Près De 1,2 Milliard D'Informations Sur Les Utilisateurs Du Commerce Électronique Ont Été Divulguées: Quelle Est La Responsabilité De La Plate - Forme De Normalisation Nécessaire Pour Accéder Aux Données?

Il y a quelques jours, près de 1,2 milliard d'utilisateurs de Taobao ont été divulgués pour attirer l'attention.

Selon une affaire publiée par le tribunal populaire du district de Suiyang, dans la ville de Shangqiu, dans la province de Henan, les criminels ont obtenu près de 1,2 milliard d'identifiants numériques, de surnoms et de numéros de téléphone mobile des clients de Taobao grâce à leur propre développement de logiciels, qui ont été utilisés pour la promotion des clients de Taobao, avec un bénéfice total de plus de 340 000 yuans, et ont finalement été condamnés pour violation des renseignements personnels des citoyens.

Ces dernières années, les fuites de données se sont produites fréquemment.Certains experts ont souligné que, bien que l'entreprise soit également l'une des victimes, du point de vue de la protection des renseignements personnels, tant que l'utilisateur subit des pertes en raison de la divulgation d'informations, la plate - forme devrait assumer certaines responsabilités.

Avec l'entrée en vigueur de la législation nationale et locale, le fardeau de la sécurité des données des entreprises s'alourdit de plus en plus, de sorte que les entreprises qui ne s'acquittent pas de leurs obligations connexes seront passibles d'amendes.D'autre part, l'application de technologies de réseau telles que crawler a également besoin d'une réglementation juridique, et les limites d'utilisation de ces technologies doivent être normalisées davantage.

Près de 1,2 milliard d'informations sur les utilisateurs de Taobao ont été divulguées

Selon les documents de l'arbitre, en août 2020, Taobao (Chine) Software Co., Ltd. A averti qu'entre le 6 et le 13 juillet, la production noire a contourné l'interface d'évaluation des commandes mtop pour accéder aux données chiffrées par lots en contournant le contrôle des risques de la plate - forme.Au cours de cette période, le nombre moyen de champs rampés est de 5 millions par jour. Le contenu rampé comprend le surnom de l'utilisateur de l'acheteur, le contenu d'évaluation de l'utilisateur, le surnom et d'autres champs sensibles.

Après l'enquête de Taobao, il a été constaté que Kui était soupçonné d'un crime grave et qu'il a été nommé technicien de la Hunan Liuyang taichuang Network Technology Co., Ltd. (ci - après dénommée « Liuyang taichuang») établie à Li mou.

Les principales activités de Liuyang taichuang sont les clients de Taobao, c'est - à - dire la promotion des produits de Taobao dans le Groupe Wechat, afin d'obtenir la Commission de Taobao net et les frais de service des commerçants.

À partir de novembre 2019, Gu mou a développé le logiciel crawler "Taobao Evaluation" à la maison, a grimpé les informations des clients par l'intermédiaire de l'interface Web Taobao, et a fourni le numéro de téléphone cellulaire à Li mou.

Où sont les informations rampantes?Li importe ces données d'information dans un logiciel appelé Wechat plus pour ajouter des Amis Wechat.Selon les employés de l'entreprise, l'entreprise a créé plusieurs groupes Wechat, peut - être jusqu'à 1100, chacun comptant entre 90 et 200 personnes.Ces employés sont responsables de l'envoi de liens publicitaires dans le Groupe, et une fois que les utilisateurs de Taobao ont acheté des articles dans le Groupe, l'entreprise reçoit une commission.

Jusqu'en juillet 2020, la société a réalisé un bénéfice total de 340 187,68 RMB grâce à l'exploitation de l'information rampante.Selon l'évaluation judiciaire, le nombre total d'informations sur les clients de Taobao, telles que l'ID numérique, le surnom de Taobao et le numéro de téléphone mobile des clients de Taobao, a été grimpé par le logiciel développé par Kui, et le nombre total d'informations sur les clients de Taobao, y compris les informations sur Les clients de Taobao, a été de 1180738048. Kui a envoyé le numéro de téléphone mobile des clients de Taobao dans les informations rampées au défendeur Li sous forme de fichier wechat pour un total de 19712611.

Les informations récupérées sont - elles utilisées ailleurs?Nom, en plus de fournir le numéro de téléphone cellulaire à Li mou, l'ID client et le surnom Taobao existent dans leur propre disque dur d'ordinateur, il n'y a pas de fuite.Li a fait valoir que l'acte d'accusation accusait plus de 3,95 millions de yuans d'exploitation totale de l'entreprise et que le montant des bénéfices devrait être de 370 000 yuans, sans utiliser l'information à des fins illégales.Les informations ci - dessus ont été adoptées par le Tribunal.

La Cour a finalement conclu que Kui mou et Li mou avaient violé la réglementation de l'État et obtenu illégalement des renseignements personnels sur les citoyens, les circonstances étant particulièrement graves, ce qui constitue une infraction à l'égard des renseignements personnels des citoyens.Compte tenu de ses circonstances criminelles et de son préjudice social, le Tribunal a condamné Li à une peine d'emprisonnement de trois ans et six mois et à une amende de 350 000 yuans.Une peine d'emprisonnement de trois ans et trois mois et une amende de 100 000 yuans.

« en règle générale, la plate - forme est souvent victime d'événements similaires, à condition que la plate - forme prenne les mesures de protection technique nécessaires et qu'elle n'ait pas commis de faute en cas de fuite de données, qu'elle soit en mesure d'informer rapidement les utilisateurs et les autorités de surveillance des circonstances pertinentes Après l'événement, qu'elle prenne des mesures correctives et qu'elle récupère activement les pertes, et qu'elle ne soit généralement pas passible de sanctions administratives. »Xia Hailong, avocate du cabinet d'avocats Shanghai shenlun, analyse, mais du point de vue de la protection des renseignements personnels, tant que les utilisateurs souffrent de fuites d'information, la plate - forme doit d'abord indemniser les utilisateurs de la perte.

Responsabilité accrue des entreprises en matière de sécurité des données

Au cours des dernières années, les fuites de données fréquentes dans le monde ont non seulement entraîné des coûts élevés pour la plate - forme concernée, mais elles peuvent également mettre en danger la sécurité des renseignements personnels d'un grand nombre d'utilisateurs et faire face à d'énormes amendes.

En novembre 2020, Marriott, le groupe hôtelier américain, a reçu une amende de 18,4 millions de livres sterling de l'organisme de réglementation britannique (ICO) pour une cyberattaque qui a compromis les données personnelles de millions de clients.L'enquête de l'ICO a révélé que Marriott n'avait pas pris les mesures techniques ou organisationnelles appropriées pour protéger les données à caractère personnel de ses systèmes, comme l'exige le règlement général sur la protection des données (gdpr).

Facebook, le géant social, a également été impliqué dans des fuites de données à plusieurs reprises.En avril, Facebook a été accusé d'avoir divulgué 533 millions de données d'utilisateurs, bien qu'il ait depuis clarifié des informations plus anciennes il y a deux ans et qu'il ait corrigé des vulnérabilités.Mais ce n'est pas un rappel de l'acquisition illégale de 87 millions de données facebook par Cambridge Analytics en 2018 que l'affaire a finalement pris fin avec une amende de 5 milliards de dollars que Facebook a accepté de payer.

Avec l'entrée en vigueur de la législation nationale et locale, le fardeau de la sécurité des données qui pèse sur les entreprises chinoises deviendra de plus en plus lourd.

La loi sur la sécurité des données, adoptée le 10 juin, dispose que les organisations et les particuliers qui mènent des activités dans le domaine des données qui ne s'acquittent pas de leurs obligations en matière de protection de la sécurité des données (y compris les mesures nécessaires pour assurer la sécurité des données, renforcer la surveillance des risques et effectuer une évaluation des risques, etc.), sont ordonnés par les autorités compétentes de rectifier la situation, de donner un avertissement et peuvent également être condamnés à une amende d'au moins 50 000 yuans mais d'au plus 500 000 yuans.

Le projet de loi sur la protection des renseignements personnels, qui est en cours de deuxième instance, impose également des exigences correspondantes aux personnes qui traitent des renseignements personnels, telles que l'élaboration d'un système de gestion interne et de procédures d'exploitation, la gestion classifiée des renseignements personnels, l'adoption du chiffrement correspondant, l'adoption de Mesures techniques de sécurité telles que le chiffrement et la dématérialisation correspondants, l'élaboration et l'organisation d'un plan d'urgence pour les incidents liés à la sécurité des renseignements personnels, etc.

La législation sur les données à Shenzhen, Shanghai, Tianjin et Anhui accorde également une grande importance à la sécurité des données.

Comme indiqué dans le règlement sur les données de la zone économique spéciale de Shenzhen (projet d'avis) publié le 2 juin, les responsables du traitement des données devraient assumer la responsabilité de la gestion de la sécurité des données, prévenir la divulgation, le dommage, la perte, l'altération et l'utilisation illégale des données, mettre en œuvre des mesures de surveillance et d'alerte rapide, élaborer un plan d'urgence en matière de sécurité des données et en informer rapidement les titulaires de droits concernés en cas de risque.Et faire rapport au Département des technologies de l'information sur Internet et au Département compétent de l'industrie concernée.

Risques juridiques multiples liés à l'utilisation inappropriée des reptiles

À l'interne, les entreprises qui collectent et traitent des données devraient mettre en place un système de protection des données parfait;À l'étranger, l'application de technologies de réseau telles que crawler a également besoin d'une normalisation plus poussée.

Le crawler de réseau est une technologie de recherche d'information de réseau très populaire à l'ère de l'Internet. Il a été utilisé pour la première fois dans le domaine des moteurs de recherche et a été incorporé dans la base de données en recueillant des informations ou des données sur les pages Web.

L'utilisation inappropriée de la technologie des reptiles peut présenter de nombreux risques juridiques.Outre l'accès illégal aux données du système d'information informatique mentionné ci - dessus, le crime de contrôle illégal du système d'information informatique et le crime d'atteinte aux renseignements personnels des citoyens, le crime de violation du droit d'auteur et le crime de fraude peuvent également être touchés, ce qui constitue une concurrence déloyale, etc.

Par exemple, dans une affaire publiée par le tribunal populaire du district de Xuhui à Shanghai, Duan mou a ouvert un site web vidéo en 2013. Sans l'autorisation du titulaire du droit d'auteur, il a utilisé la technologie crawler pour mettre en place des liens encadrés pour les œuvres cinématographiques et télévisuelles de letv, tudou et d'autres sites Web vidéo afin de bloquer les annonces d'en - tête, et a plutôt publié des annonces sur ses propres pages Web, générant un bénéfice de 740 000 yuans.Le Tribunal a finalement jugé qu'un paragraphe constituait une violation du droit d'auteur.

Dans une autre affaire publiée par le tribunal populaire de Baoshan à Shanghai, la technologie des reptiles est devenue un outil de fraude.Ye a embauché d'autres personnes pour obtenir des renseignements sur les nouveaux magasins de Taobao en achetant un logiciel crawler, et s'est fait passer pour le personnel du service à la clientèle de Taobao pour envoyer de faux renseignements sur l'inactivité des magasins, la fermeture des transactions et d'autres renseignements aux magasins, afin d'inciter les victimes à accepter l'assistance à distance et à fournir un compte et un mot de passe Alipay pour aider les magasins à résoudre les problèmes.Plus tard, il utilise l'Alipay de la victime pour recharger le compte vidéo par l'intermédiaire d'un ordinateur à distance.Le Tribunal a estimé que le comportement de Ye mou constituait un crime de fraude.

Les problèmes juridiques liés aux reptiles sont davantage liés au monopole et à la concurrence déloyale.Par exemple, l'affaire Baidu v. 360 en 2013, l'affaire coomi v. car en 2017 et l'affaire Weibo v. Pulse illegal Seizure of User information en 2016.

Le 14 juin, la Cour suprême des États - Unis a demandé à une juridiction inférieure de réexaminer l'affaire de la saisie de documents publics par le concurrent britannique hiq Labs.Auparavant, la loi n'interdisait pas aux entreprises d'accéder aux données accessibles au public sur Internet.

Le point controversé de ces cas est principalement la propriété des données, le crawler de réseau peut facilement recueillir des données sur les utilisateurs, et dans l'avenir des données, c'est - à - dire le pétrole, le maintien du contrôle des données sur les utilisateurs est un endroit nécessaire pour les opérateurs d'Internet.

En prenant comme exemple l'affaire « Weibo v. Pulse illegal Seizure of User information », l'application de réseautage social Pulse a coopéré avec Sina Weibo au début de sa mise en ligne. Les utilisateurs peuvent se connecter à Pulse par l'intermédiaire d'un compte weibo et d'un numéro de téléphone mobile personnel.Mais Sina Weibo a constaté que le pouls a également saisi et utilisé un grand nombre d'utilisateurs de Sina Weibo portrait, nom, profession, éducation et d'autres informations.Les deux parties ont donc mis fin à leur coopération et Sina Weibo a intenté une action en justice.

Les tribunaux de première et de deuxième instance ont estimé que les actes susmentionnés constituaient une concurrence déloyale.Le jugement de deuxième instance du Tribunal a souligné que, dans le cas où les ressources de données sont devenues un avantage concurrentiel important et des ressources commerciales pour les entreprises Internet, la compétitivité des entreprises dans l'industrie de l'Internet se reflète non seulement dans l'équipement technologique, mais aussi dans l'échelle des données qu'elles possèdent.Pulse viole l'Accord de développement, obtient des informations pertinentes de ses utilisateurs sans le consentement de l'utilisateur et sans l'autorisation de Sina Weibo et les affiche dans les détails de contact de l'application Pulse, viole les ressources commerciales de Sina Weibo et obtient un avantage concurrentiel de manière inappropriée, ce comportement de concurrence a dépassé le comportement de concurrence légitime protégé par la loi.

À l'heure actuelle, il n'existe pas de lois et de règlements connexes sur la technologie des reptiles en Chine.Dans le cadre de différends multiples, les limites d'utilisation des Crawlers sont normalisées.Dans les mesures de gestion de la sécurité des données (projet d'avis) publiées par le Bureau d'information du réseau en mai 2019, la ligne rouge légale du crawler du réseau a été délimitée pour la première fois.

L'article 16 du chapitre 2 du projet d'avis dispose que l'accès automatisé des opérateurs de réseau à la collecte de données sur le site Web ne doit pas entraver le bon fonctionnement du site;Ce comportement affecte gravement le fonctionnement du site Web. Si le trafic de collecte d'accès automatisé dépasse un tiers du trafic quotidien moyen du site Web, le site Web doit arrêter la collecte d'accès automatisé lorsqu'il demande l'arrêt.