Zhenggui.com:APP 漏洞致海量用户信息泄露,流入黑灰产?运营方 + 贩卖者全被追责!-夜雨聆风

Zhenggui.com:APP 漏洞致海量用户信息泄露,流入黑灰产?运营方 + 贩卖者全被追责!

基本案情

云南某科技公司运营的“通讯录”移动端APP，面向全网用户提供通讯录备份、好友匹配、人脉拓展等线上服务，拥有大量注册用户，后台存储着海量用户的通讯录信息、手机号、联系人隐私等公民个人信息。该APP运营方严重漠视网络安全主体责任，内部管理混乱，在产品研发、系统运维、用户管理等关键环节存在重大漏洞，全程未建立完善、有效的用户身份核验机制，同时未采取数据加密存储、访问权限管控、日志审计等必要的技术防护措施，导致用户信息安全防线形同虚设。不法分子利用该APP的安全漏洞，非法侵入后台系统，批量窃取、导出用户个人信息，随后将泄露的信息流入黑灰产交易市场，层层转手倒卖、肆意流通，形成了“漏洞泄露—非法窃取—转手贩卖”的完整黑灰产业链，引发区域性、规模化的个人信息泄露风险，波及大量普通民众，造成恶劣的社会影响，违反了《网络安全法》《数据安全法》《个人信息保护法》中关于数据处理者的安全保护义务规定。

涉案人员凌某系某信息技术科技公司实际控制人及主要经营者，其利用公司经营便利，长期违规开展公民个人信息收集、贩卖活动。凌某通过技术抓取、后台非法爬取、第三方合作导流等不正当方式，大肆收集互联网用户的基础信息及行为数据，其中包括公民手机号码、日常上网浏览轨迹、消费偏好、兴趣标签、浏览时长等各类能反映用户个人特征的画像信息，并将上述上网偏好标签与公民手机号进行精准绑定，整合形成可直接用于商业营销、精准推送甚至违法犯罪的公民个人信息数据包。期间，凌某无视国家个人信息保护相关法律法规，在网络黑灰产业链内搭建私下交易渠道，向各类营销中介、不法商户甚至诈骗团伙批量售卖上述带精准标签的手机号信息，以此谋取高额非法利益。经司法审计部门核查确认，凌某通过持续贩卖涉案公民个人信息，累计获取违法所得达68万余元，且涉案信息数量庞大、精准度高，极易被下游不法分子利用，引发电信诈骗、恶意骚扰等次生违法犯罪，严重威胁广大公民的人身财产安全。根据相关法律规定，此类违法所得在认定时，一般不扣除其非法收集信息的成本，直接以出售收入予以认定。依照《中华人民共和国刑法》第二百五十三条之一、《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》相关规定，作出如下判决：

1、被告人凌某犯侵犯公民个人信息罪，鉴于其系主犯，违法所得数额巨大（68万余元），犯罪情节特别严重，且无明显从轻、减轻处罚情节，判处有期徒刑3年3个月，并处罚金人民币20万元（罚金数额结合其违法所得，在一倍以上五倍以下幅度内依法确定）；

2、被告单位某科技公司（凌某经营的公司）犯侵犯公民个人信息罪，判处罚金人民币50万元，依法追缴该公司全部违法所得（与凌某违法所得一并追缴）；

3、云南“通讯录”APP运营方相关责任人员，结合其犯罪情节、认罪悔罪表现，依法判处相应有期徒刑及罚金，同时责令该APP运营方立即关停涉案APP，整改安全漏洞，删除非法存储的公民个人信息，消除安全隐患；

4、依法追缴凌某全部违法所得68万余元，追缴云南“通讯录”APP运营方及相关人员的全部违法所得，上缴国库；

5、扣押在案的涉案电脑、服务器、作案工具等，依法予以没收。

裁判分析

《中华人民共和国刑法》第二百五十三条之一（侵犯公民个人信息罪）：明确规定，违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金；单位犯本罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照前款的规定处罚。根据两高相关司法解释，违法所得5万元以上即属于“情节特别严重”，凌某违法所得68万余元，远超该标准，依法应适用加重量刑档次。

《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》：明确了“公民个人信息”的范围，包括能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，本案中带偏好标签的手机号、浏览轨迹等均属于受保护的公民个人信息；同时明确了单位犯罪的双罚制适用、违法所得的认定标准，以及“情节特别严重”的具体情形，为本案裁判提供了明确依据。

《网络安全法》《数据安全法》《个人信息保护法》：明确数据处理者的安全保护义务，要求企业建立健全数据安全管理制度、采取必要的技术防护措施，本案中云南“通讯录”APP运营方未履行上述义务，不仅违反行政法律规定，更因情节严重构成刑事犯罪，体现了行政责任与刑事责任的衔接。

律师提示

严禁通过技术抓取、非法爬取、第三方违规导流等方式收集公民个人信息，严格遵循“合法、正当、必要”原则，收集信息需获得用户明确同意，不得超范围收集。

建立健全用户身份核验、数据加密存储、访问权限管控、日志审计等技术与管理措施，定期开展安全漏洞排查，及时整改隐患，防范信息泄露。

不得出售、非法向第三方提供公民个人信息，即使对数据进行加工、标签化处理，未经用户单独同意与监管许可，也不得用于交易流转，杜绝触碰刑事红线。

明确企业管理人员与员工的合规责任，建立数据合规管理制度与培训体系，定期开展合规自查，及时发现并整改违法违规行为，防范单位犯罪风险。

综上，本案是数字经济时代企业数据合规的典型警示案例，明确了“数据有价，合规无价；信息可采，贩卖必罚”的法律底线。对于互联网企业而言，数据合规已成为生存发展的“生命线”，一旦忽视合规管理，无论是主动违法还是被动失职，都将面临沉重的刑事代价。zhenggui.com专业为企业提供法律咨询、合规方案（包括但不限于劳务、财务、知产、股权结构、业务模式与调查应对等方面的合规）等法律中介服务，可协助企业开展数据合规审计、完善安全防护机制、防范刑事风险，助力企业在合法合规的前提下实现健康可持续发展。

END

无论您遇到何种法律问题，都欢迎留言咨询，优选律师团队会为您提供专业的解答！

更多法律咨询