4月6日,艺人龚俊被传“隐婚生子”并且疑遭不法手段窃取并泄露个人信息一事引发广泛关注。随后,龚俊工作室官微发布回应称网传内容均不属实,将追究窃取并传播其个人隐私信息相关主体的法律责任。目前,最初传播这一消息的相关豆瓣小组已被不限期封禁,爆料者被封号。
南都·隐私护卫队注意到,艺人长期以来都是隐私受到侵犯的重点人群,其个人信息长期被各种渠道非法披露。在该事件中,使用社工库获取个人信息的行为是否违法?相关网友可能需为此承担哪些法律责任?
有资深律师表示,将泄密信息集中起来的数据库本身就是违法的,通过使用社工库获取个人信息的行为自然也属于违法行为。还有专家指出,部分网友发送验证码试图登录龚俊微博、支付宝账号的行为在技术层面被称为“暴力破解”,这种行为也是违法的。
1
龚俊被传已育还被曝个人信息
4月5日深夜,有部分网友在豆瓣某小组发帖爆料称,龚俊疑于2012年使用昵称为“gongjun91”的账号在“百度知道”上匿名提问,内容为询问唐氏筛查结果(即唐氏综合征产前筛选检查)是否正常。此外,还有网友曝出名为“gongjun91”的账号在社交网站上辱骂其他艺人,另指出一张摄于从事有偿陪侍服务的某会所照片中的人为龚俊。
网传“百度知道”的问答截图
网传账号“gongjun91”辱骂其他艺人的截图
网传某会所照片
随后,有网友通过使用社工库获取了龚俊及亲属的邮箱、账户密码、手机号、地址等个人信息,并尝试登录其微博、支付宝账户等,甚至由于操作人数过多而触发系统屏蔽程序。
网友使用社工库查询龚俊个人信息
因操作人数过多触发屏蔽程序
4月6日上午,龚俊工作室官微就此作出回应称,网传的有关唐氏筛查、会所照片以及辱骂其他艺人等内容均失实,将追究盗取并泄露龚俊个人隐私信息相关主体的法律责任。不久,最初发布该消息的豆瓣小组已被不限期封禁,相关爆料者被封号。
龚俊工作室发表声明
豆瓣该小组被封
截至4月6日晚九点半,“龚俊工作室发辟谣声明”的热搜阅读量已突破4.6亿,讨论次数突破20万。
南都·隐私护卫队梳理发现,一直以来,艺人都是隐私受到侵犯的重点人群,通过买卖、入侵网络、利用职权之便等各种方式非法获取其个人信息的行为屡禁不止。
据南都此前报道,今年1月,央视记者王冰冰遭人肉搜索并被曝光各类信息,其中包括四级考试成绩、疑似早年结婚现场照片以及博客日志内容等,曝光者声称王冰冰“塌房了”,并指责其“学霸人设”“清纯人设”为炒作假象。
去年年初,“北京健康宝”泄露多位艺人个人信息一事引发广泛关注。只要进入健康宝“代查”页面,输入艺人姓名与身份证号,即可获取其健康宝照片及核酸检测结果、检测机构及检测时间,导致大量艺人个人信息在网上被出售。经反映后该问题得到解决。
2
试图登录他人账号的“暴力破解”系违法
何为社工库?从社工库中获取个人信息的行为是否违法?部分网友试图登录龚俊的微博、支付宝等账号,又需承担什么法律责任?
据了解,所谓社工库,是指黑客与大数据方式进行结合的一种产物,是黑客们将泄漏的用户数据整合分析后进行集中归档的一个地方。黑客们通过脱库、撞库获得数据包,其中包含的数据类型除了账号密码外,还有不同行业被攻击网站带来的附加数据。
清律律师事务所首席合伙人、中国消费者协会律师团律师熊定中在谈及社工库时指出,将泄密信息集中起来的数据库本身就是违法的,通过使用社工库获取个人信息的行为自然也属于违法行为。然而,在当下互联网世界中,社工库确实客观存在而且难以打击和取缔。
对此,北京京师律师事务所合伙人、律师王琮玮持有不同观点。在她看来,社工库是否合法需根据其基本功能来判断——如果社工库是一个开源信息平台,其中的信息内容是经合法劳动产生的智力成果,那么用户是可以使用的。
王琮玮认为,在这一事件中,社工库获取艺人个人信息的途径也是判断该行为是否合法的重要因素。
她分析,如果社工库中的内容是其收集的有关龚俊的公开信息,原则上这种行为并不违法。然而,如果社工库通过技术手段获取了被龚俊本人采取保护手段或有特定公开目的、不希望被更多人获取的信息,且在存储时不加任何保护,未对用户的使用进行任何限制,那么就可能涉嫌侵犯龚俊的个人信息权益。
“另外,如果社工库本来就是非法获取龚俊的个人信息,那么无论谁使用肯定会涉嫌违法。”她说。
相比于使用社工库的数据是否合法还需要根据情况具体分析,在获取个人信息后试图登录其账号的行为则均被二位律师视为违法。
“获取特定自然人的手机号、电子邮箱的行为本身就是侵犯他人个人信息权益的行为,而发送验证码、登录账号的尝试行为也属于侵权行为。如果指向的客体是支付账号,并引起较大金额的财产损失的话,还涉嫌犯罪。”熊定中说道。
宪法第40条规定:中华人民共和国公民的通信自由和通信秘密受法律的保护。除因国家安全或者追查刑事犯罪的需要,由公安机关或者检察机关依照法律规定的程序对通信进行检查外,任何组织或者个人不得以任何理由侵犯公民的通信自由和通信秘密。
王琮玮直言,用户使用验证码、密码、生物识别等手段就是为了保护自己的私密空间,而网友发送验证码试图登录其账号的行为在技术层面被称为“暴力破解”,即试图突破账户所有权人或权利人的保护措施,“这种行为肯定是违法的。”
她表示,相关网友可能因侵犯他人民事权益而承担法律责任,需赔礼道歉、赔偿损失并消除影响等。此外,网友这种“暴力破解”的方式还可能涉及《治安管理处罚法》中非法侵入、破坏计算机信息系统行为,若情节严重,或需承担行政责任。
此外,王琮玮还指出该事件的性质十分严重。“登录微博的行为可能会侵犯当事人的民事权益,但支付宝就不同了——支付宝账户信息属于需要重点保护的敏感信息,支付宝账户被入侵代表着极大的金融风险。”
她强调,使用暴力破解、撞库等违法手段试图登录他人支付宝账户,支付宝本身的保护机制也会被破坏。这种行为侵犯了两方面的权益,一是侵犯了支付宝账户主体的权益,二是破坏了支付宝的保护措施。
3
匿名却被轻易找出系网站违约
据爆料人消息,疑为龚俊早年使用的账号“gongjun91”在“百度知道”上的提问并未展示发帖人信息,该网友系通过查看网页源代码得知发帖人账号。值得一提的是,该网页源代码并未进行任何加密。
“百度知道”网页源代码
龚俊事件登上热搜并持续发酵后,评论区有不少表示震惊、疑惑、愤怒的声音。除了针对该事件中的娱乐元素“吃瓜”以外,也有网友提出疑问,通过查询网页代码便可轻易获取发帖人的账户名,“百度知道”的匿名机制是否形同虚设?
一位技术人员在分析该事件时指出,这种情况是网站“图省事”导致的。网站直接把用户的用户名和密码列举在网页源代码中,只需查询就能看到所有的用户信息。
他表示,当用户选择匿名模式时,网站一般会对其ID进行加密,“这种加密手段理论上是不可破译的。这也许是网页的开发问题,也可能是程序员偷懒了。”熊定中则表示,这种情况意味着网站没有做好前台匿名的技术措施,属于对用户的违约行为。
采写:南都见习记者樊文扬 王子黎 实习生 姬涵雅