清华大学金融科技研究院孵化
金融科技与金融创新全媒体

扫描分享

本文共字,预计阅读时间

“云办公”“在线会议”已经成为我们工作的常态,并迅速让我们养成了“非接触办公”的习惯,节时、高效、安全,然而,近日多款线上会议软件的安全问题被曝光;在使用线上产品时,个人信息安全和隐私、甚至企业秘密可能被无权限的他人查看。当出现这样的安全漏洞,在线会议App的运营者将面临怎样的法律风险呢?

线上办公不加密,可能涉嫌犯罪?!

我们曾分析过,爬取他人数据库中保存的数据信息,可能涉嫌刑事犯罪。《首例爬虫禁令,若不履行将被刑事处罚?》文中曾提及,网络服务提供者必须履行网络安全管理义务。爬虫服务的提供者正是基于这种义务的违反,才可能涉嫌多项刑事犯罪。

但,在法律设定的“合规经营”场景下,生产经营符合法律规定,处于理想的秩序状态;但理想状态毕竟只存在于理想中。总存在爬虫等越线行为,因而提供互联网服务,也总是需要进行加密等措施,与违法行为对抗,保证用户的利益。在程序存在漏洞、未经妥善加密的情况下,爬虫就能更轻易地打破“平衡”,侵入系统、爬取信息。

“快播”案早已为我们敲响警钟。企业提供的服务使他人的违法行为更加便利,不能用“技术的中立性”得到免责!

企业未经加密,使爬虫爬取信息更加便利;或者明知他人能够轻易地获取系统中存储的用户隐私、可能涉及企业秘密的信息,而放任这样的产品上线、被客户使用,本身就可能涉嫌犯罪。就具体罪名,我们对会议场景下的几种涉罪情形展开分析:

侵犯商业秘密罪

如果涉及企业商业秘密,则可能涉嫌《刑法》第219条规定的侵犯商业秘密罪。

直接摆上法条:

(1)以盗窃、利诱、胁迫或者其他不正当手段获取权利人的商业秘密;

(2)披露、使用或者允许他人使用以前项手段获取的权利人的商业秘密;

(3)违反约定或者违反权利人有关保守商业秘密的要求,披露、使用或者允许他人使用其所掌握的商业秘密;

给商业秘密的权利人造成重大损失的行为。

如果会议App未对客户设定的会议密钥、上传的会议视频等内容采取加密措施,导致他人轻易获得相关信息并最终导致商业秘密泄露,则可能符合本罪中以不正当手段获取他人商业秘密的行为,或者允许他人使用所获取的商业秘密的行为,从而构成本罪。

侵犯公民个人信息罪

如果涉及个人隐私信息,则可能涉嫌《刑法》第253条之一规定的侵犯公民个人信息罪。

本罪在之前的文章中曾有详细分析。《法律研究 | 侵犯公民信息,你不知道的细节...

如会议App没有设置合理的“门槛”来阻止他人非法获取、使用本App在提供服务过程中获得的公民个人信息,那么App的行为将可能被认定为将提供服务过程中获得的公民个人信息非法提供给他人;情节严重的将涉嫌本罪。

拒不履行网络安全管理义务罪

会议App没有履行网络安全管理义务,拒不改正,情节严重,可能涉嫌《刑法》第286条之一规定的拒不履行网络安全管理义务罪。

本罪在之前的文章中也有过详细分析。《原创 | 信息网络安全管理义务,上升到刑法义务?!

会议App不作为,导致违法信息大量传播(违法视频200个+;其他违法信息2000条+;违法信息实际点击量5万条+等);或者导致用户的信息泄露,造成严重后果的(泄露行踪轨迹等500条;住宿等信息5000条;其他信息5000条;造成他人自杀、被绑架、重伤、精神失常等后果);则行为将构成本罪。

信息加密,应处理到什么程度?

企业有义务对提供服务中所获得的商业秘密、个人信息进行加密。加密,是指将明文信息变为难以读取的密文信息,使之非经一定解密不可读取的过程。在目前的社交、工作App中,端到端加密得到了广泛采用。

端到端加密 (End-to-end encryption,E2EE),是指只有参与通讯的用户可以读取信息的通信加密手段。通过端到端加密,网络服务提供者、甚至是信息通讯服务提供者都只有通过用户的密钥才能对信息进行解密、读取。因此,这样的加密系统可以有效地保护个人信息,防止监视、窃取。

区别于前述“端到端”加密,在常见的SSL协议中,客户端到服务器,和服务器到客户端的传输是加密的;但服务器上存储的信息是未加密的。采取这种协议,或者其升级版的TLS协议对用户信息进行加密,也是目前部分企业采取的做法。

在完全无加密的情况中,任何一个环节都可以获取、查看并修改信息;相比这种环境,SSL和TLS协议无疑在一定程度上保证了用户的信息安全。但,这样的保护足够吗?是否足以履行前述刑法规定的义务,避免涉刑呢?

答案显然是,尚不足以。

如前所述,侵犯商业秘密罪、侵犯公民个人信息罪都是结果犯:出现一定的危害结果,就处罚与这一结果有因果关系的行为。在“端到端”加密中,由于采取了加密手段,他人只有通过触犯“非法侵入计算机信息系统罪”的手段才能侵入系统、获取信息;由于他人的违法的手段,上传信息与信息泄露之间的因果关系被中断。这一意义上,企业由于符合刑法规定的“合规”,不为信息丢失承担刑事责任。

而在SSL和TLS协议中,用户信息被上传至服务器中。如果服务器未加密,那么程序向该服务器上传信息的行为,无疑是对信息的“公开披露”;足以符合前述刑事犯罪的提供给他人使用这一要件。由于未对服务器妥善加密,未能履行“合规义务”;就可能与结果具有因果关系,涉嫌前述刑法规定的犯罪。

简言之,合规的模式下,行为应当面面俱到,不留余地;不法分子只有通过违法手段才能侵害客户利益。加密场景中,“端到端”保证了信息只有通过违法手段才能被窃取;所以相关行为“合规”,就不因他人的不法攻击为信息泄露的结果承担刑事责任。但是,如果未对信息进行妥善加密,导致他人能够合法地轻易获取信息,则可能由于不合规而涉刑。

服务客户的初衷,能否可免责?

能!但很遗憾,只能影响一点点。

敲黑板!必须向大家明确,刑法是“行为刑法”,是客观主义的刑法;而不是“目的刑法”和行为人刑法。

就是说,在考虑一个行为是不是构成犯罪的时候,考虑的对象是行为,而不是行为背后的目的。一个行为应当受到刑法处罚,是因为行为本身造成了危害,而不是因为行为背后的邪恶目的。这也就是法律人常说的“客观的违法,主观的责任”。

这一问题上,“快播”案一锤定音,为广大技术人员敲响了警钟。动机、目的只能在有限的范围内影响犯罪的责任承担,但很难根本的对行为是否违法、是否犯罪做出影响。为了实现产品功能、服务广大用户的动机不能决定行为是否构成犯罪。

但是,刑法也是人道主义的刑法:“法不强人所难”。并不是为某一违法行为承担责任,必须在行为人对行为“有责任”的前提下才可以。“服务客户”的目的,可能在当事人自担风险、期待可能性等阻却责任的意义上,影响具体的罪责承担。

自担风险,是指已经知道有风险,而自己自愿去冒风险;那么,当风险出现的时候,就应当自己来承担责任、承担损害的后果。例如,在进行体育比赛的过程中,对参加体育比赛的人或在场的观众造成伤害的人,如果不存在任何欺骗行为或者对运动规则的重大违反,不承担任何责任。

期待可能性,是指从行为时的具体情况看,可以期待行为人做出合法行为。缺乏期待可能性,行为人就不得不实施严重违法行为;而无法期待其实施合法行为。作为一个责任阻却事由,如果从行为时的具体情况看不能期待行为人做出合法行为,行为人即使做出了违法的行为涉嫌犯罪,也不因此承担刑事责任。

具体到加密的事件中,如果存在用户在安全协议、保密协议中同意信息的公开;或者对信息的加密与产品设计的初衷相违背;等等可能的情况下,也存在能够认为客户自己承诺了危害结果,或者不能期待信息安全将得到保护的情况。这时,“为了客户”的目的,也可能成为不承担责任的理由。(文/郭谭浩 肖飒)

[Source]

本文系未央网专栏作者发表,属作者个人观点,不代表网站观点,未经许可严禁转载,违者必究!首图来自图虫创意。

本文为作者授权未央网发表,属作者个人观点,不代表网站观点,未经许可严禁转载,违者必究!首图来自图虫创意。

本文版权归原作者所有,如有侵权,请联系删除。首图来自图虫创意。

评论


猜你喜欢

扫描二维码或搜索微信号“iweiyangx”
关注未央网官方微信公众号,获取互联网金融领域前沿资讯。