如何看待蘋果中國員工非法獲取 iPhone 用戶信息並出售,涉案金額達 5000 萬元?
說出來嚇死你們,新聞圖片上被抓的那堆人都是我舊同事。為什麼是舊同事?因為這事。對於無辜的我和其它清白的同事,非常痛恨這堆人,恨不得判重一點,最好永不翻身!
另外,其實這個問題很早就存在了,只是因為各種原因,並沒有人舉報,部門裡早就是公開的秘密(外包)。這次蘋果總部發現了並收集數據,雷厲風行,才促成警方迅速破案。
另外想說,並沒有中國伺服器存儲數據的說法,無論你在哪個地區。除了中國,其他地區並無出現這樣的問題,歸根結底就是中國人問題,這裡涉及薪酬待遇過低(外包)和國人以錢為唯一信仰。
賣信息這是比較低收入的做法,我只能說,解鎖iPhone的利潤,內部是佔大頭,比商家拿得多。像我們這些怕死的人(因為手停口停,比較珍惜這份工作)看著別人幾十萬上百萬的賺,同一個職位,人家買房買benz,心裡非常不舒服,但又不敢舉報,但最後,還是被害失業。
這條產業鏈,歸根到底還是管理的問題,從上而下還有相關人員的不作為。另外就是iPhone價值太高了,導致這條產業鏈層層下來都利潤豐厚。要解決其實也不難,AppleCare部門成立一個分支專管Apple ID,只有這個部門才有許可權,然後設立在美國,完事。其他部門其實根本不需要查詢信息和Apple ID的許可權。不是一朝一夕的事。
國內很早就有大量出售和求購Apple ID的市場,一直未停。
高額的市場需求,高額的利潤,低風險,推動一大批人鋌而走險。
京東賣完蘋果賣。
(京東內鬼販賣50億條公民個人信息)
不止是公司企業,銀行,電信,郵政,證券,甚至是公.......也有內鬼。
「全國公安機關網路安全保衛部門累計查破刑事案件1200餘起,抓獲犯罪嫌疑人3300餘人,其中抓獲銀行、教育、電信、快遞、證券、電商網站等行業內部人員270餘人,網路黑客90餘人,查獲信息290餘億條,清理違法有害信息42萬餘條,關停網站、欄目近900個。」
這條產業鏈是一塊大肥肉,所以單條價格如此高。
廣告,撞庫,鎖機勒索,社工,個人信息,釣魚...價值全部榨乾後,做成付費社工庫,還能再賺一筆。
產業鏈也早已成熟,源頭出售都有明確的分級定價。(每條信息10元-180元的跨度)
去年就有人曝出蘋果公司一些層級員工,手裡有查詢設備綁定的Apple ID郵箱地址的許可權。
蘋果公司有內鬼倒賣apple id已經不是一朝一夕,今天捅出來,一部分原因是因為涉案金額巨大,另一部分原因是為網路安全法的頒布展現國家的決心。
作為普通網民,早就對任何互聯網公司的安全失去了信任。
只能自己留個心眼。用複雜,不同的密碼,開個兩步驗證,儘可能減少因為信息泄露造成的二次損失。
畢竟冰山下,賣數據的「公司」,比想像的要多的多。
5000萬,這是泄露了多少AppleID的資料。
這些東西現在看來主要目的就是社工破解AppleID可以用上,其中部分密碼比較簡單的AppleID可以直接反查hash破掉。破解Apple ID以破解蘋果設備防盜、破解AppleID強制鎖定蘋果設備以敲詐機主,這些都是產業鏈了。
而且為啥單條賣價這麼高。。
不知道AppleID各區域的資料庫是不是分開的,不過從蘋果一向積極遵守我國法律的習慣來看,中國區AppleID肯定有一部分數據存儲在我國境內。將來也許不僅是有內部許可權的人,外部的人也可能攻擊到這些數據。
這也就解釋了淘寶上那些收費查ICCID,通過ICCID查手機號碼,查維修信息的店鋪是怎麼拿到這些數據的了。
老鼠屎啊,求你別來毀我的湯。
想像一下國內互聯網越來越多的各種實名制(例如正在推實名制的知乎),我們從此再也不需要顧慮隱私問題了,因為隱私從此就不存在了AppleCare 事業部和 App Store 運營組肯定要炸鍋。
不晉陞員工是有原因的,這些員工就像是 WWDC』17 開幕視頻上的那位 懷舊主義者 一樣。非要把全世界都帶到懷舊的路上……
圍繞著盜搶 iPhone ,產生了一整條利益鏈條。
有開設釣魚網站騙取賬號密碼的,有利用郵箱漏洞竊取註冊郵箱的,有做洗白生意的線下維修點,這些人處心積慮從被盜搶的 iPhone 中榨取出來錢財,也使這個非法行業得以存在。
有矛就有盾,用戶的 iPhone 被盜搶了,又有內部員工提供收費的手機 ICCID 追蹤服務,儘管從客觀上確實幫助了一部分用戶找回機子,但這些員工收費售賣公司內部信息的做法,確實又是違法的,也不能為公司所容。
利益所致,人為財死。
到底有多少人在為贓物市場提供市場需求、提供銷售渠道、提供洗白服務,我真的無力想像。非法獲取 iPhone 用戶信息並出售,構成侵犯公民個人信息罪
《中華人民共和國網路安全法》、《最高人民法院、最高人民檢察院關於辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》開始實施,獲取信息並出售,構成犯罪。
一、什麼是個人信息
《中華人民共和國網路安全法》 和《解釋》規定,「公民個人信息」包括身份識別信息和活動情況信息,是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息,包括姓名、身份證件號碼、通信通訊聯繫方式、住址、賬號密碼、財產狀況、行蹤軌跡等。」
二、 禁止任何個人和組織非法獲取個人信息、出售提供個人信息
《中華人民共和國網路安全法》非法獲取、出售、提供個人信息的 處一百萬以下罰款
第四十四條 任何個人和組織不得竊取或者以其他非法方式獲取個人信息,不得非法出售或者非法向他人提供個人信息。
第四十五條 依法負有網路安全監督管理職責的部門及其工作人員,必須對在履行職責中知悉的個人信息、隱私和商業秘密嚴格保密,不得泄露、出售或者非法向他人提供。
三、 「侵犯公民個人信息罪」
第二百五十三條之一【侵犯公民個人信息罪】違反國家有關規定,向他人出售或者提供公民個人信息,情節嚴重的,處三年以下有期徒刑或者拘役,並處或者單處罰金;情節特別嚴重的,處三年以上七年以下有期徒刑,並處罰金。
竊取或者以其他方法非法獲取公民個人信息的,依照第一款的規定處罰。
1、高利貸者將公民身份、照片、姓名、生活細節公布,無論是在網上發布還是發給特定人群, 屬於向他人出售或者提供公民個人信息, 是 「侵犯公民個人信息」行為。
《解釋》規定:「向特定人提供公民個人信息,以及通過信息網路或者其他途徑發布公民個人信息的,應當認定為刑法第二百五十三條之一規定的『提供公民個人信息』。」
2、高利貸者獲取的信息,大多是非法的,因此,獲取信息,也是非法侵犯公民個人信息行為。
《解釋》規定: 違反國家有關規定,通過購買、收受、交換等方式獲取公民個人信息」的,屬於「非法獲取公民個人信息」。
3、如何處罰: 有以下行為的,處三年以下有期徒刑或者拘役,並處或者單處罰金; 情節特別嚴重的,處三年以上七年以下有期徒刑,並處罰金。
(一)出售或者提供行蹤軌跡信息,被他人用於犯罪的;
(二)知道或者應當知道他人利用公民個人信息實施犯罪,向其出售或者提供的;
(三)非法獲取、出售或者提供行蹤軌跡信息、通信內容、徵信信息、財產信息五十條以上的;
(四)非法獲取、出售或者提供住宿信息、通信記錄、健康生理信息、交易信息等其他可能影響人身、財產安全的公民個人信息五百條以上的;
(五)非法獲取、出售或者提供第三項、第四項規定以外的公民個人信息五千條以上的;
法獲取公民個人信息後又出售或者提供的,公民個人信息的條數不重複計算。
「向不同單位或者個人分別出售、提供同一公民個人信息的,公民個人信息的條數累計計算。」
附:
《關於辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》
最高人民法院、最高人民檢察院
關於辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋
2017年3月20日最高人民法院審判委員會第1712次會議、2017年4月26日最高人民檢察院第十二屆檢察委員會第63次會議通過,自2017年6月1日起施行。
法釋〔2017〕10號
為依法懲治侵犯公民個人信息犯罪活動,保護公民個人信息安全和合法權益,根據《中華人民共和國刑法》《中華人民共和國刑事訴訟法》的有關規定,現就辦理此類刑事案件適用法律的若干問題解釋如下:
第一條刑法第二百五十三條之一規定的「公民個人信息」,是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息,包括姓名、身份證件號碼、通信通訊聯繫方式、住址、賬號密碼、財產狀況、行蹤軌跡等。
第二條違反法律、行政法規、部門規章有關公民個人信息保護的規定的,應當認定為刑法第二百五十三條之一規定的「違反國家有關規定」。
第三條向特定人提供公民個人信息,以及通過信息網路或者其他途徑發布公民個人信息的,應當認定為刑法第二百五十三條之一規定的「提供公民個人信息」。
未經被收集者同意,將合法收集的公民個人信息向他人提供的,屬於刑法第二百五十三條之一規定的「提供公民個人信息」,但是經過處理無法識別特定個人且不能復原的除外。
第四條違反國家有關規定,通過購買、收受、交換等方式獲取公民個人信息,或者在履行職責、提供服務過程中收集公民個人信息的,屬於刑法第二百五十三條之一第三款規定的「以其他方法非法獲取公民個人信息」。
第五條非法獲取、出售或者提供公民個人信息,具有下列情形之一的,應當認定為刑法第二百五十三條之一規定的「情節嚴重」:
(一)出售或者提供行蹤軌跡信息,被他人用於犯罪的;
(二)知道或者應當知道他人利用公民個人信息實施犯罪,向其出售或者提供的;
(三)非法獲取、出售或者提供行蹤軌跡信息、通信內容、徵信信息、財產信息五十條以上的;
(四)非法獲取、出售或者提供住宿信息、通信記錄、健康生理信息、交易信息等其他可能影響人身、財產安全的公民個人信息五百條以上的;
(五)非法獲取、出售或者提供第三項、第四項規定以外的公民個人信息五千條以上的;
(六)數量未達到第三項至第五項規定標準,但是按相應比例合計達到有關數量標準的;
(七)違法所得五千元以上的;
(八)將在履行職責或者提供服務過程中獲得的公民個人信息出售或者提供給他人,數量或者數額達到第三項至第七項規定標準一半以上的;
(九)曾因侵犯公民個人信息受過刑事處罰或者二年內受過行政處罰,又非法獲取、出售或者提供公民個人信息的;
(十)其他情節嚴重的情形。
實施前款規定的行為,具有下列情形之一的,應當認定為刑法第二百五十三條之一第一款規定的「情節特別嚴重」:
(一)造成被害人死亡、重傷、精神失常或者被綁架等嚴重後果的;
(二)造成重大經濟損失或者惡劣社會影響的;
(三)數量或者數額達到前款第三項至第八項規定標準十倍以上的;
(四)其他情節特別嚴重的情形。
第六條為合法經營活動而非法購買、收受本解釋第五條第一款第三項、第四項規定以外的公民個人信息,具有下列情形之一的,應當認定為刑法第二百五十三條之一規定的「情節嚴重」:
(一)利用非法購買、收受的公民個人信息獲利五萬元以上的;
(二)曾因侵犯公民個人信息受過刑事處罰或者二年內受過行政處罰,又非法購買、收受公民個人信息的;
(三)其他情節嚴重的情形。
實施前款規定的行為,將購買、收受的公民個人信息非法出售或者提供的,定罪量刑標準適用本解釋第五條的規定。
第七條單位犯刑法第二百五十三條之一規定之罪的,依照本解釋規定的相應自然人犯罪的定罪量刑標準,對直接負責的主管人員和其他直接責任人員定罪處罰,並對單位判處罰金。
第八條設立用於實施非法獲取、出售或者提供公民個人信息違法犯罪活動的網站、通訊群組,情節嚴重的,應當依照刑法第二百八十七條之一的規定,以非法利用信息網路罪定罪處罰;同時構成侵犯公民個人信息罪的,依照侵犯公民個人信息罪定罪處罰。
第九條網路服務提供者拒不履行法律、行政法規規定的信息網路安全管理義務,經監管部門責令採取改正措施而拒不改正,致使用戶的公民個人信息泄露,造成嚴重後果的,應當依照刑法第二百八十六條之一的規定,以拒不履行信息網路安全管理義務罪定罪處罰。
第十條實施侵犯公民個人信息犯罪,不屬於「情節特別嚴重」,行為人系初犯,全部退贓,並確有悔罪表現的,可以認定為情節輕微,不起訴或者免予刑事處罰;確有必要判處刑罰的,應當從寬處罰。
第十一條非法獲取公民個人信息後又出售或者提供的,公民個人信息的條數不重複計算。
向不同單位或者個人分別出售、提供同一公民個人信息的,公民個人信息的條數累計計算。
對批量公民個人信息的條數,根據查獲的數量直接認定,但是有證據證明信息不真實或者重複的除外。
第十二條對於侵犯公民個人信息犯罪,應當綜合考慮犯罪的危害程度、犯罪的違法所得數額以及被告人的前科情況、認罪悔罪態度等,依法判處罰金。罰金數額一般在違法所得的一倍以上五倍以下。
第十三條本解釋自2017年6月1日起施行。
附:侵犯公民個人信息犯罪典型案例
1.邵保明等侵犯公民個人信息案
2.韓世傑、曠源鴻、韓文華等侵犯公民個人信息案
3.周濱城等侵犯公民個人信息案
4.夏拂曉侵犯公民個人信息案
5.肖凡、周浩等侵犯公民個人信息案
6.杜明興、杜明龍侵犯公民個人信息案
7.丁亞光侵犯公民個人信息案
一、邵保明等侵犯公民個人信息案
非法出售戶籍信息、手機定位、住宿記錄等個人信息,構成侵犯公民個人信息罪
(一)基本案情
2016年初,被告人邵保明、康旭、王傑、陸洪陽分別以「大叔調查公司」的名義向他人出售公民個人信息,被告人倪江鴻不久後參與。五被告人通過在微信朋友圈發布出售個人戶籍、車輛檔案、手機定位、個人徵信、旅館住宿等各類公民個人信息的廣告的方式尋找客戶,接單後通過微信向上家購買信息或讓其他被告人幫忙向上家購買信息後加價出售,每單收取10元至1000餘元不等的費用。經查,被告人邵保明獲利人民幣26000元,被告人康旭獲利人民幣8000元,被告人倪江鴻、王傑、陸洪陽各獲利人民幣5000元。
(二)裁判結果
浙江省東陽市人民法院判決認為:被告人邵保明、康旭、倪江鴻、王傑、陸洪陽單獨或夥同他人,違反國家有關規定,向他人出售公民個人信息,情節嚴重,其行為均已構成侵犯公民個人信息罪。綜合考慮被告人的坦白、退贓等情節,以侵犯公民個人信息罪判處被告人邵保明有期徒刑一年三個月,並處罰金人民幣八千元;被告人康旭有期徒刑一年,並處罰金人民幣四千元;被告人倪江鴻、王傑、陸洪陽各有期徒刑十個月,並處罰金人民幣二千元。該判決已發生法律效力。
二、韓世傑、曠源鴻、韓文華等侵犯公民個人信息案
非法查詢徵信信息牟利,構成侵犯公民個人信息罪
(一)基本案情
2015年9月3日至4日,被告人韓世傑、曠源鴻、韓文華利用連光輝(湖北省巴東縣農村商業銀行沿渡河支行徵信查詢員)的徵信查詢ID號、密碼及被告人李沖、耿健美(洛陽銀行鄭州東風路支行客戶經理)提供的洛陽銀行鄭州東風路支行的銀行專用網路,在該行附近使用電腦非法查詢公民個人銀行徵信信息3萬餘條。
2015年9月5日至6日,被告人韓世傑、曠源鴻、韓文華利用連光輝的徵信查詢ID號、密碼及被告人李楠、盧惠生(德州銀行濱州金廷支行行長)提供的德州銀行濱州分行的銀行專用網路,在該行南面的停車場內,使用電腦分兩次非法查詢公民個人銀行徵信信息2萬餘條。
2015年9月8日,被告人韓世傑、曠源鴻、韓文華利用李濤(江蘇省淮安市農村商業銀行徐溜支行職工)的銀行徵信查詢ID號及密碼及被告人李楠、盧惠生提供的德州銀行濱州分行專用網路,在該行南面的停車場內,使用電腦非法查詢公民個人銀行徵信信息近3萬條。
被告人韓亮、鄧佳勇獲得徵信查詢ID號、密碼並非法提供給被告人韓世傑等人使用,雙方通過被告人陳莎莎中轉租金、傳遞密碼。被告人韓世傑、曠源鴻、韓文華將查詢獲得的上述公民個人銀行徵信信息出售給他人,向被告人韓亮、李沖、李楠支付了相關費用。
(二)裁判結果
湖北省巴東縣人民法院判決認為:被告人韓世傑、曠源鴻、韓文華、韓亮、鄧佳勇、李楠、陳莎莎、盧惠生、李沖、耿健美違反國家有關規定,非法獲取公民個人信息出售牟利,情節嚴重,其行為已構成侵犯公民個人信息罪。綜合考慮被告人自首、坦白、積極退贓等情節,以侵犯公民個人信息罪判處被告人韓世傑有期徒刑一年六個月,並處罰金人民幣二萬元;被告人曠源鴻有期徒刑一年三個月,並處罰金人民幣二萬元;被告人韓文華處有期徒刑一年二個月,並處罰金人民幣一萬元;被告人韓亮有期徒刑一年,並處罰金人民幣一萬元;以及其他各被告人相應有期徒刑、拘役和罰金。該判決已發生法律效力。
三、周濱城等侵犯公民個人信息案
非法購買學生信息出售牟利,構成侵犯公民個人信息罪
(一)基本案情
2016年4月,被告人周濱城向他人購買浙江省學生信息193萬餘條。後被告人周濱城將其中100萬餘條嘉興、紹興地區的學生信息以6萬餘元的價格出售給被告人陳利青,將45655條嘉興地區的學生信息以3500元的價格出售給被告人劉亞、陳俊、周紅雲,將7214條平湖地區的學生信息以1400元的價格出售,將2320條平湖地區的學生信息以500元的價格出售,共計非法獲利65400元。此外,2016年4月,被告人劉亞、陳俊、周紅雲以3000元的價格向他人購買嘉興地區學生信息25068條。
(二)裁判結果
浙江省平湖市人民法院判決認為:被告人周濱城、陳利青、劉亞、陳俊、周紅雲違反國家有關規定,向他人出售或者以購買的方法非法獲取公民個人信息,數量分別為193萬餘條、100萬餘條、7萬餘條、7萬餘條、7萬餘條,其行為均已構成侵犯公民個人信息罪。綜合考慮被告人自首、坦白等情節,以侵犯公民個人信息罪判處被告人周濱城有期徒刑一年十一個月,並處罰金人民幣四萬元;被告人陳利青有期徒刑十一個月,並處罰金人民幣十萬元;被告人劉亞、陳俊、周紅雲有期徒刑九個月至七個月不等、緩刑一年,並處罰金人民幣五千元至四千元不等。該判決已發生法律效力。
四、夏拂曉侵犯公民個人信息案
非法買賣網購訂單信息,構成侵犯公民個人信息罪
(一)基本案情
2015年10月至2016年7月,被告人夏拂曉買賣大量含有公民姓名、收貨地址、手機號碼等內容的網購訂單信息,非法獲利約5萬元。被告人夏拂曉在歸案後如實供述自己的罪行。
(二)裁判結果
浙江省紹興市柯橋區人民法院判決認為:被告人夏拂曉違反國家有關規定,非法獲取公民個人信息並向他人出售,情節嚴重,其行為已構成侵犯公民個人信息罪。綜合考慮全案情節,以侵犯公民個人信息罪判處被告人夏拂曉有期徒刑二年,並處罰金人民幣二千元。該判決已發生法律效力。
五、肖凡、周浩等侵犯公民個人信息案
利用黑客手段竊取公民個人信息出售牟利,構成侵犯公民個人信息罪
(一)基本案情
被告人肖凡、周浩預謀竊取郵局內部的公民個人信息進行出售牟利,共同出資購買了黑客軟體。2016年5月至2016年6月,二人通過黑客軟體侵入郵局內網,在郵局內網竊取郵局內部的公民個人信息103257條,並將竊取的公民個人信息全部出售給被告人李曉波。後李曉波將購買的公民個人信息出售給被告人王麗元40000條,王麗元又將購買到的公民個人信息出售給被告人宋曉波30000條。
(二)裁判結果
內蒙古自治區赤峰市紅山區人民法院判決認為:被告人肖凡、周浩通過黑客手段竊取公民個人信息並非法出售,李曉波、王麗元、宋曉波通過購買方式非法獲取公民個人信息,其行為均已構成侵犯公民個人信息罪。據此,以侵犯公民個人信息罪判處被告人肖凡、周浩、李曉波各有期徒刑二年,並處罰金人民幣五萬元;被告人王麗元有期徒刑一年,並處罰金人民幣三萬元;被告人宋曉波有期徒刑六個月,並處罰金人民幣三萬元。該判決已發生法律效力。
六、杜明興、杜明龍侵犯公民個人信息案
通過互聯網非法購買、交換、出售公民個人信息,構成侵犯公民個人信息罪
(一)基本案情
被告人杜明興、杜明龍加入涉及個人信息交換買賣的QQ群,通過購買、交換等方式獲取大量公民個人信息,再在群里發布廣告招攬買家。2015年11月至2016年3月,杜明興向他人購買或者交換車主信息等公民個人信息28萬餘條,向他人出售關於期貨、基金、車主、信用卡等公民個人信息42萬餘條;杜明龍向他人購買杭州地區新生兒及其父母信息等公民個人信息3萬餘條,向他人出售車主信息、小區業主信息等公民個人信息近40萬條。
(二)裁判結果
江蘇省南京市鼓樓區人民法院判決認為:被告人杜明興、杜明龍違反國家有關規定,向他人出售或者以非法方法獲取公民個人信息,情節嚴重,其行為已構成侵犯公民個人信息罪。綜合考慮被告人坦白、退贓等情節,以侵犯公民個人信息罪判處被告人杜明興、杜明龍各有期徒刑一年四個月,罰金人民幣一萬元;被告人有期徒刑一年二個月,罰金人民幣一萬元。該判決已發生法律效力。
七、丁亞光侵犯公民個人信息案
非法提供近二千萬條住宿記錄供他人查詢牟利,構成侵犯公民個人信息罪「情節特別嚴重」
(一)基本案情
2013年底,一家為全國4500多家酒店提供網路服務的公司因系統存在安全漏洞,致使全國高達2000萬條賓館住宿記錄泄露。2015年初至2016年6月,被告人丁亞光通過在不法網站下載的方式,非法獲取賓館住宿記錄等公民個人信息,並上傳至自己開辦的「嗅密碼」網站。該網站除了能夠查詢住宿記錄外,還提供用戶QQ、部分論壇賬號及密碼找回功能。其中住宿記錄共有將近二千萬條,用戶經註冊成為會員後,可以在網頁「開房查詢」欄目項下,以輸入關鍵字姓名或身份證號的方式查詢網站資料庫中賓館住宿記錄(顯示姓名、身份證號、手機號碼、地址、住宿時間等信息)。丁亞光自2015年5月份左右開始對該網站採取註冊會員方式收取費用60元/人,到2016年1月份上調到120元/人。2015年11月1日至2016年6月23日,「嗅密碼」網站共有查詢記錄49698條,收取會員費191440.92元。
(二)裁判結果
浙江省樂清市人民法院判決認為:被告人丁亞光非法獲取住宿記錄等公民個人信息後通過網站提供查詢服務牟利,供查詢的公民個人信息近二千萬條,其行為已經構成侵犯公民個人信息罪,且屬於「情節特別嚴重」。綜合考慮退贓等情節,以侵犯公民個人信息罪判處被告人丁亞光有期徒刑三年,並處罰金人民幣二萬元。該判決已發生法律效力。
首先要強調:不要過於相信新聞報道的內容,未必是真實的。
所以本文分析僅限於這一假設的案例事實: 蘋果公司的員工利用蘋果公司內部系統平台,非法查詢蘋果手機關聯的手機號碼、姓名、AppleID等信息,再在網上出售。
這個案例涉及兩個罪名。
手段行為——為獲取用戶信息而侵入計算機系統的行為成立 非法獲取計算機信息系統數據
本罪法條是刑法285條第2款(第1款略去):
侵入國家事務、國防建設、尖端科學技術領域以外的計算機信息系統 (如果侵入這三種計算機系統,觸犯的是本條第1款的 非法侵入計算機信息系統罪 ),或者 採用其他技術手段,獲取該計算機信息系統中存儲、處理或者傳輸的數據 ,情節嚴重, 處三年以下有期徒刑或者拘役,並處或者單處罰金;情節特別嚴重的,處三年以上七年以下有期徒刑,並處罰金。
按最高人民法院、最高人民檢察院關於辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋_全文,
獲取身份認證500組是情節嚴重,2500組是情節特別嚴重。
這個案件隨便都是情節特別嚴重,只是量刑最高七年,一般不會封頂,恐怕也只能在5-7年之間確定刑期。
當然,如果他就是平時工作中能接觸到用戶信息,直接以工作、職務上的便利獲取的,那就不成立這個罪了。
報道中的方法是「 利用蘋果公司內部系統平台,非法查詢蘋果手機關聯的手機號碼 」,仍然無法確定是否屬於「侵入或採取技術手段獲取」,要看具體證據。
另外,計算機信息系統是否屬於」尖端科學技術領域「,我個人覺得蘋果公司不算。如果要認定它算,按上面那個司法解釋的規定,需要 省級以上負責計算機信息系統安全保護管理工作的部門檢驗 ,再由司法機關根據檢驗結果作出認定。
目的行為——獲取用戶信息並用於出售的行為成立 侵犯公民個人信息罪
本罪是刑法253條之一:
違反國家有關規定,向他人出售或者提供公民個人信息,情節嚴重的,處三年以下有期徒刑或者拘役,並處或者單處罰金;情節特別嚴重的,處三年以上七年以下有期徒刑,並處罰金。
違反國家有關規定,將在履行職責或者提供服務過程中獲得的公民個人信息,出售或者提供給他人的,依照前款的規定從重處罰。
竊取或者以其他方法非法獲取公民個人信息的,依照第一款的規定處罰。
單位犯前三款罪的,對單位判處罰金,並對其直接負責的主管人員和其他直接責任人員,依照各該款的規定處罰。按最高人民法院、最高人民檢察院關於辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋_全文,情節嚴重是指
(三)非法獲取、出售或者提供行蹤軌跡信息、通信內容、徵信信息、財產信息50條以上的;
(四)非法獲取、出售或者提供住宿信息、通信記錄、健康生理信息、交易信息等其他可能影響人身、財產安全的公民個人信息500條以上的;
(五)非法獲取、出售或者提供第三項、第四項規定以外的公民個人信息5000條以上的;情節特別嚴重是上述標準的10倍。
報道里涉及的是「手機號碼、用戶名,apple ID」,這隻能算第五項中的公民信息,入罪是5000條,升檔量刑是50000條。
報道最後的「警方提示XXX等信息50條入罪」其實與本案關係不大。
此外,這裡會涉及幾個刑法上的爭議。
1、適用法律帶來的牽連犯與競合犯問題
從罪狀表述上看,其行為既是竊取,也是向他人出售,同時符合第一款、第三款的規定。那這裡就有個問題,他的整體行為是侵入計算機系統,取得用戶信息,用於出售,刑法要完整地對這整個行為作出評價,有兩種可能:
- 可能一:侵入計算機系統的行為,取得信息(285條第2款)——非法獲取計算機信息系統數據 ,出售信息(253條之一第1款)——侵犯公民個人信息罪
- 可能二:侵入計算機系統的行為,取得信息(253條之一第3款)——侵犯公民個人信息罪 ,出售信息(253條之一第1款)——侵犯公民個人信息罪
首先,如果光說手段行為,它既是特殊法條285條第2款規定的「侵入計算機以技術手段獲取」非法獲取計算機信息系統數據(下稱獲取數據罪),也是普通法條253條之一第3款規定的「竊取或非法獲取」侵犯公民個人信息罪(下稱侵犯信息罪)。這屬於競合,按特殊法優於普通法,選擇特殊法所規定的獲取數據罪。
其次,手段和目的行為分別觸犯不同的法律,屬牽連犯,這種情況下,雖然刑法通說是選擇處罰更重的罪來認定,但有些情況下也可以數罪併罰(一般是刑法或司法解釋有明確規定時)。但本案中,獲取信息和出售信息分屬不同的法條處罰,並未重疊,個人認為應數罪併罰。
如果先以法條競合,對手段行為認定為獲取數據罪,再以牽連犯,對手段與目的分別處獲取數據罪、侵犯信息罪,進行數罪併罰,即為可能一的組合。這種情況下如果數罪併罰,兩罪的刑罰合併,可能達到十年以上。
如果不考慮法條競合,只考慮同時適用253條第1、3款的規定可以涵蓋全部犯罪行為,而且不僅迴避了這種情況下的牽連犯是從一重罪還是數罪併罰的爭議,也完美地迴避了要查明手段行為是否屬於「侵入或以技術手段獲取」的舉證責任和查明事實責任,省了很多偵查方面的工作,即以可能二的組合,只定侵犯信息罪一罪。這種情況下最高七年。
可能一的情況如果要從一重罪來處理,反而不如按可能二的情況來處理,更不容易被挑出毛病,也不需要去正面回答這個牽連犯的問題。
2、刑法條文的溯及力問題
可能有今年要考司法考試的同學已經想到了,刑法253條之一在前兩年的法條內容還不是這樣的,它是在2015年11月1日實施的刑法修正案九被改成現在這個樣,而之前的法條是:
《刑法修正案七》所增加的第二百五十三條之一(舊法):
【出售、非法提供公民個人信息罪】 國家機關或者金融、電信、交通、教育、醫療等單位的工作人員,違反國家規定,將本單位在履行職責或者提供服務過程中獲得的公民個人信息,出售或者非法提供給他人,情節嚴重的,處三年以下有期徒刑或者拘役,並處或者單處罰金。
【非法獲取公民個人信息罪】 「竊取或者以其他方法非法獲取上述信息,情節嚴重的,依照前款的規定處罰。
「單位犯前兩款罪的,對單位判處罰金,並對其直接負責的主管人員和其他直接責任人員,依照各該款的規定處罰。」在舊法里,首先它規定的是兩個罪,而不是現在統一的侵犯公民個人信息罪。
其次,在第一款處罰「提供、出售行為」的犯罪主體是國家機關或者金融、電信、交通、教育、醫療等單位。蘋果公司顯然不是這些單位。
刑法在溯及力上有個基本原則叫從舊兼從輕,它的意思是:原則上以犯罪行為當時的法律來處罰;例外情況下,如果審判時的法律更輕,則選擇審判時的法律。
這就有了第二個問題:在我國刑法中,2015年11月1日開始,才懲罰「所有人」的出售、提供公民信息行為,在這一天之前,只能懲罰「國家機關或者金融、電信、交通、教育、醫療等單位的工作人員」的出售、提供公民信息行為。因為在2015年11月1日之前的行為,行為當時的刑法認為這些人不符合犯罪構成主體,不成立犯罪。
有同學會說了,就算2015年11月1日之前的出售、提供行為不能懲罰,但是仍然可以用舊法第二款來懲罰他們的非法獲取信息行為啊。而舊法第二款的內容與新法第三款的內容是完全一致的。
確實沒錯,但是還是要注意:無論舊法第二款還是新法第三款,懲罰的都是「竊取或非法獲取公民信息」行為,其處罰都是按「第一款」,但是具體的刑罰幅度是不同的。舊法第一款的處罰,最高刑是3年;新法第一款的處罰,最高刑是七年。
所以,如果按舊法,要定為非法獲取公民個人信息罪這個已經被《刑法修正案九》取消了的罪名,而且最高量刑只有3年。
但是(敲黑板),別忘了上面說過的,非法獲取行為是法條競合,它同時還成立非法獲取計算機信息系統數據罪,而這個罪的最高刑可是七年。法條競合時要選擇特殊法條的罪名,所以,同樣按刑法溯及力的從舊兼從輕原則,對於2015年11月1日之前的非法獲取行為,要認定為非法獲取計算機信息系統數據罪。
最終按犯罪行為所得的時間點劃分,就會變成這樣:
- 2009年2月28日的刑法修正案七設立了非法獲取計算機信息系統數據罪和253條之一對公民信息的保護。在這之前的行為不成立犯罪(我想本案的犯罪行為也不大可能在2009年2月28日之前就實施)
- 2009年2月28日——2015年11月1日之間的行為:出售行為不成立犯罪。獲取行為按行為當時的法律,並根據證據情況,從非法獲取公民個人信息罪(最高刑3年)和非法獲取計算機信息系統數據罪(最高刑7年)之間選擇。如果證據能證實具體的獲取手段是「侵入或技術手段」,以非法獲取計算機信息系統數據罪(最高刑7年)認定。
- 2015年11月1日至今:出售行為成立侵犯公民個人信息罪(最高刑7年)。獲取行為根據證據情況,從侵犯公民個人信息罪(最高刑7年)和非法獲取計算機信息系統數據罪(最高刑7年)之間選擇。如果證據能證實具體的獲取手段是「侵入或技術手段」,以非法獲取計算機信息系統數據罪(最高刑7年)認定。但是考慮到牽連犯的處理,最終認定為侵犯公民個人信息罪(最高刑7年) 更加合適。
這種情況下,按2015年11月1日這個時間節點劃分,就可能同時存在侵犯公民個人信息罪(最高刑7年)和非法獲取計算機信息系統數據罪(最高刑7年),數罪併罰的話,最終量刑也仍然有可能達到十年以上。
3、司法解釋的溯及力問題
有細心的同學發現了,新聞里的警察(請注意與現實中的警察、知乎上的警察等等處於不同的位面)叔叔說了:2017年6月1日開始,非法獲取、出售XXX等公民信息,即構成犯罪。
2017年6月1日是最高人民法院、最高人民檢察院關於辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋_全文開始實施的時間節點,也是從這天開始,侵犯公民個人信息罪的入罪標準「情節嚴重」,才有了準確的量化標準。
這是不是意味著我前面說了一堆2015年前後的事情都是廢話,實際上只處罰2017年6月1日之後,有明確入罪標準以後的獲取、出售行為呢?
當然不是。請注意,這個在兒童節那天施行的文件是司法解釋,它的溯及力與刑法的溯及力是不同的。
最高人民法院最高人民檢察院關於適用刑事司法解釋時間效力問題的規定_全文的第一條就提出:
一、司法解釋是最高人民法院對審判工作中具體應用法律問題和最高人民檢察院對檢察工作中具體應用法律問題所作的具有法律效力的解釋,自發布或者規定之日起施行,效力適用於法律的施行期間。
有鑽研精神的同學可以去看看後面幾條規定的司法解釋的從舊兼從輕原則,這與本案例無關,這裡不多說。
司法解釋的「實施」與「生效」是兩回事。「生效」僅指狹義上的法律,實施則包括了廣義上的法律。
司法解釋本身沒有獨立的效力,它的效力依附於法律本身。只要這個法律條文有效,那司法解釋一經實施,它的效力就與法律條文的效力同在。
因此,在2017年6月1日之後,這個侵犯公民個人信息的司法解釋就可以從2009年2月28日開始適用於刑法253條之一了。
所以,新聞里的警察叔叔上述說法是錯誤的。準確的說法,即使考慮到刑法修正案七對公民個人信息的保護仍然不完善,也應該是從刑法修正案九開始完善打擊此類犯罪的那一天,2015年11月1日開始,非法獲取、出售公民個人信息達到XX條,即成立犯罪。
初步查明涉案金額在5000萬以上,每條信息按照180元出售,至少包含27.78萬條信息,實際數量絕對只多不少。
這種事的利潤絕對比相應的風險來得要多很多,不然哪裡會有這麼多人從事這條產業鏈呢?
6月1號起強制要求實名制,以後類似的事情絕對會不斷發生,問題在於ZF是想要解決這個問題,還是想要解決公開這個問題的人?
這段話是我自己的經驗:iPhone激活時選擇地區為美國,語言設置為英文,好像相關數據不會儲存在中國的伺服器上,因為後來切換到中文時iPhone顯示正在從iCloud更新數據。
為了防止類似的問題對自己造成影響,建議所有互聯網賬戶的密碼使用不同的、12位以上大小寫字母+數字+特殊符號、能開啟二部驗證/雙重驗證的盡量開啟,能不綁定手機號的盡量不綁定手機號,希望韓國實名制的歷史不會在中國上演。前幾天知乎給我發私信,要求我關聯手機。
其實我早就被知乎邀請認證身份獲得啥資格,但是我沒做。
為什麼?
真實身份披露給網站其實無所謂,也有助於網站管理人員識別RPG行為。但是網站其實只是無數素質良莠不齊的員工組成的集合,我無法確保(我看中國也沒有任何機構敢給我們確保)我的個人信息不會被這些人濫用。
蘋果的員工泄密很好地證明了我的觀點。
我在知乎提供免費的諮詢,是我自己獻愛心回饋社會的方式,但是如果需要付出個人隱私被泄露乃至可能有生命危險的代價(現在中國變態可真不少),那麼不好意思,我還是不要獻這個愛心好了。誰愛獻誰獻。
本貼下各種聲討蘋果公司覺得應該起訴的,你們說的都對,問題是,稍嫌欺軟怕硬。
不是只有蘋果在賣我們的信息,
- 你換個手機號還沒用過,推銷的人就能叫著你的姓打過電話來;
- 你辦個房屋入住手續,第二天,裝修公司就扎堆打電話上門了;
- 你辦下房產證還沒捂熱,房產中介清楚地說著你的房間號打電話來了;
- 最可笑的,一家剛開張的餐廳你去定位,發現接電話的小姑娘知道你的名字。
如是種種,為什麼大家都選擇性無視了?被賣習慣了?還是這回的賣家有錢,大家覺得有利可圖了?!或是這回的賣家沒有政府背景,我們覺得可以告得起了?!
以涉案金額5000萬元以上、每條信息10元-180元不等售價來計算,這夥人至少賣了幾十萬的用戶個人信息,按最新司法解釋,屬於「情節特別嚴重」,至少三年起判,且還會有高額罰金。
蘋果內部員工出售的這些信息能幹什麼用呢?許多人iPhone被偷,激活了iCloud鎖強制鎖定手機,這些信息就是小偷可以解鎖手機的關鍵。如果沒人提供信息,小偷們不知道手機主人個人信息,解鎖能力要下降一大半。
這次的蘋果內部員工只是黑產幕後隱藏的一小部分,明面上的還有某寶、某聊天工具上的各種商品、群。現在在某寶上搜索「Apple ID解鎖」,還能找到許多聲稱提供「官方解鎖Apple ID」服務的商家。
廠商不認真作為,用戶信息就沒有保障。希望這次事件能讓蘋果公司真正警醒起來,對iCloud盜號加大安全防護,否則國內iPhone用戶還是過著裸奔一樣的生活。
一個段子就能解決的問題,知乎人非要討論
老婆:你上周出差去哪了
老公:杭州啊
老婆:想騙老娘,你以為某寶上查詢蘋果維修記錄算啥。老娘在某寶上能通過天網買到你的酒店記錄,開房記錄,飛機記錄,行車記錄,銀行卡消費記錄和對應的視頻
這些都不是內部「員工」提供的,而是內部「同志」提供的。這個事情蘋果應該出面解釋,到底是如何發生的,蘋果公司為防止這種風險做了什麼努力,不然消費者應該依據六月一日實行的《網路安全法》要求賠償。
目前可以肯定是,在很長的時間內,蘋果都沒有發覺內鬼盜取用戶數據的事情,這表明蘋果的審計機制存在嚴重漏洞。2010年, David Barksdale只偷看了很少的Gmail數據就被審計發現,之後被Google fire了。
大型企業內鬼盜用數據的事情不可避免,事後補救也很重要。2009年12月Google發生內鬼協助攻擊者盜取用戶數據的事情,Larry Page停掉了整個存在風險部門訪問核心數據的許可權。蘋果公司尚未公開目前做了什麼工作。
這是今年的第二起較大的個人隱私泄漏案了,上一次是滴滴打車的外包公司員工主犯。知道了淘寶那些查詢質保,解ID鎖的原來都是真的。。一直都知道這條黑色產業鏈多麼的瘋狂,這一看果然如此。
對蘋果用戶是好事,這事肯定得解決,這條產業鏈也得打擊都是肯定的。
但兩步驗證還是要開要開要開必須要開必須第一時間開。
這條產業鏈這麼大,可見國內有多少蘋果用戶不開或者是拿「嫌麻煩不開」的幌子來掩蓋不會開兩步驗證。
所以問題來了,蘋果的保密鏈到底在哪個環節有問題?此事不查清楚勢必會弄個大新聞。
這難道不是蘋果流氓售後的惡果嗎,明明可以通過驗證失主身份信息把id還給失主,非要提供發票,包裝盒,保修卡三樣,有發票都不行。這不是蘋果自己作惡的嗎?還有哪個公司員工賣id能賺這麼多錢?受害者可以起訴蘋果公司嗎?不要總覺得外國公司良心,那是因為有那麼好的消費者權益保護,他不敢不良心,不良心的代價太高了。
這個事,不是簡單的員工個人行為可以解釋得了的。這個是蘋果公司內部管理重大缺陷,消費者把敏感信息交給了蘋果,他有妥善保管的義務。
推薦閱讀:
※「我已認真閱讀並同意……」究竟有怎樣的法律效用?
※老虎證券需要什麼互聯網資質嗎?
※馬伯里訴麥迪遜案能產生的憲法學啟示有哪些?
※如何看待嬰兒爽身粉致癌,強生被判賠償27.8億元這起案子的裁決?
※如何脫離傳銷組織?
TAG:法律 | 蘋果公司AppleInc | 網路安全 | 信息安全 | 隱私 |