京东数据泄漏该当何责?——评网络运营者信息安全责任
近日,一则关于京东数据外泄,12G信息数据包在黑市流通的信息,牵动了电子商务界人士及法律人士的心。在人们逐步接受网络交易,但对于信息安全能力将信将疑的时候,京东数据外泄传闻,无疑是给市场敲响了警钟。
根据搜狐网转载新京报的快讯,12月11日凌晨,京东对于本次信息泄漏传闻作出初步回应称:经京东信息安全部门初步判断,该数据源于2013年struts2的安全漏洞,当时国内大量互联网运营机构都受到了影响,导致大量数据泄漏。
事实上,除了本次传闻外,国外互联网企业信息泄漏的事件并不鲜见。2011年4月17日,索尼公司的PlayStation游戏网络遭黑客入侵,多达7,700万客户的资料可能被盗,包括姓名、地址、出生日期和信用卡号码等。本次严重的黑客盗窃数据事件,可能令索尼蒙受逾240亿美元的损失。
2012年1月份,亚马逊网上鞋店Zappos.com表示,黑客已窃取了其2400万客户的个人信息,包括顾客姓名、电邮地址、收货地址、电话号码和信用卡的最后四位数字。所幸由于完整的信用卡号码存放在另外一个服务器内,所以未被黑客盗取。而在2014年8月份,又爆出了摩根大通及最少4家美国银行遭受黑客攻击,导致大量客户资料被盗的消息。而美国最大折扣零售商Kmart的支付系统也曾遭到黑客攻击,该攻击可能导致部分客户的银行卡数据被盗走。
无论是什么原因引发的数据泄漏,对于互联网经济的负面影响都是显而易见的。因此,针对黑客入侵,我国法律规定了明确的法律责任。同时,对于网络运营者,也规定了相应的法律责任。
一、网络经营者的数据安全责任
网络经营者在其经营活动中,由于业务需要,可以直接获取用户的大量信息。与传统交易不同的是,网络信息获取直接是以数据方式进行的汇集,信息传输也是以电子数据方式进行,这导致网络经营者的数据一旦泄漏,其影响面和影响程度都远远大于传统企业的信息失密。对此,近年来,我国法律、法规做了有针对性的规制。
主要见于:《中华人民共和国网络安全法》(2016年11月颁布,2017年6月1日生效)、《全国人民代表大会常务委员会关于加强网络信息保护的决定》(2012年12月生效)、《电信和互联网用户个人信息保护规定》(2013年9月生效)、《中华人民共和国刑法》(2015年修订)。
上述法律、法规,分别从民事责任、行政责任、刑事责任,对网络经营者的法律责任做了规定。
1 民事责任层面
从民事责任角度,网络经营者有义务保护用户的个人隐私和商业秘密不被泄漏,未经允许,不应向任何第三方提供客户的隐私信息和商业秘密。民法将隐私和商业秘密纳入其保护范围,对于泄漏客户的隐私等行为,可以归入民事侵权责任或违约责任范畴,从而依据《侵权责任法》或《合同法》确定对客户的赔偿责任。当然,对于数据泄漏的侵权责任归责原则适用过错责任还是无过错责任或过错推定,以及用户基于侵权法或者是合同法的违约责任寻求民事救济,则需要更进一步进行探讨和分析。对此,作者将另行作出分析。
2 行政责任层面
除了民事责任以外,法律对于网络运营者对于信息系统的管理责任也作了较为明确的规定。如《网络安全法》第21条规定了网络安全等级保护制度,而网络运营者的则应根据网络安全等级保护制度的要求,履行安全保护义务,保障网络免受干扰、破坏或入侵,防止数据泄漏或被窃取或篡改。该法第25条则规定了网络经营者的报告义务,“网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。”
对于违反上述法定义务的情况,《网络安全法》第59条规定了相应的法律责任,对于网络运营者不履行《网络安全法》第21条、第25条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
在网络运营者行政责任层面的规制,可以看出,网络信息泄漏已经不仅仅局限于相关主体之间的侵权层面,公权力已经开始强力介入这一领域。作者认为,网络信息安全由于影响面大,已经远远不是传统民法侵权责任或违约责任可以涵盖的,国家公权力介入带有必然性。
3 刑事责任层面
关于网络经营者在信息安全领域的责任,长期以来被纳入侵权责任或违约领域的法律责任。2015年全国人大通过了《刑法修正案(九)》,增设“拒不履行信息网络安全管理义务罪”。将网络信息系统维护责任,纳入刑法的规制范畴。
《刑法》新增的第286条规定:“网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,有下列情形之一的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金:(一)致使违法信息大量传播的;(二)致使用户信息泄露,造成严重后果的;(三)致使刑事案件证据灭失,情形严重的;(四)有其他严重情节的。”
该罪名的设置,使得网络运营者的信息安全维护义务带有了更强的公共管理属性。
二、京东是否构成“关键信息基础设施的运营者”
从上述第一部分的分析可以看出,网络经营者对于其保管或使用的用户信息、数据,有法定即合同约定的保护义务,这仅仅是从一般的经营者角度作出的分析。对于重要的网络经营者,《网络安全法》还规定了“关键信息基础设施运营者”的特殊责任。
《网络安全法》第31条规定:“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。”
对于违反上述法定义务的情况,《网络安全法》第59条规定了相应的法律责任,“由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。”
BATJ(百度、阿里、腾讯、京东)等主要电商及金融平台的运营者,其拥有的客户信息、数据资源,某种意义上甚至大于一些政府机构,其广大的客户资源分布,丰富的经营场景,使得四大机构拥有的数据更为立体和完备,这些数据一方面是企业的重要资源,另一方面也关系到国家安全和社会公共安全,这是该法31条基本立法目的。
当然,对于哪些机构应当被列入“关键信息基础设施的运营者”,以及具体的审核标准,需要国务院以行政法规或条例的办法予以颁布。
但是,本次数据泄漏事件,对于大型网络平台,无疑提出了更高的管理要求。京东或其他网络平台,应按照《网络安全法》的规定,对于自身的数据管理等级作出明确的分析,并在相关规则完善后,及时根据规则理清自己的网络安全管理制度、管理流程,以适应法律、法规的监管要求。
三、京东回应是否“聪明”
京东对于上述数据泄漏传闻的回应,总体上是比较得体恰当的。
首先:承认存在数据泄漏。
这一做法,从危机公关角度,相对于百度在医院事件上的回应更为迅速,在取得舆论及公众的谅解方面无疑更为妥当。从网络行政管理角度来看,其内部调查程序的启动,也可以视为京东在一定程度上履行了内部管理职责。如果京东对于这一事件能够及时向互联网管理部门进行报备或报告,则处理流程会更为完备。
其次:强调泄漏发生在2013年。
这一做法,有效的将注意力从《网络安全法》和《刑法修正案》中引开,因为上述两部法规的生效及修正时间分别是2017年6月1日及2015年,强调事件的发生时间,在舆情公关中可以得分。在法律责任上,也可以给公众一个更为明确的认知。
再次,强调泄漏原因是struts2的安全漏洞。
关于struts2的安全漏洞问题,此前已经引起业界关注。2012年,apache struts2命令执行漏洞大爆发,导致众多政府、银行、证券、保险、电商网站遭受影响。2016年4月26日,apache struts2官方又发布了一份安全公告,提示了struts2存在命令执行漏洞,黑客可以利用该漏洞,对企业服务器实施远程操作。京东的表态,既可以看作是调查结果的公布,也可以看作是对自身免责的一种间接说明。
关于京东在本次事件中的法律责任,以及京东在事件中的尽责状况,笔者由于未能得到进一步的数据及事实支持,无法作出进一步的判断和评论。
吴卫明博士认为,借助这一案例,并对网络经营者数据信息保护责任作出相应的分析,可以对各类互联网经营者起到有益的借鉴作用。
网络运营者应根据法律、法规、规章关于信息安全的保护责任,建立自身的数据保护系统。从而防范数据泄漏、系统入侵对自身业务安全和客户信息安全的影响,同时,也最大限度的防范行政处罚风险和刑事责任风险。
文章转载与互联网,如有侵权请联系删除。
