A. 網路安全攻擊方法分為
1、跨站腳本-XSS
相關研究表明,跨站腳本攻擊大約占據了所有攻擊的40%,是最為常見的一類網路攻擊。但盡管最為常見,大部分跨站腳本攻擊卻不是特別高端,多為業余網路罪犯使用別人編寫的腳本發起的。
跨站腳本針對的是網站的用戶,而不是Web應用本身。惡意黑客在有漏洞的網站里注入一段代碼,然後網站訪客執行這段代碼。此類代碼可以入侵用戶賬戶,激活木馬程序,或者修改網站內容,誘騙用戶給出私人信息。
防禦方法:設置Web應用防火牆可以保護網站不受跨站腳本攻擊危害。WAF就像個過濾器,能夠識別並阻止對網站的惡意請求。購買網站託管服務的時候,Web託管公司通常已經為你的網站部署了WAF,但你自己仍然可以再設一個。
2、注入攻擊
開放Web應用安全項目新出爐的十大應用安全風險研究中,注入漏洞被列為網站最高風險因素。SQL注入方法是網路罪犯最常見的注入方法。
注入攻擊方法直接針對網站和伺服器的資料庫。執行時,攻擊者注入一段能夠揭示隱藏數據和用戶輸入的代碼,獲得數據修改許可權,全面俘獲應用。
防禦方法:保護網站不受注入攻擊危害,主要落實到代碼庫構建上。比如說:緩解SQL注入風險的首選方法就是始終盡量採用參數化語句。更進一步,可以考慮使用第三方身份驗證工作流來外包你的資料庫防護。
3、模糊測試
開發人員使用模糊測試來查找軟體、操作系統或網路中的編程錯誤和安全漏洞。然而,攻擊者可以使用同樣的技術來尋找你網站或伺服器上的漏洞。
採用模糊測試方法,攻擊者首先向應用輸入大量隨機數據讓應用崩潰。下一步就是用模糊測試工具發現應用的弱點,如果目標應用中存在漏洞,攻擊者即可展開進一步漏洞利用。
防禦方法:對抗模糊攻擊的最佳方法就是保持更新安全設置和其他應用,尤其是在安全補丁發布後不更新就會遭遇惡意黑客利用漏洞的情況下。
4、零日攻擊
零日攻擊是模糊攻擊的擴展,但不要求識別漏洞本身。此類攻擊最近的案例是谷歌發現的,在Windows和chrome軟體中發現了潛在的零日攻擊。
在兩種情況下,惡意黑客能夠從零日攻擊中獲利。第一種情況是:如果能夠獲得關於即將到來的安全更新的信息,攻擊者就可以在更新上線前分析出漏洞的位置。第二種情況是:網路罪犯獲取補丁信息,然後攻擊尚未更新系統的用戶。這兩種情況,系統安全都會遭到破壞,至於後續影響程度,就取決於黑客的技術了。
防禦方法:保護自己和自身網站不受零日攻擊影響最簡便的方法,就是在新版本發布後及時更新你的軟體。
5、路徑(目錄)遍歷
路徑遍歷攻擊針對Web
root文件夾,訪問目標文件夾外部的未授權文件或目錄。攻擊者試圖將移動模式注入伺服器目錄,以便向上爬升。成功的路徑遍歷攻擊能夠獲得網站訪問權,染指配置文件、資料庫和同一實體伺服器上的其他網站和文件。
防禦方法:網站能否抵禦路徑遍歷攻擊取決於你的輸入凈化程度。這意味著保證用戶輸入安全,並且不能從你的伺服器恢復出用戶輸入內容。最直觀的建議就是打造你的代碼庫,這樣用戶的任何信息都不會傳輸到文件系統API。即使這條路走不通,也有其他技術解決方案可用。
6、分布式拒絕服務-DDOS
DDoS攻擊本身不能使惡意黑客突破安全措施,但會令網站暫時或永久掉線。相關數據顯示:單次DDOS攻擊可令小企業平均損失12.3萬美元,大型企業的損失水平在230萬美元左右。
DDoS旨在用請求洪水壓垮目標Web伺服器,讓其他訪客無法訪問網站。僵屍網路通常能夠利用之前感染的計算機從全球各地協同發送大量請求。而且,DDoS攻擊常與其他攻擊方法搭配使用;攻擊者利用DDOS攻擊吸引安全系統火力,從而暗中利用漏洞入侵系統。
防禦方法:保護網站免遭DDOS攻擊侵害一般要從幾個方面著手:首先,需通過內容分發網路、負載均衡器和可擴展資源緩解高峰流量。其次,需部署Web應用防火牆,防止DDOS攻擊隱蔽注入攻擊或跨站腳本等其他網路攻擊方法。
7、中間人攻擊
中間人攻擊常見於用戶與伺服器間傳輸數據不加密的網站。作為用戶,只要看看網站的URL是不是以https開頭就能發現這一潛在風險了,因為HTTPS中的s指的就是數據是加密的,缺了S就是未加密。
攻擊者利用中間人類型的攻擊收集信息,通常是敏感信息。數據在雙方之間傳輸時可能遭到惡意黑客攔截,如果數據未加密,攻擊者就能輕易讀取個人信息、登錄信息或其他敏感信息。
防禦方法:在網站上安裝安全套接字層就能緩解中間人攻擊風險。SSL證書加密各方間傳輸的信息,攻擊者即使攔截到了也無法輕易破解。現代託管提供商通常已經在託管服務包中配置了SSL證書。
8、暴力破解攻擊
暴力破解攻擊是獲取Web應用登錄信息相當直接的一種方式。但同時也是非常容易緩解的攻擊方式之一,尤其是從用戶側加以緩解最為方便。
暴力破解攻擊中,攻擊者試圖猜解用戶名和密碼對,以便登錄用戶賬戶。當然,即使採用多台計算機,除非密碼相當簡單且明顯,否則破解過程可能需耗費幾年時間。
防禦方法:保護登錄信息的最佳辦法,是創建強密碼,或者使用雙因子身份驗證。作為網站擁有者,你可以要求用戶同時設置強密碼和2FA,以便緩解網路罪犯猜出密碼的風險。
9、使用未知代碼或第三方代碼
盡管不是對網站的直接攻擊,使用由第三方創建的未經驗證代碼,也可能導致嚴重的安全漏洞。
代碼或應用的原始創建者可能會在代碼中隱藏惡意字元串,或者無意中留下後門。一旦將受感染的代碼引入網站,那就會面臨惡意字元串執行或後門遭利用的風險。其後果可以從單純的數據傳輸直到網站管理許可權陷落。
防禦方法:想要避免圍繞潛在數據泄露的風險,讓你的開發人員分析並審計代碼的有效性。
10、網路釣魚
網路釣魚是另一種沒有直接針對網站的攻擊方法,但我們不能將它除在名單之外,因為網路釣魚也會破壞你系統的完整性。
網路釣魚攻擊用到的標准工具就是電子郵件。攻擊者通常會偽裝成其他人,誘騙受害者給出敏感信息或者執行銀行轉賬。此類攻擊可以是古怪的419騙局,或者涉及假冒電子郵件地址、貌似真實的網站和極具說服力用語的高端攻擊。
防禦方法:緩解網路釣魚騙局風險最有效的方法,是培訓員工和自身,增強對此類欺詐的辨識能力。保持警惕,總是檢查發送者電子郵件地址是否合法,郵件內容是否古怪,請求是否不合常理。
B. 數據爬蟲行為如何合規
前言
由於網路數據爬取行為具有高效檢索、批量復制且成本低廉的特徵,現已成為許多企業獲取數據資源的方式。也正因如此,一旦爬取的數據設計他人權益時,企業將面臨諸多法律風險。本文將從數據爬取行為的相關概述、數據爬取相關立法規定,結合數據爬取行為近期典型案例,探討數據爬取行為的合規要點。
一、數據爬取行為概述
數據爬取行為是指利用網路爬蟲或者類似方式,根據所設定的關鍵詞、取樣對象等規則,自動地抓取萬維網信息的程序或者腳本,並對抓取結果進行大規模復制的行為。
使用爬蟲爬取數據的過程當中,能否把握合法邊界是關系企業生死存亡的問題。近些年大數據、人工智慧的廣泛使用,對各種數據的剛性需求,使數據行業遊走在「灰色邊緣」。面對網路數據安全的「強監管」態勢,做好數據合規、數據風控刻不容緩。當前我國並沒有相關法律法規對數據爬取行為進行專門規制,而是根據爬取數據的不同「質量」,主要通過《中華人民共和國著作權法》(以下簡稱「《著作權法》)、《中華人民共和國反不正當競爭法》(以下簡稱「《反不正當競爭法》」)、《中華人民共和國刑法》(以下簡稱「《刑法」》)等現有法律法規進行規制。
二、數據爬取相關法律責任梳理
(一)承擔刑事責任
1、非法侵入計算機信息系統罪
《刑法》第285條第1款規定了「非法侵入計算機信息系統罪」,違反國家規定,侵入國家事務、國防建設、尖端科學技術領域的計算機信息系統的,處三年以下有期徒刑或者拘役。
典型案例:李某等非法侵入計算機信息系統罪(2018)川3424刑初169號
本案中,被告人李某使用「爬蟲」軟體,大量爬取全國各地及涼山州公安局交警支隊車管所公告的車牌放號信息,之後使用軟體採用多線程提交、批量刷單、驗證碼自動識別等方式,突破系統安全保護措施,將爬取的車牌號提交至「交通安全服務管理平台」車輛報廢查詢系統,進行對比,並根據反饋情況自動記錄未注冊車牌號,建立全國未注冊車牌號資料庫。之後編寫客戶端查詢軟體,由李某通過QQ、淘寶、微信等方式,以300-3000元每月的價格,分省市販賣資料庫查閱許可權。
法院認為,被告人李文某為牟取私利,違法國家規定,侵入國家事務領域的計算機信息系統,被告人的行為均已構成非法侵入計算機信息系統罪。
2、非法獲取計算機信息系統數據罪
《刑法》第285條第2款規定如下,違反國家規定,侵入前款規定以外的計算機信息系統或者採用其他技術手段,獲取該計算機信息系統中存儲、處理或者傳輸的數據,或者對該計算機信息系統實施非法控制,情節嚴重的,處三年以下有期徒刑或者拘役,並處或者單處罰金;情節特別嚴重的,處三年以上七年以下有期徒刑,並處罰金。同時,《最高人民法院、最高人民檢察院關於辦理危害計算機信息系統安全刑事案件應用刑事案件應用法律若干問題的解釋》第1條對「情節嚴重」作出了具體的規定:「非法獲取計算機信息系統數據或者非法控制計算機信息系統,具有下列情形之一的,應當認定為刑法第二百八十五條第二款規定的「情節嚴重」:(一)獲取支付結算、證券交易、期貨交易等網路金融服務的身份認證信息十組以上的;(二)獲取第(一)項以外的身份認證信息五百組以上的;(三)非法控制計算機信息系統二十台以上的;(四)違法所得五千元以上或者造成經濟損失一萬元以上的;(五)其他情節嚴重的情形。」
典型案例:李某、王某等非法獲取計算機信息系統數據、非法控制計算機系統案(2021)滬0104刑初148號
本案中,益采公司在未經淘寶(中國)軟體有限公司授權許可的情況下,經李某授意,益采公司部門負責人被告人王某、高某等人分工合作,以使用IP代理、「X-sign」簽名演算法等手段突破、繞過淘寶公司的「反爬蟲」防護機制,再通過數據抓取程序大量非法抓取淘寶公司存儲的各主播在淘寶直播時的開播地址、銷售額、觀看PV、UV等數據。至案發,益采公司整合非法獲取的數據後對外出售牟利,違法所得共計人民幣22萬余元。法院認為被告人李某、王某、高某等人構成非法獲取計算機信息系統數據罪,分別判處有期徒刑二年六個月、一年三個月不等,並處罰金。
法院認為,被告人李文某為牟取私利,違法國家規定,侵入國家事務領域的計算機信息系統,被告人的行為均已構成非法侵入計算機信息系統罪。
3、提供侵入、非法控制計算機信息系統程序、工具罪
《刑法》第285條第3款對該罪規定如下,提供專門用於侵入、非法控制計算機信息系統的程序、工具,或者明知他人實施侵入、非法控制計算機信息系統的違法犯罪行為而為其提供程序、工具,情節嚴重的,依照前款的規定處罰。《最高人民法院、最高人民檢察院關於辦理危害計算機信息系統安全刑事案件應用刑事案件應用法律若干問題的解釋》中還列舉了「具有避開或者突破計算機信息系統安全保護措施,未經授權或者超越授權獲取計算機信息系統數據的功能的」等類型的程序、工具。
典型案例:陳輝提供侵入、非法控制計算機信息系統程序、工具罪(2021)粵0115刑初5號
本案中,被告人陳輝為牟取非法利益,在本區編寫爬蟲軟體用於在浙江淘寶網路有限公司旗下的大麥網平台上搶票,並以人民幣1888元到6888元不等的價格向他人出售該軟體,非法獲利人民幣12萬余元。2019年7月11日,被告人陳輝被公安機關抓獲。經鑒定,上述爬蟲軟體具有以非常規的方式構造和發送網路請求,模擬用戶在大麥網平台手動下單和購買商品的功能;具有以非常規手段模擬用戶識別和輸入圖形驗證碼的功能,該功能可繞過大麥網平台的人機識別驗證機制,以非常規方式訪問大麥網平台的資源。
本院認為,被告人陳輝提供專門用於侵入、非法控制計算機信息系統程序、工具,情節特別嚴重,依法應予懲處。
4、 侵犯公民個人信息罪
《刑法》第253條中規定了該罪,違反國家有關規定,向他人出售或者提供公民個人信息,情節嚴重的,處三年以下有期徒刑或者拘役,並處或者單處罰金;情節特別嚴重的,處三年以上七年以下有期徒刑,並處罰金。違反國家有關規定,將在履行職責或者提供服務過程中獲得的公民個人信息,出售或者提供給他人的,依照前款的規定從重處罰。竊取或者以其他方法非法獲取公民個人信息的,依照第一款的規定處罰。
典型案例:杭州魔蠍數據 科技 有限公司、周江翔、袁冬侵犯公民個人信息罪(2020)浙0106刑初437號
本案中,被告人周江翔系魔蠍公司法定代表人、總經理,負責公司整體運營,被告人袁冬系魔蠍公司技術總監,系技術負責人,負責相關程序設計。魔蠍公司主要與各網路貸款公司、小型銀行進行合作,為網路貸款公司、銀行提供需要貸款的用戶的個人信息及多維度信用數據,方式是魔蠍公司將其開發的前端插件嵌入上述網貸平台A**中,在網貸平台用戶使用網貸平台的APP借款時,貸款用戶需要在魔蠍公司提供的前端插件上,輸入其通訊運營商、社保、公積金、淘寶、京東、學信網、徵信中心等網站的賬號、密碼,經過貸款用戶授權後,魔蠍公司的爬蟲程序代替貸款用戶登錄上述網站,進入其個人賬戶,利用各類爬蟲技術,爬取(復制)上述企、事業單位網站上貸款用戶本人賬戶內的通話記錄、社保、公積金等各類數據。
法院認為,被告單位杭州魔蠍數據 科技 有限公司以其他方法非法獲取公民個人信息,情節特別嚴重,其行為已構成侵犯公民個人信息罪。被告人周江翔、袁冬分別系對被告單位魔蠍公司侵犯公民個人信息行為直接負責的主管人員和其他直接責任人員,其行為均已構成侵犯公民個人信息罪。
5、侵犯著作權罪
根據《刑法》第217條規定,以營利為目的,有下列侵犯著作權或者與著作權有關的權利的情形之一,違法所得數額較大或者有其他嚴重情節的,處三年以下有期徒刑,並處或者單處罰金;違法所得數額巨大或者有其他特別嚴重情節的,處三年以上十年以下有期徒刑,並處罰金:(一)未經著作權人許可,復制發行、通過信息網絡向公眾傳播其文字作品、音樂、美術、視聽作品、計算機軟體及法律、行政法規規定的其他作品的;(二)出版他人享有專有出版權的圖書的;(三)未經錄音錄像製作者許可,復制發行、通過信息網路向公眾傳播其製作的錄音錄像的;(四)未經表演者許可,復制發行錄有其表演的錄音錄像製品,或者通過信息網路向公眾傳播其表演的;(五)製作、出售假冒他人署名的美術作品的;(六)未經著作權人或者與著作權有關的權利人許可,故意避開或者破壞權利人為其作品、錄音錄像製品等採取的保護著作權或者與著作權有關的權利的技術措施的。
典型案例:譚某某等侵犯著作權罪(2020)京0108刑初237號
本案中,被告鼎閱公司自2018年開始,在覃某某等12名被告人負責管理或參與運營下,未經掌閱 科技 股份有限公司、北京幻想縱橫網路技術有限公司等權利公司許可,利用網路爬蟲技術爬取正版電子圖書後,在其推廣運營的「鴻雁傳書」「TXT全本免費小說」等10餘個App中展示,供他人訪問並下載閱讀,並通過廣告收入、付費閱讀等方式進行牟利。根據經公安機關依法提取收集並經勘驗、檢查、鑒定的涉案侵權作品信息數據、賬戶交易明細、鑒定結論、廣告推廣協議等證據,法院查明,涉案作品侵犯掌閱 科技 股份有限公司、北京幻想縱橫網路技術有限公司享有獨家信息網路傳播權的文字作品共計4603部,侵犯中文在線數字出版集團股份有限公司享有獨家信息網路傳播權的文字作品共計469部。
法院認為,鼎閱公司、直接負責的主管人員覃某某等12名被告人以營利為目的,未經著作權人許可,復制發行他人享有著作權的文字作品,情節特別嚴重,其行為均已構成侵犯著作權罪,應予懲處。
(2) 構成不正當競爭
我國《反不正當競爭法》第12條規定:「經營者利用網路從事生產經營活動,應當遵守本法的各項規定。經營者不得利用技術手段,通過影響用戶選擇或者其他方式,實施下列妨礙、破壞其他經營者合法提供的網路產品或者服務正常運行的行為:(一)未經其他經營者同意,在其合法提供的網路產品或者服務中,插入鏈接、強制進行目標跳轉;(二)誤導、欺騙、強迫用戶修改、關閉、卸載其他經營者合法提供的網路產品或者服務;(三)惡意對其他經營者合法提供的網路產品或者服務實施不兼容;(四)其他妨礙、破壞其他經營者合法提供的網路產品或者服務正常運行的行為。
典型案例:深圳市騰訊計算機系統有限公司、騰訊 科技 (深圳)有限公司與被告某新媒體公司不正當競爭糾紛案
本案中,兩原告系微信公眾平台的經營者和管理者,被告某新媒體公司系某網站經營者,利用爬蟲技術抓取微信公眾平台文章等信息內容數據,並通過網站對外提供公眾號信息搜索、導航及排行等數據服務。原告訴稱,被告利用被控侵權產品,突破微信公眾平台的技術措施進行數據抓取,並進行商業化利用,妨礙平台正常運行,構成不正當競爭。被告辯稱,爬取並提供公眾號數據服務的行為不構成不正當競爭,其爬取的文章並非騰訊公司的數據,而是微信公眾號的用戶數據,且其網站獲利較少。
法院認為,被告違背誠實信用原則,擅自使用原告徵得用戶同意、依法匯集且具有商業價值的數據,並足以實質性替代其他經營者提供的部分產品或服務,損害公平競爭的市場秩序,屬於《反不正當競爭法》第十二條第二款第四項所規定的妨礙、破壞其他經營者合法提供的網路產品或者服務正常運行的行為,構成不正當競爭。
(3) 行政責任
我國當前關於爬蟲行為所應承擔的行政責任主要規定在《網路安全法》中,其中涉嫌違反第27條規定的:「任何個人和組織不得從事非法侵入他人網路、干擾他人網路正常功能、竊取網路數據等危害網路安全的活動;不得提供專門用於從事侵入網路、干擾網路正常功能及防護措施、竊取網路數據等危害網路安全活動的程序、工具;明知他人從事危害網路安全的活動的,不得為其提供技術支持、廣告推廣、支付結算等幫助。」,需要承擔一定的行政責任。該法第63條對違反第27條還規定了具體的行政處罰措施,包括「沒收違法所得」「拘留」「罰款」等處罰。同時,對違反27條規定受到處罰的相關人員也作出了任職限制規定。
此外,《數據安全管理辦法(徵求意見稿)》第16條對爬蟲適用作出了限流規定:「網路運營者採取自動化手段訪問收集網站數據,不得妨礙網站正常運行;此類行為嚴重影響網站運行,如自動化訪問收集流量超過網站日均流量三分之一,網站要求停止自動化訪問收集時,應當停止。」同時,第37條也規定了相應的行政責任:網路運營者違反相關規定的,由有關部門給予公開曝光、沒收違法所得、暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或吊銷營業執照等處罰。
三、數據爬取行為的合規指引
(一)嚴格規范數據爬取行為
1、如果目標網站有反爬取協議,應嚴格遵守網站設置的 Robots協議。Robots協議(也稱為爬蟲協議、機器人協議等)的全稱是「網路爬蟲排除標准」,網站通過Robots協議告訴搜索引擎哪些頁面可以抓取,哪些頁面不能抓取。該協議尊重信息提供者的意願,並維護其隱私權;保護其使用者的個人信息和隱私不被侵犯。Robots協議代表一種契約精神,互聯網企業只有遵守這一規則,才能保證網站及用戶的隱私數據不被侵犯。可以說,無論從保護網民隱私還是尊重版權內容的角度,遵守robots協議都應該是正規互聯網公司的默之舉,任何違反robots協議的行為都應該為此付出代價。
2、合理限制抓取的內容。在設置抓取策略時,應注意編碼禁止抓取視頻、音樂等可能構成作品的、明確的著作權作品數據,或者針對某些特定網站批量抓取其中的用戶生成內容;在使用、傳播抓取到的信息時,應審查所抓取的內容,如發現屬於用戶的個人信息、隱私或者他人的商業秘密的,應及時停止並刪除。對於內部系統數據,嚴格禁止侵入。
3、爬取行為不應妨礙網站的正常運行。企業應當合理控制爬取的頻率,盡可能避免過於頻繁地抓取數據,特別是如果超過了《數據安全管理辦法(徵求意見稿)》明確規定的「自動化訪問收集流量超過網站日均流量三分之一」的要求,就應當嚴格遵守網站的要求,及時停止數據抓取。
(二)爬取個人信息時恪守合法、正當、必要原則
在我國,合法、正當、必要原則散見於《消費者權益保護法》、《網路安全法》、《全國人大常委會關於加強網路信息保護的決定》、《個人信息安全規范》等法律與規范之中。網路經營者擬爬取用戶個人信息的,應當嚴格遵守上述法律法規的規定,以取得個人用戶的事前同意為原則,避免超出用戶的授權范圍爬取信息。同樣地,數據接受方也應當對以爬蟲方式獲取的他人信息進行合法性審查,了解個人信息主體是否同意共享個人信息數據。
(三)爬取商業數據時謹防構成不正當競爭
在數字內容領域,數據是內容產業的核心競爭資源,內容平台經過匯總分析處理後的數據往往具有極高的經濟價值,因此非法爬取行為在某些具體應用場景下會被認定為構成不正當競爭。尤其是對於雙方商業模式相同或近似、獲取對方的信息會對對方造成直接損害的,企業應重點予以防範。如果存在此種情形,則應當謹慎使用爬取獲取被爬取網站的數據。
四、結語
隨著大數據時代的來臨以及數字技術的蓬勃發展,數據的價值日益凸顯,部分企業通過數據爬取技術更加高效地獲取和深度地利用相關數據,從而彌補企業自身數據不足的現狀,支撐企業的商業化發展。對於這些企業而言,「網路爬蟲如何爬取信息數據才是合法的?」「爬取數據時如何做到合規?」是亟待解決的一大難題。作為法律工作者,應當從法律的專業角度給企業提供強有力的合規指引,為促進高新技術企業的發展,進而全面提升國家 科技 創新能力做出應有的貢獻。