大量网易邮箱账号遭公开叫卖(3)

买卖数据不违法？

在卖家李娜看来，通过爬虫技术获取网易邮箱并进行交易不违法，“爬虫程序是我男朋友做的，爬取的是网络上公开信息，不涉及违法行为。”

“爬取数据的合法性其实很窄，只有不妨害网站的正常运行、严格遵守网站设置的robots协议，不强行突破网站的反爬措施，这才是真正合法的数据爬取行为。”张宏表示，从法律角度来看，虽然数据的爬取是从公开数据当中进行数据抽查，但如果使用不当，也会突破法律的边缘。

《网络安全法》第四十二条规定，网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的时候，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。

另外，《电信和互联网用户个人信息保护规定》第十条规定，电信业务经营者、互联网信息服务提供者及其工作人员对在提供服务过程中收集、使用的用户个人信息应当严格保密，不得泄露、篡改或者毁损，不得出售或者非法向他人提供。

2017年6月1日，《“两高”关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》规定了较低的入刑门槛——该司法解释将个人信息根据敏感度的高低分为三档，非法出售的数量分别达到50条、500条、5000条，或违法所得达5000元以上即可定罪，如果是在履行职责、提供服务过程中“监守自盗”的，标准减半。

“这说明，所有的条件都必须是共同存在，才可以保证最终的合法性，但凡有一个条件违反了，就是违法行为。据我所知，大量程序员在从事数据的爬取过程中，或多或少都有违法的嫌疑。”张宏说。

在张宏看来，企业若要实现数据合法获取，必须满足两个条件。一是互联网企业只能收集其提供服务所必需的个人信息，非必需信息一概不得收集；二是企业必须明示收集、使用的目的、方式和范围，并征得用户的同意，最常见的形式是平时注册账号前需要打勾的“隐私协议”。

如何保护数据隐私？

近年来，在互联网市场快速成长的背景下，个人信息保护不力的事件屡见不鲜。

3月27日，上海市消保委发布了针对39款网购、旅游、生活类常用手机APP涉及个人信息权限的评测结果。结果显示，25款APP存在数据问题，尤其关于“日历”权限的过度申请和随意授权更令人担忧。

这也就是说，这些APP申请了发送短信、录音、拨打电话、读取联系人、监控外拨电话、重新设置外拨电话的路径、读取通话记录等敏感权限，却未在应用中进行使用。

张合向人民网创投频道表示，在市场中，侵权行为俯拾即是，有显性的，也有隐性的。

所谓显性，就是数据泄露已经影响市民生活。商家通过电话、邮件等方式对市民狂轰滥炸发送广告，甚至开展诈骗行为。

所谓的隐形数据泄露最简单也是最常见的表现形式是，当你在搜索软件进行搜索的时候，关于你的数据已经传播至其他软件公司，任何公司都能够根据用户需求，提供相应产品，然后以机票、新闻、商户等推荐形式展现。

“这是令人不寒而栗的。”张合说，人的记忆并不可靠，每个人都对自己没有绝对的理解，但是互联网数据是固定的，互联网会比你更了解你自己，如果不加以控制，任何人都没有隐私。

在我国，随着《网络安全法》及《“两高”关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》等政策的实施，配合既有的法律、法规、规章，已形成刑事、行政、民事三位一体的法律保护体系。

张宏认为，从惩戒力度上看，在我国侵犯隐私的行为入刑门槛低、刑罚重，但行政处罚力度不及欧盟，民事诉讼也较难取得大额赔偿；相较之下，欧洲更为推崇行政监管，美国则倚重民事救济，体现了各国政府选择治理手段上的不同侧重。