據媒體報道,8月28日,網絡爆料稱,華住集團旗下連鎖酒店用戶數據疑似發生洩露。從賣家發佈的內容看,數據包含華住旗下漢庭、禧玥、桔子、宜必思等10餘個品牌酒店的住客信息。
洩露的信息包括華住官網註冊資料、酒店入住登記的身份信息及酒店開房記錄,住客姓名、手機號、郵箱、身份證號、登錄賬號密碼等。賣家對這個約5億條數據打包出售。第三方安全平臺威脅獵人對信息出售者提供的三萬條數據進行驗證,認為數據真實性非常高。
當天下午,華住集團發聲明稱,已在內部迅速開展核查,並第一時間報警。當晚,上海警方消息稱,接到華住集團報案,警方已經介入調查。
有專家表示,此事件是近年來規模最大且最嚴重的一次個人信息洩露事件。到底誰該為此負責呢?
知名律師、北京市京都律師事務所高級合夥人梁雅麗律師認為,此事件既關係到公民個人信息安全問題,又涉及到企業商業信譽問題,在不同情形下,事件相關方將可能承擔不同的刑事法律責任。
一、非法獲取、出售、購買、提供數據等相關方可能承擔的刑事法律責任。
從網絡報道看,此次疑似外洩的數據,涉及共計約5億條公民個人信息。
根據《最高人民法院 最高人民檢察院關於辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》,公民個人信息是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息,包括姓名、身份證件號碼、通信通訊聯繫方式、住址、賬號密碼、財產狀況、行蹤軌跡等。從司法解釋對公民個人信息的定義來看,此次疑似外洩的數據信息無疑屬於公民個人信息。
根據我國《刑法》及司法解釋規定,非法獲取、出售、購買、提供公民個人行蹤軌跡信息、通信內容、徵信信息、財產信息50條以上,住宿信息、通信記錄、健康生理信息、交易信息等其他可能影響人身及財產安全的公民個人信息500條以上,其他公民個人信5000條以上,或者違法所得5000元以上的,按照侵犯公民個人信息罪追究刑事責任。
因此,不管此次數據外洩是華住公司內部所為,還是外部人員所為,只要符合上述標準,在信息獲取、傳遞鏈條上的相關人員均涉嫌犯罪,存在被追究侵犯公民個人信息犯罪刑事責任的可能性。華住公司將因沒有履行好對消費者的信息安全保護義務而難辭其咎,需依法應承擔相應的行政責任和民事責任。
二、通過非法入侵計算機信息系統手段獲取數據可能承擔的刑事責任
《網絡安全法》規定,任何個人和組織不得竊取或者以其他非法方式獲取個人信息,不得非法出售或者非法向他人提供個人信息。
如果黑客採取技術手段非法竊取、截獲和販賣用戶信息,情節嚴重的,將涉嫌觸犯《刑法》規定的侵犯公民個人信息罪,最高可以判處7年有期徒刑並處罰金。
律師簡介:梁雅麗律師,資深刑辯律師、京都律師事務所高級合夥人,“京都刑辯八傑”之一。北京市律師協會商事犯罪預防與辯護委員會委員、法制晚報刑事辯護研究中心主任、法制晚報企業法律風險防控研究中心主任、法制晚報首席法律顧問、中國法學會法律文書學研究會理事。先後榮獲《方圓律政》“2014年度刑辯律師”稱號、中國企業報“2017助力金融風險防範人物”大獎、法制晚報2017年度刑辯律師大獎、2017年度公益普法獎。
閱讀更多 法制晚報法律大講堂 的文章
