网易账号公开叫卖怎么回事？网易账号为什么会被公开叫卖事件始末（2）

内鬼操作？

但在张力看来，在不考虑黑客因素下，公司内部人员数据泄露尤为普遍。

这种说法也得到王怡赞同。他说，类似金融产品明细、用户账户等安全级别相对较低的信息，少部分信息可以通过爬虫程序直接抓取。但从技术的角度看，大部分平台是没有办法通过爬虫软件获取用户电话、账户和其他明细。

王怡称，爬虫软件是模拟人的操作，直接登录抓取页面等常规操作。如果互联网上没有这些数据，那就需要从公司后台数据库直接抓取信息，这是没法使用爬虫程序的。

在王怡看来，通过爬虫软件就能够获得数据，说明安全级别并不高，如果直接获得安全级别高的数据，那就需要一定技术。

王怡表示，一般而言，获取公司数据库内部数据有三种方法，这也是市面上最常使用的方式。一是对方平台服务器的安全措施等级低，技术手段进入对方系统，获取操作权限。二是黑客通过渗透测试工具，通过软件漏洞进行攻击。三是内外勾结，公司内部人进行信息贩卖。

实际上，这已不是网易邮箱出事。

对此，网易免费邮箱当时称，用户对信息安全的重视，网易感同身受，并一向注重对用户隐私的保护。网易邮箱一天处理约2亿封邮件，不存在任何个人参与窥探用户隐私的可能性。网易现在和将来都不存在、也不会容忍收集用户隐私用于商业目的的行为。同时，网易邮箱将对销售部门进行规范，避免因夸大宣传，引起误导。

华为资深工程师张合表示，如果网易出现邮箱账号泄露，不管是否参与交易，网易都应承担责任，“保护用户的数据隐私是平台最起码的责任。”

“网易应该承担责任。”张宏也说，网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的时候，应当立即采取补救措施。但是，这次网易邮箱账号泄露，尚未证实由网易内部人士所为。

买卖数据不违法？

在卖家李娜看来，通过爬虫技术获取网易邮箱并进行交易不违法，“爬虫程序是我男朋友做的，爬取的是网络上公开信息，不涉及违法行为。”

“爬取数据的合法性其实很窄，只有不妨害网站的正常运行、严格遵守网站设置的robots协议，不强行突破网站的反爬措施，这才是真正合法的数据爬取行为。”张宏表示，从法律角度来看，虽然数据的爬取是从公开数据当中进行数据抽查，但如果使用不当，也会突破法律的边缘。

《网络安全法》第四十二条规定，网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的时候，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。

另外，《电信和互联网用户个人信息保护规定》第十条规定，电信业务经营者、互联网信息服务提供者及其工作人员对在提供服务过程中收集、使用的用户个人信息应当严格保密，不得泄露、篡改或者毁损，不得出售或者非法向他人提供。

2017年6月1日，《“两高”关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》规定了较低的入刑门槛——该司法解释将个人信息根据敏感度的高低分为三档，非法出售的数量分别达到50条、500条、5000条，或违法所得达5000元以上即可定罪，如果是在履行职责、提供服务过程中“监守自盗”的，标准减半。

“这说明，所有的条件都必须是共同存在，才可以保证最终的合法性，但凡有一个条件违反了，就是违法行为。据我所知，大量程序员在从事数据的爬取过程中，或多或少都有违法的嫌疑。”张宏说。

在张宏看来，企业若要实现数据合法获取，必须满足两个条件。一是互联网企业只能收集其提供服务所必需的个人信息，非必需信息一概不得收集；二是企业必须明示收集、使用的目的、方式和范围，并征得用户的同意，最常见的形式是平时注册账号前需要打勾的“隐私协议”。

如何保护数据隐私？

近年来，在互联网市场快速成长的背景下，个人信息保护不力的事件屡见不鲜。

3月27日，上海市消保委发布了针对39款网购、旅游、生活类常用手机APP涉及个人信息权限的评测结果。结果显示，25款APP存在数据问题，尤其关于“日历”权限的过度申请和随意授权更令人担忧。

这也就是说，这些APP申请了发送短信、录音、拨打电话、读取联系人、监控外拨电话、重新设置外拨电话的路径、读取通话记录等敏感权限，却未在应用中进行使用。

张合向人民网创投频道表示，在市场中，侵权行为俯拾即是，有显性的，也有隐性的。

所谓显性，就是数据泄露已经影响市民生活。商家通过电话、邮件等方式对市民狂轰滥炸发送广告，甚至开展诈骗行为。

所谓的隐形数据泄露最简单也是最常见的表现形式是，当你在搜索软件进行搜索的时候，关于你的数据已经传播至其他软件公司，任何公司都能够根据用户需求，提供相应产品，然后以机票、新闻、商户等推荐形式展现。

“这是令人不寒而栗的。”张合说，人的记忆并不可靠，每个人都对自己没有绝对的理解，但是互联网数据是固定的，互联网会比你更了解你自己，如果不加以控制，任何人都没有隐私。

在我国，随着《网络安全法》及《“两高”关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》等政策的实施，配合既有的法律、法规、规章，已形成刑事、行政、民事三位一体的法律保护体系。

张宏认为，从惩戒力度上看，在我国侵犯隐私的行为入刑门槛低、刑罚重，但行政处罚力度不及欧盟，民事诉讼也较难取得大额赔偿；相较之下，欧洲更为推崇行政监管，美国则倚重民事救济，体现了各国政府选择治理手段上的不同侧重。