益友视点 | 个人信息泄露,岂能说免责就免责?
时间:2022-06-27 作者:益友天元
疫情之下,期末当即。学习和考试用APP对上网课、云考试的大学生来说不可或缺。应用商店和企查查显示:学习通是北京世纪超星信息技术发展有限责任公司旗下一款集移动教学、移动学习、移动阅读等为一体的应用程序。2022年6月21日,“超星学习通”被爆疑似发生“拖库”导致用户个人信息泄露而登上热搜。益友天元将持续关注这一重大信息安全事件。2022年6月20日,微信公众号M78安全团队(微信号:M78Sec)发文称,大学生学习软件“某星学习通”数据库信息正在境外非法渠道售卖,兜售的数据包含姓名、手机号、性别、学校、学号、邮箱等,共计约1.73亿条。泄露的数据有可能被用于精准诈骗。上述公众号当日删除爆料,并于次日午间发布声明称“相关信息由我司安全研究员首发披露,为避免引发舆论过度关注,文章在昨天下午已删除,相关问题暂时不予回复,相关部门已介入调查”。2022年6月21日,“学习通”一度冲上“热搜第一”。微博上大量学习通用户提到有外地手机给自己打电话发短信,也有用户对近期收到境外号码电话甚至报出自己身份证号码非常抱怨。 2022年6月21日,“学习通”通过微博账号发布《关于“疑似学习通APP用户数据泄露“传闻的声明》,详见下图。首先,《声明》没有斩钉截铁否认公众所猜测的用户信息泄露,而是称“理论上用户密码不会泄露”和“未发现明确的泄露证据”。其次,《声明》称“公司确认网上传闻密码泄露是不实的”,但是用户密码只是诸多用户信息范畴中的一部分。从微博热搜我们看到用户手机号、性别、学校、学号、邮箱发生泄漏,这些大量明文个人信息,与密码本身关系不大,但相关信息的泄露已经足以对个人权益产生较大危害。关于用户信息已被泄露或遭遇泄露风险的猜测,不能被一纸声明简单消除。最后,《声明》告知公司已报案,公安机关已介入调查,但没有提及调查原因和关注事项。在该事件中,学习通究竟是违反安全保障义务的责任方,还是受到商业诋毁的受害方?疑似泄露的原因究竟是遭遇外部窃取、攻击还是内部运维不当甚至员工故意而为?我们将持续关注。虽然学习通的数据是否被非法兜售还有待证实,但是网络安全和数据安全问题不容忽视。正如“学习通”《声明》所言,用户信息安全是重大问题。如果相关平台没有依法处理个人信息,缺乏对数据处理风险的监测、跟踪、审计等相关能力,是确实有可能数据被泄露而不自知的。我们结合公开信息,从《个人信息保护法》(简称“《个保法》”)等法律规定的角度对相关方进行个人信息处理的原则、法律义务和法律责任等进行分析。 《个保法》第五条:处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。第六条:处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。《个保法》颁布前,超星学习通在用户个人信息处理问题上不止一次“翻车”:2021年1月,学习通两次被工信部点名通报其违规收集用户信息;同年7月,由于检查未完成整改,学习通APP再度被工信部通报。《个保法》颁布生效后,学习通APP劣迹影响是否消除、是否已痛改前非,尤其是是否存在过度收集用户信息的情形等,可能仍需打个问号。《个保法》第九条:个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。第五十一条:个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取下列措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失:(四)合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;第五十二条:处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。学习通作为一项教育类移动互联网应用程序(APP),在2020年1月2日获得教育部教育移动互联网应用程序备案。《教育移动互联网应用程序备案管理办法》规定,教育移动互联网应用程序提供者在备案前应当完成ICP备案和等级保护备案,故学习通理应受到计算机等级保护备案相关要求的约束。根据公安部《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》等规范要求,学习通的运营者应依据有关标准规范,对已定级备案网络的安全性进行检测评估,查找可能存在的网络安全问题和隐患。此次学习通被第三方安全团队披露可能存在的问题和隐患,一定程度上说明学习通运营、自律的失灵。关于学习通平台是否依法履行个人信息处理者的法律义务,可能暂时也需要打个问号。《个保法》第十条:任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息;不得从事危害国家安全、公共利益的个人信息处理活动。第七十一条:违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。同时,《数据安全法》第四十五条规定,开展数据处理活动的组织没有采取相应的技术措施和其他必要措施,保障数据安全,造成大量数据泄露等严重后果的,处五十万元以上二百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照等。我们注意到学习通《用户协议》免责条款:“对于因不可抗力或平台方不能预料、不能控制的原因(包括但不限于计算机病毒或黑客攻击、系统不稳定、用户不当使用账户、以及其他任何技术、互联网络、通信线路原因)产生的包括但不限于用户计算机信息和数据的安全问题,用户个人信息的安全问题等给用户或任何第三方造成的损失,平台方不承担任何责任。”如果是内部工作人员盗取、贩卖用户个人信息,相关人员构成侵犯公民个人信息罪,同时平台也难逃法律责任;如果是被外部窃取,并不必然适用上述“免责条款”,而是要看平台是否依法采取措施确保个人信息处理活动合法合规,平台是否尽到技术安全保障的义务。如果是因为平台系统本身存在漏洞,外部人员利用漏洞获取个人信息数据,按照“谁收集,谁负责”的原则,平台应当承担相应的法律责任,而不是自说自话“说免责就免责”。合伙人
angela.shi@yiyou.com.cn
资深律师(北京办公室)
yuning.wang@yiyou.com.cn
以上资料仅供您参考和信息分享,不能被视为益友天元律师事务所及其律师就任何特定事项出具的正式法律意见或结论。在没有获得本所法律或其他专业意见之前,本文内容不应作为您行动或不行动的依据,我们亦不对此承担任何责任。如您有任何具体法律问题或法律委托事务,请您与益友天元律师事务所联系。
Home > News & Deals >