1800万条数据被爬?检察官严惩侵害企业数据安全犯罪;|有你常用的吗?哈啰、红果免费短剧、一点资讯等45款App被通报
2025年6月23日,据上海检察报道:近日,静安区检察院办理了这样一起非法获取计算机信息系统数据案,检察官充分运用调查核实权,通过自行补充侦查,强化技术证据审查等方式,全面查清犯罪事实,准确适用法律,及时挽回被害单位损失,为网络强国、数字中国建设提供有力法治保障。
上千万条数据遭非法爬取
A公司成立于2018年,是一家提供信息网络服务的技术公司,自主研发一款P系统用于整合分析相关数据,并以收费方式提供服务。2023年6月,A公司监测系统突发异常,P系统在48小时内遭高频访问6万余次,约有1700余万条某专业领域相关重要数据被非法下载。A公司系统被迫关停,数据服务业务陷入瘫痪。2023年7月,A公司报案。经立案侦查,侦查人员发现Y公司存在重大作案嫌疑。同年8月25日,Y公司负责人杨某某主动投案。然而,其到案后辩称“只是用爬虫提高下载速度,账号是合作方给的,不知道数据要付费。”
提前介入 从电子数据中拼出犯罪链条
鉴于本案涉及计算机信息系统犯罪,专业性强,静安区检察院依法提前介入。面对犯罪嫌疑人的“技术性辩解”,检察官围绕行为人客观上有无使用非法技术手段,主观上对数据权属是否存在明知等关键点出发,厘清犯罪构成。同时,引导侦查人员通过及时固定、提取电子数据、后台“查询日志”等,量化被害单位损失。
经初步侦查查明,犯罪嫌疑单位Y公司成立于2019年,犯罪嫌疑人杨某某系法定代表人。2023年5月,Y公司中标了M公司“某某规划项目”,合同总价为人民币25万元(以下币种均为人民币)。在开展项目合作期间,M公司向A公司借用P系统临时账号,供Y公司查询上述项目的相关数据。岂料,杨某某在使用临时账号期间,发现该系统某些专业领域数据全面、细致,蕴含巨大经济价值,遂指示公司员工非法使用爬虫软件抓取、下载大量数据。经鉴定,爬取数据量高达1800余万条。
自行补侦 揭穿“有授权即合法”的辩解
2024年6月3日,案件移送至静安区检察院审查起诉。承办检察官在审查电子数据时发现这样一些异常对话。
“感觉要把他们服务器搞崩了……我们抓取也很温柔了,没有多线程抓……我就担心他们发现我们使用数据量太多。”
更关键的是,检察官在回溯Y公司员工孙某某与负责人杨某某的聊天记录过程中发现,原来早在2022年7月,杨某某就曾与A公司接触,明知A公司系统的商业性质、也明知系统数据属于具有高度市场价值的商业资产。
然而,仅查清杨某某主观明知这一事实还远远不够,面对检察官的讯问,杨某某一再辩解称,“已由A公司授权”“账号有导出功能”“用爬虫技术只是提速”。
有授权等于合法?A公司提供账号的行为是否意味着全权授权M公司可以随意查询、下载系统内全部数据?基于合作业务需要,M公司将临时账号交由杨某某使用,是否意味杨某某可以随意查询、下载系统内全部数据?一个个问题在检察官心中升起。
“临时账号的权限范围是什么?A公司系统是否设置反爬措施?合法授权不等于无限授权,查明技术手段是否‘越界’才是证明非法获取的关键。”检察官这样说道。
为此,检察官开展自行补充侦查,通过询问第三方技术公司工作人员,依法询问被害单位业务负责人、调取被害单位提供的书证、充分听取第三方鉴定机构的意见等,查明关键两点事实:一是权限限制,A公司提供的临时测试账号明确设限(登录时间、查询条数、单次导出数据量等),但Y公司却在48小时内高频访问,爬取1800余万条数据,远超临时账号的授权范围;二是技术突破,A公司通过密码验证、下载范围、条数速度等对系统数据设置反爬措施,并且即使是付费用户也仅能获取页面数据,而杨某某公司利用爬虫绕过防护,直接窃取系统底层原始数据。
检察官指出,杨某某看似通过合法渠道实现了账户登录,却在使用账号过程中,以技术手段突破授权边界,利用爬虫软件将导出权限提升覆盖至对全库底层原始数据的获取,该行为严重违背被害单位的授权意志、范围,本质上是超越授权非法获取信息数据。
准确认定经济损失 有效维护数据企业合法权益
当犯罪手法被层层揭开,检察官又迎来新问题,究竟本案非法获取计算机信息系统数据的犯罪行为是否已达“情节严重”的追诉标准?
根据最高法、最高检《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第十一条规定,在认定行为是否达情节严重标准时,应当考虑非法获取信息数据性质及条数、非法控制计算机台数、违法所得金额及造成经济损失等,要求至少符合上述司法解释规定的情形之一。
承办检察官指出,Y公司虽与M公司签订25万元合作协议,但因数据窃取行为败露,杨某某尚未将非法获取的数据用于项目交付,这笔“预期收益”属于未实现的违法所得,因此现有证据无法认定本案违法所得金额已达情节严重的追诉标准,接下来只能从爬取数据行为对A公司造成的经济损失入手。
能否准确认定经济损失,这对下一步开展追赃挽损工作至关重要。为此,承办检察官围绕公司业务经营模式、收费价格等内容,多次询问被害单位A公司业务负责人、调取相关书证,结合相关司法解释条款内容,深入理解“经济损失”的含义。经进一步查明,A公司在发现涉案系统的数据遭受爬虫窃取后,被迫第一时间关停系统,停止服务,在此期间损失既定服务费9万余元,而这正是犯罪行为造成的直接经济损失,且该数额已达法律规定的“情节特别严重”标准。
此外,案发后,虽然杨某某非法爬取的数据及相关介质已被侦查人员扣押封存,但从其爬取至案发,数据始终处于不受权利人控制的境地,且根据计算机软件著作权证书、多份服务协议等书证,能够证实A公司被爬取的这千万条数据的商业价值高达1400余万元。虽然上述商业价值不能直接等同于“经济损失”,数字领域的价值鉴定也尚无明确的认定标准,但它们如同悬在被害单位头顶的“达摩克利斯之剑”,存在可能泄露的潜在风险,而这一现实的危险亦是刑法评价的内容,应当作为酌定量刑情节予以考量。
据此,检察官认为,被告单位Y公司、被告人杨某某作为直接负责的主管人员,违反国家规定,超越授权,利用爬虫软件抓取被害单位相关计算机信息系统中存储的数据,情节特别严重,其行为均构成非法获取计算机信息系统数据罪。2025年1月23日,静安区检察院依法对Y公司、杨某某提起公诉。
公开庭审+法庭教育 促被告人认罪悔罪赔偿损失
2025年3月26日,被告单位Y公司、被告人杨某某非法获取计算机信息系统数据一案在静安区人民法院公开开庭审理,上海市人大代表王娜、刘忱,人民监督员周琦麟,静安区数据局负责人,以及相关工作人员、行业从业者应邀全程旁听庭审。
为什么选择公开庭审?“数据安全是数字经济的生命线,但不少从业者对技术行为的法律边界认识模糊。”公诉人在庭前准备时说,“这场庭审要让相关行业从业者充分了解到,技术创新不能自带‘法律豁免权’,数据领域没有‘法外之地’。”鉴于被告单位、被告人作为数据行业从业单位、从业人士知法犯法,该行为社会危害性较大,检察官特意准备了一堂“行业警示课”。
庭审过程中,公诉人以非法获取计算机信息系统数据罪的构成要件为主线,通过完整的证据链条,全面还原了指控事实。接受公诉人的指控和法庭教育之后,被告人杨某某于庭后向法官和检察官提交了《自悔书》,承认指控事实,自愿表示认罪认罚,并实际赔偿被害单位损失共计14万余元。
庭审结束后,静安区数据局工作人员表示:“技术不是违法挡箭牌,合法授权不等于无限权限。本案暴露出部分数据行业从业者法治意识淡薄的问题,我们将以案为鉴,通过提升监管能力、强化行业共治、开展普法宣讲等方式加强数据领域安全监管。”
“近年来数据要素市场快速发展,社会正在步入大数据时代,数据已成为重要的战略性资源和生产力要素,但也暴露出许多问题,本案中被告人非法获取计算机信息系统数据就是一个典型案例。此次庭审中,静安区人民检察院坚持公正司法,按照法律的规定和程序办事,做到了‘案件事实清楚、证据确实充分’。在数据应用的场景日益多元和复杂的情况下,以法律监督的精准履职保护数据安全,具有典型性。此次庭审也能引导大众合理、合法地开发和利用数据,推动行业良性发展。”市人大代表刘忱说。
2025年6月3日,静安区法院以非法获取计算机信息系统数据罪作出一审判决,判处Y公司罚金五万元;判处杨某某有期徒刑三年,缓刑三年,并处罚金三万元。
下一步,静安区检察院将持续深耕网络与数据安全领域,以专业化法律监督、智能化技术支撑、多元化协同治理为抓手,不断提升网络空间治理效能,助力企业筑牢网络数据安全防线,为数字经济稳健发展提供坚实法治保障。
有你常用的吗?哈啰、红果免费短剧、一点资讯等45款App被通报
依据《网络安全法》《个人信息保护法》等法律法规,按照《中央网信办、工业和信息化部、公安部、市场监管总局关于开展2025年个人信息保护系列专项行动的公告》要求,经公安部计算机信息系统安全产品质量监督检验中心检测,45款移动应用存在违法违规收集使用个人信息情况,具体通报如下:
1、未公开收集使用规则。涉及1款移动应用如下:
《青鹅》(1.0.6,豌豆荚)。
2、未逐一列出收集、使用个人信息的目的、方式、范围。涉及18款移动应用如下:
《4399游戏盒》(8.9.0,应用宝)、《车轮驾考通》(8.9.2,华为应用市场)、《哈啰》(6.88.5,小米应用商店)、《红果免费短剧》(6.7.3.32,小米应用商店)、《红苹果短剧》(3.4.1,小米应用商店)、《鲸娱短剧》(1.2.0,应用宝)、《快看漫画》(7.88.0,OPPO软件商店)、《随手记》(13.2.18.0,百度手机助手)、《探探》(6.7.4.1,百度手机助手)、《天气通》(9.16,百度手机助手)、《小果快看》(1.0.3-baidu,百度手机助手)、《一点资讯》(7.3.0.0,豌豆荚)、《薏米短剧》(2.1.2.2,应用宝)、《影视大全》(3.11.3,豌豆荚)、《影音先锋》(7.1.86,应用宝)、《掌阅》(8.5.8,豌豆荚)、《乐嗨直播》(3.9.8,豌豆荚)、《青鹅》(1.0.6,豌豆荚)。
3、在申请打开可收集个人信息的权限时,未同步告知用户其目的。涉及1款移动应用如下:
《更云天气预报》(13.0.0,华为应用市场)。
4、征得用户同意前就开始收集个人信息。涉及4款移动应用如下:
《HP 打印服务插件》(23.2.4.3167,华为应用市场)、《哈啰》(6.88.5,小米应用商店)、《蘑菇街》(18.2.6.24906,VIVO应用商店)、《汽车之家》(11.74.0,VIVO应用商店)。
5、实际收集的个人信息超出用户授权范围。涉及10款移动应用如下:
《草莓短剧》(1.0.5,应用宝)、《短剧来了》(3.4.0,应用宝)、《哈啰》(6.88.5,小米应用商店)、《红果免费短剧》(6.7.3.32,小米应用商店)、《红苹果短剧》(3.4.1,小米应用商店)、《派派》(7.2.132,VIVO应用商店)、《小果快看》(1.0.3-baidu,百度手机助手)、《影视大全》(3.11.3,豌豆荚)、《掌阅》(8.5.8,豌豆荚)、《乐嗨直播》(3.9.8,豌豆荚)。
6、个人信息保护政策中描述需要收集的个人信息超出相关功能的必要范围。涉及5款移动应用如下:
《好省短剧》(1.5.9,小米应用商店)、《匠心短剧》(1.2,华为应用市场)、《鲸娱短剧》(1.2.0,应用宝)、《新辰剧选》(1.7.3,豌豆荚)、《影视大全》(3.11.3,豌豆荚)。
7、配置文件中声明的可收集个人信息的权限超出相关功能的必要范围。涉及4款移动应用如下:
《HP 打印服务插件》(23.2.4.3167,华为应用市场)、《草莓短剧》(1.0.5,应用宝)、《唱吧》(12.30.6,华为应用市场)、《影音先锋》(7.1.86,应用宝)。
8、实际收集的个人信息超出相关功能的必要范围。涉及11款移动应用如下:
《4399游戏盒》(8.9.0,应用宝)、《Keep - AI 运动教练》(8.5.0,应用宝)、《彩视》(6.38.4,华为应用市场)、《河马剧场》(2.4.2,小米应用商店)、《红果免费短剧》(6.7.3.32,小米应用商店)、《来看短剧》(1.14.1,OPPO软件商店)、《荔枝》(5.20.5,OPPO软件商店)、《免费短剧之家》(3.3.13,VIVO应用商店)、《汽车之家》(11.74.0,VIVO应用商店)、《随手记》(13.2.18.0,百度手机助手)、《刷刷短剧》(1.9.2,应用宝)。
9、实际收集个人信息的频率超出相关功能的必要范围。涉及14款移动应用如下:
《4399游戏盒》(8.9.0,应用宝)、《彩视》(6.38.4,华为应用市场)、《哈啰》(6.88.5,小米应用商店)、《河马剧场》(2.4.2,小米应用商店)、《九游》(8.3.5.1,豌豆荚)、《快看漫画》(7.88.0,OPPO软件商店)、《来看短剧》(1.14.1,OPPO软件商店)、《蘑菇街》(18.2.6.24906,VIVO应用商店)、《探探》(6.7.4.1,百度手机助手)、《天气通》(9.16,百度手机助手)、《小猿搜题》(11.72.1,豌豆荚)、《一点资讯》(7.3.0.0,豌豆荚)、《影音先锋》(7.1.86,应用宝)、《乐嗨直播》(3.9.8,豌豆荚)。
10、提前要求用户打开非当前功能所需的可收集个人信息权限。涉及1款移动应用如下:
《汽车之家》(11.74.0,VIVO应用商店)。
11、强制要求用户提供非必要的个人信息。涉及2款移动应用如下:
《免费短剧之家》(3.3.13,VIVO应用商店)、《派派》(7.2.132,VIVO应用商店)。
12、注销账户的流程中设置不合理的条件或提出额外要求。涉及1款移动应用如下:
《彩视》(6.38.4,华为应用市场)。
13、广告存在误导、欺骗用户行为。涉及12款移动应用如下:
《短剧大全》(1.0.9,华为应用市场)、《短剧多多》(1.0.15,华为应用市场)、《短剧来了》(3.4.0,应用宝)、《匠心短剧》(1.2,华为应用市场)、《鲸娱短剧》(1.2.0,应用宝)、《懒人听书》(8.5.90,OPPO软件商店)、《麦萌短剧》(2.2.0,VIVO应用商店)、《每日短剧》(1.5.2,应用宝)、《刷刷短剧》(1.9.2,应用宝)、《悟空免费短剧》(1.2.0,小米应用商店)、《西瓜短剧免费》(1.0.2,小米应用商店)、《影音先锋》(7.1.86,应用宝)。
上期通报的公安部计算机信息系统安全产品质量监督检验中心检测发现的35款违法违规移动应用,经复测仍有8款存在问题,相关移动应用分发平台已予以下架。
(注:以上所列移动应用检测时间为2025年5月23日至2025年6月8日)
(来源:国家网络安全通报中心)
文章来源 :安全学习那些事儿、
精彩推荐
乘风破浪|华盟信安线下网络安全就业班招生中!
【Web精英班·开班】HW加油站,快来充电!
始于猎艳,终于诈骗!带你了解“约炮”APP
官方 