警惕!“颜值测试”黑客软件盗取超8000万条个人信息

爱美之心人皆有之,对美的评判,各有各的标准。这几年,一种给颜值打分的软件出现了,一张正脸照,就能给出具体的分值。那么,它真的能测出颜值有多高吗?在上海司法机关办理的一起泄露个人信息案件中,就与这样一款颜值打分软件有关。

颜值检测是假 盗取信息是真

涉案的颜值打分软件声称可对脸部照片自动评分,还能判断肌肤状态。在示例头像下方,配有标识着它功能的宣传语句:“年龄21岁左右,颜值73.4,皮肤健康度18.769,色斑度9.437”等,看起来十分专业。很多人正是看了这样的介绍后,才在手机上下载安装了这款颜值软件。

但它真的能评判颜值吗?在法庭上,面对检察机关的盘问,它的开发者是这样回答的。

公诉人 顾斌:你是否制作过一款名为颜值检测的软件?

被告人:制作过。

公诉人:这款软件真的是用于颜值检测的吗?

被告人:不是。

这是2020年8月上海市奉贤区人民法院审理的一起侵犯公民个人信息犯罪案件庭审现场。被告人名叫李某,不到30岁,正是他制作了这款所谓的颜值打分软件,那么这个李某究竟是什么人,他又是为何要制作出这款并不具备评分功能却宣称能给颜值打分的软件呢?

据李某交代,他案发前是在一家网络游戏公司上班,并且通过自己的努力一直做到了这家公司的高级程序员。

上海市奉贤区人民检察院第一检察部主任 顾斌:被告人李某在暗网茶马古道论坛上面下载了一组源代码,他本身是一个技术人员,他就利用这个源代码,编写了一个黑客软件。

那么被告人李某为什么会制作这款黑客软件,这款软件又有怎样的秘密呢?

公诉人 顾斌:请你告诉法庭,这款软件具有什么样的功能?

被告人:这款软件被人安装之后,它会获取被安装的人的手机照片传到我的服务器上。

公诉人 顾斌:也就是说,这款软件是在别人不知情的情况下,会窃取别人的相册照片?

被告人:是的。

公诉人 顾斌:你将这款软件发布在论坛上,有没有注明它是一款具有窃取照片功能的一款黑客软件?

被告人:没有说明。

据被告人李某交代,在制作完成后,他将这款黑客软件发布到了网络论坛上,供网民免费下载使用。而它呈现在大家眼中的,正是那款颜值软件。由于打着颜值打分软件的幌子,很多被害人都是在毫无防备的情况下,被窃取了手机相册中的照片信息。

江苏的高先生出于好奇下载了这款颜值软件,虽然从安装到卸载只有短短几分钟时间,但他手机相册中的驾驶证信息、快递单信息、保险单信息以及朋友的支付宝账号等,全部被传到了颜值软件开发者李某的服务器上。

还在上学的女生小熊和她的母亲也做了这款软件的颜值测试,结果,手机上的奖状照片、报名表、简历、银行卡、户口本等信息也一一被窃取。

被告人李某通过将这款所谓的颜值打分软件上传到网络上供网民免费使用的方式,先后窃取了1700多张用户照片,其中比较完整的公民个人信息有100多条。而除此之外,李某还将这个软件发布在了一个隐藏的暗网论坛上进行售卖。

虚拟货币流向牵出超八千万条个人信息买卖

除了制作黑客软件进行售卖和非法窃取用户的手机相册信息之外,李某所实施的犯罪行为还包括另外一项,向他人提供公民个人信息。他为什么这么做呢?李某说,他的目的只是为了炫耀能力,但是他所谓的炫耀也触犯了法律。那么李某究竟做了什么呢,这还得从他售卖黑客软件所赚取的虚拟币说起。

据李某交代,他用售卖黑客软件所赚取的虚拟币在暗网上购买了一个名叫“社工库资料”的文件,而这个“社工库资料”其实就是一个包含着8100多万条个人信息的压缩包。

而让李某没想到的是,他从暗网上购买的这八千多万条个人信息中,竟然也包含他自己的个人信息。经公安机关侦查核实,这个“社工库资料”中包含的八千多万条个人信息都十分准确。

上海市奉贤区人民检察院 第一检察部主任 顾斌:倒查了其中的十个被害人,都是能够精准地锁定被害人的身份信息、职业情况和一些基本情况。

我国《刑法》规定:违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。窃取或者以其他方法非法获取公民个人信息的,依照该款的规定处罚。

按照刑法的相关规定,李某利用所谓的颜值打分软件窃取公民个人信息,以及将8100余万条个人信息发布到网络空间供他人下载使用的行为均已经触犯刑法。

公诉人 顾斌:本院认为,被告人李某违反国家有关规定,利用侵入计算机信息系统程序,窃取并非法向他人提供公民个人信息,情节特别严重,其行为已触犯《中华人民共和国刑法》第二百五十三之一,第一三款,犯罪事实清楚,证据确实充分,应当以侵犯公民个人信息罪追究其刑事责任。

庭审中,被告人李某对于检察机关的指控表示认罪认罚。

法庭经过审理认为,检察机关指控的犯罪事实清楚、证据确实充分、指控的罪名成立,但鉴于李某无前科劣迹,到案后如实供述自己的罪行,并自愿认罪认罚,依法可以从轻、从宽处罚。

审判员 管玉洁:被告人李某,犯侵犯公民个人信息罪,判处有期徒刑三年,宣告缓刑三年,并处罚金人民币一万元。

维护公共权益 检察机关提起民事公益诉讼

本案中,检察机关除了对被告人李某提出了刑事指控之外,还对他提起了刑事附带民事公益诉讼,请求法院判令被告李某承担相应的民事侵权责任,法院对此一并审理判决。

我国《民法典》第一百一十一条规定:自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。

检察机关在庭审中指出,被告李某的行为已经侵犯了不特定多数人的个人信息安全,不仅已经触犯刑法,也侵犯了公共利益,构成了民事侵权,应当承担民事责任。

按照我国《民法典》第一百八十七条的规定:民事主体因同一行为应当承担民事责任、行政责任和刑事责任的,承担行政责任或者刑事责任不影响承担民事责任。

那么李某应该承担怎样的民事侵权责任呢?为了彻底消除涉案个人信息再次出现被非法获取、传播的风险,庭审中,检察机关提出了三点具体诉请。

附带民事公益诉讼起诉人 卫倩雯:本案中,由于存储照片、个人信息数据的网盘,售卖的侵权软件,无法通过传统的扣押、没收手机、电脑等方式加以删除。结合本案实际,检察机关根据《民法典》、民事诉讼法等有关规定,请求法庭判令被告承担以下民事责任。

一、永久删除颜值检测软件及相关代码,删除云网盘上存储的涉案照片。

二、永久删除存储在网盘上的相关公民个人信息,并注销侵权所用QQ号码。

三、在国家级新闻媒体上,对其侵犯公民个人信息的行为公开赔礼道歉。

法庭经审理认为,附带民事公益诉讼起诉人的诉讼请求符合相关法律规定,最终法庭对检察机关提出的三项诉请全部予以支持。

对此法律专家表示,在个人信息保护案件中引入公益诉讼制度十分必要,既能减轻个体的维权诉累,同时还能增加违法犯罪的成本,对遏制个人信息领域的违法犯罪行为具有重要意义。

中国政法大学传播法研究中心副主任 朱巍:同一个案件中涉及多个当事人、被侵权人时,法律赋予一些特殊机关一些特殊的权力就提起公益诉讼。一旦提起公益诉讼的时候,他是实际上代表大多数被侵权人的合法权益,这样去主张权利的时候,能让一个个案的正义发挥到最大的效果。

2021年9月底,上海市奉贤区人民法院联合奉贤区人民检察院,就附带民事公益诉讼的判决内容,对李某进行强制执行。这样的执行案例,对于经验丰富的执行法官李卫星来说还是头一次。

上海市奉贤区人民法院执行局执行法官 李卫星:这个案件不同于我们一般的民事执行,或者刑事财产刑的执行。

李法官表示,这次执行属于行为类的执行案件,就是让被执行人完成某种特定的行为,而在执行过程中,他们要对此进行严格监督,达到判决的要求。

在法官和检察官的多方见证下,李某一一彻底删除了他涉案的软件、相关代码以及涉案的全部个人信息,涉案的社交软件号码及网盘也被全部注销。随后,李某将手机里的涉案信息也全部删除,并对手机进行了格式化。

上海市奉贤区人民检察院检务保障部 许捷:检察机关做了充分的预案,尽可能地保证公民个人信息不会被恢复,不会被再次利用。

据执行法官介绍,李某被扣押的电脑以及三部手机,法院最终还将通过物理方式进行彻底摧毁。接着,李某在承诺书上签了字,保证自己再也不会将信息通过任何方式恢复。同时按照判决的要求,李某还在正义网上对此进行了公开赔礼道歉。

上海市奉贤区人民法院法官 管玉洁:提醒大家,在日常生活当中,注意保护个人信息,提高防范意识,遇到陌生人或者不明商家以免费或者低价推销产品或者提供服务为由,提供个人信息时,应谨慎应对。

解读:侵犯个人信息面临哪些法律风险

在这起案件中,司法机关通过刑事、民事等多种法律手段对侵害公民个人信息的行为进行了惩处,彰显了法律的态度和力度。近年来,我国对于个人信息的保护越来越重视,相关的法律法规也在不断完善,那么在我国现行法律中,个人信息是如何定义的,侵犯个人信息又会面临怎样的法律风险呢?

我国《民法典》第一千零三十四条规定:个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。

2021年11月1日,我国新施行的《个人信息保护法》第四条规定:个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。

中国政法大学传播法研究中心副主任 朱巍:个人信息按照现在的《民法典》《个人信息保护法》的规定,我们记住一条关键的就可以了,就是直接或间接的,能够识别到自然人身份特征的,这部分信息就属于个人信息。

近年来,使用网络的人越来越多,人们在享受便利的同时,也在有意无意中将自己的一些个人信息暴露在了网络上,甚至遭到恶意侵犯、泄露,由此带来的安全风险和问题十分突出。

上海市奉贤区人民检察院第一检察部主任 顾斌:如果这些公民个人信息被犯罪分子使用的话,可能被精准地用于电信网络诈骗、敲诈勒索等犯罪活动,严重侵害公民个人的人身和财产安全。

中国政法大学传播法研究中心副主任 朱巍:如果没有个人信息安全的话,你互联网效率发展再高的话,那么我觉得只能是一个硬币的两个方面,好的方面可能体现的效率很好,坏的方面,个人信息一旦没有安全感的话,那么网络诈骗、侵权信息、网络暴力会随之而来的。

正是为了解决这样的问题,近年来,在修法和立法工作中,如:《刑法修正案(九)》《民法典》以及《个人信息保护法》等,都在不断加强对个人信息的保护力度,让个人信息在收集、存储、使用、加工、传输、提供、公开、删除等各环节得到全链条保护,最终建立起一个全方位的个人信息法律保护体系。

中国政法大学传播法研究中心副主任 朱巍:多位阶多部法律的这样保护起到一个什么样的作用呢?就是多重保护的作用。从有可能发生这种危害,到评估,再到个人权利按照《民法典》去主张权利,再到公益诉讼,最后一步再到刑事的这种保护,各个层级现在已经个人信息保护法的体系基本构建完毕。

法学专家表示,随着有关个人信息保护的法律不断完善,这不仅给司法机关提供了更多的法律选项,也对社会各界提出了更高要求,尤其是在大数据时代,相关平台企业一定要严格依照法律规定保管和处理个人信息,否则会引发严重法律后果。

中国政法大学传播法研究中心副主任 朱巍:对平台来讲,他可以获取很多数据,他可以把数据当成石油使用,但是你不要忘了,法律赋予你的责任水涨船高的,如果你履行不了安全保障义务的话,那你拿到这些数据就是一个定时炸弹。不管是《网络安全法》还是《个人信息保护法》,或者是《民法典》还是《刑法》,都要求网络平台有安全保障义务的。你没有好好履行法律赋予你的责任的话,你要吃亏的,作为平台来讲的话你要承担,包括刑事在内的法律责任。

责任编辑:郝媛媛

分享到 分享