freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

网络犯罪案例分析-网络爬虫(十七)
2021-05-07 20:14:57

关键词

(1)侵犯公民个人信息罪

(2)爬虫程序

基本案情

被告单位杭州魔蝎数据科技有限公司,住所地杭州市滨江区滨安路。法定代表人周某,总经理。
被告人周某。因本案于2019年9月7日被刑事拘留,同年10月13日被逮捕。
被告人袁某。因本案于2019年9月7日被刑事拘留,同年10月13日被逮捕。

2016年初,被告单位魔蝎公司由周某等人出资成立,被告人周某系魔蝎公司法定代表人、总经理,负责公司整体运营,被告人袁某系魔蝎公司技术总监,系技术负责人负责相关程序设计

魔蝎公司主要与各网络贷款公司、小型银行进行合作,为网络贷款公司、银行提供需要贷款的用户的个人信息及多维度信用数据,方式是魔蝎公司将其开发的前端插件嵌入上述网贷平台APP中。在网贷平台用户使用网贷平台的APP借款时,贷款用户需要在魔蝎公司提供的前端插件上,输入其通讯运营商、社保、公积金、淘宝、京东、学信网、征信中心等网站的账号、密码,经过贷款用户授权后,魔蝎公司的爬虫程序代替贷款用户登录上述网站,进入其个人账户,利用各类爬虫技术爬取(复制)上述企、事业单位网站上贷款用户本人账户内的通话记录、社保、公积金等各类数据,并按与用户的约定提供给网贷平台用于判断用户的资信情况,并从网贷平台获取每笔0.1元至0.3元不等的费用。

期间,魔蝎公司在和个人贷款用户签订的《数据采集服务协议》中明确告知贷款用户“不会保存用户账号密码,仅在用户每次单独授权的情况下采集信息”,但未经用户许可仍采用技术手段长期保存用户各类账号和密码在自己租用的阿里云服务器上

被告人周某明知公司存在保存用户账户密码的行为,未尽管理职责;被告人袁某负责编写具有保存用户账户密码功能的网关程序。截至2019年9月案发时,对魔蝎公司租用的阿里云服务器进行勘验检查,发现以明文形式非法保存的个人贷款用户各类账号和密码条数多达21241504条。其中大部分账号密码,如淘宝、京东等,无法二次使用,仅有邮箱等部分账号密码存在未经用户授权被魔蝎公司二次使用的情况
2019年9月6日下午,被告人周某、袁某被抓获归案。

诉讼过程和结果

被告单位杭州魔蝎数据科技有限公司以其他方法非法获取公民个人信息,情节特别严重, 其行为已构成侵犯公民个人信息罪。被告人周某、袁某分别系对被告单位魔蝎公司侵犯公民个人信息行为直接负责的主管人员和其他直接责任人员,其行为均已构成侵犯公民个人信息罪

。公诉机关的指控成 立。被告人周某、袁某自侦查阶段如实供述主要犯罪事实,自愿认罪认罚,酌情予以从宽处罚。根据被告人周某、袁某的犯罪情节、悔罪表现以及没有再犯罪的危险,适用缓刑对其所居住社区没有重大不良影响,故依法对其宣告缓刑。辩护人所提相应辩护意见,本院予以采纳。公诉机关的量刑建议适当,应予采纳。

据此,依照《中华人民共和国刑法》第二百五十三条之一第三款、第四款、第三十条、第三十一条、第七十二条第一、三款、第七十三条第二、三款、第五十二条、第五十三条、第六十四条以及《最高人民法院、最高人民检察院关于办_理侵犯公民个人信息刑事案件适用法律若干问题的解释》第五条、第七条、第十二条之规定,判决如下:

一、被告单位杭州魔蝎数据科技有限公司侵犯公民个人信息罪,判处罚金人民币30000000元(罚金限判决生效后十日内缴清)。

二、被告人周某侵犯公民个人信息罪,判处有期徒刑三年,缓刑四年,并处罚金人民币500000 元(缓刑考验期限,从判决确定之日起计算;罚金限判决生效后十日内缴清)。

三、被告人袁某侵犯公民个人信息罪,判处有期徒刑三年,缓刑三年,并处罚金人民币300000元(缓刑考验期限,从判决确定之日起计算;罚金限判决生效后十日内缴清)。

四、扣押于公安机关的作案工具电脑等予以没收,被告单位杭州魔蝎数据科技有限公司退缴至本院的违法所得款人民币30000000元予以没收,并上缴国库。

案情分析

总得来说公司还是正规的,魔蝎公司在个人贷款用户使用贷款APP之前签订的《数据采集服务协议》中明确告知贷款用户“不会保存用户账号密码,仅在用户每次单独授权的情况下采集信息”,就坏在未经用户许可仍采用技术手段长期保存用户各类账号和密码在自己租用的阿里云服务器上,这就超出用户授权,符合以其他方法非法获取公民个人信息。

类似的案例也有不少,比如某公司开发人员为了公司业务,调用API批量爬取某招聘网站的简历信息,最后被公安机关立案侦查。

我们安全从业者因为工作需要很多时候也会自行编写或者互联网下载爬虫工具,普通的新闻、商品信息等不构成侵犯公民个人信息罪,但是涉及到公开的个人信息的时候一定要注意了,不能因为它是公开的你就可以随意收集

本案相关法律规定

《中华人民共和国刑法》

第二百五十三条之一 【侵犯公民个人信息罪】

(第一款)违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。

(第二款)违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。

(第三款)窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。

《最高人民法院 最高人民检察院关于办_理侵犯公民个人信息刑事案件适用法律若干问题的解释》

第一条
刑法第二百五十三条之一规定的“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份_证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等

第五条
非法获取、出售或者提供公民个人信息,具有下列情形之一的,应当认定为刑法第二百五十三条之一规定的“情节严重”:
(一)出售或者提供行踪轨迹信息,被他人用于犯罪的;
(二)知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供的;
(三)非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;
(四)非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的;
(五)非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的;

(六)数量未达到第三项至第五项规定标准,但是按相应比例合计达到有关数量标准的;
(七)违法所得五千元以上的;
(八)将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人,数量或者数额达到第三项至第七项规定标准一半以上的;
(九)曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法获取、出售或者提供公民个人信息的;
(十)其他情节严重的情形。

实施前款规定的行为,具有下列情形之一的,应当认定为刑法第二百五十三条之一第一款规定的“情节特别严重”:
(一)造成被害人死亡、重伤、精神失常或者被绑架等严重后果的;
(二)造成重大经济损失或者恶劣社会影响的;
(三)数量或者数额达到前款第三项至第八项规定标准十倍以上的;
(四)其他情节特别严重的情形。

本文作者:, 转载请注明来自FreeBuf.COM

# 网络犯罪 # 黑产 # 网络爬虫 # 法律法规
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按热度排序

登录/注册后在FreeBuf发布内容哦

相关推荐
\
  • 0 文章数
  • 0 评论数
  • 0 关注者
文章目录
登录 / 注册后在FreeBuf发布内容哦
收入专辑