4月22日騰訊網https://new.qq.com/omn/20190422/20190422A0N7IF.html。

④2019年10月26日澎湃新聞https://m.thepaper.cn/baijiahao_4790252。

⑤Risk Based Security (RBS) 2019年Q3季度全球數據泄露事件報告https://www.freebuf.com/column/225216.html。

⑥套路貸：2019年4月10日 常德長安網《掃黑除惡為何要給這四個詞“官方解釋”》

⑦威瑞森 2019年數據泄露事件報告 該報告從2008年記錄至今，http://www.199it.com/archives/885531.html。

⑧《網絡安全法》：由全國人民代表大會常務委員會于2016年11月7日發布，自2017年6月1日起施行。中華人民共和國主席令（第五十三號）公布。

⑨《通用數據保護條例》：2018年5月25日，歐洲聯盟出臺《通用數據保護條例》，前身是1995年制定的《計算機數據保護法》。

⑩《上海市公共數據開放暫行辦法》：2019年9月10日上海市人民政府公開，定于同年10月1日正式實行。

11 2019年10月24日習近平總書記在中央政治局第十八次集體學習時的重要講話。

12 2020年3月9日，該報告首次出爐，經過一年的合作研究，綜述了金融科技在綠色金融領域運用的一些具體案例，討論了這些運用所面臨的障礙，展望了未來的發展前景，并從政策和產業支持角度提出了建議。