據(jù)人民網(wǎng)報(bào)道，12月21日，有黑客在網(wǎng)上公開了CSDN網(wǎng)站用戶數(shù)據(jù)庫(kù)，包括600余萬(wàn)個(gè)明文的注冊(cè)郵箱帳號(hào)和密碼。CSDN向公安機(jī)關(guān)報(bào)案并在網(wǎng)上發(fā)表了致歉聲明，聲明中稱CSDN網(wǎng)站早期使用過(guò)明文密碼。但據(jù)業(yè)內(nèi)人士質(zhì)疑，2010年注冊(cè)用戶也有被泄漏的，CSDN在撒謊。22日，網(wǎng)上更曝出人人網(wǎng)、天涯、開心網(wǎng)、多玩、世紀(jì)佳緣、珍愛網(wǎng)、美空網(wǎng)、百合網(wǎng)、178、7K7K等知名網(wǎng)站也采用明文密碼，用戶數(shù)據(jù)資料被放到網(wǎng)上公開下載。12月23日凌晨，金山毒霸官方微博發(fā)布聲明，承認(rèn)21日在迅雷提供CSDN數(shù)據(jù)庫(kù)下載的發(fā)布者(迅雷ID：hzqedison)，是金山毒霸產(chǎn)品經(jīng)理韓某。他在迅雷快盤上分享了大小104.85M名為“CSDN-中文IT社區(qū)-600萬(wàn).rar”的文件，后經(jīng)下載證實(shí)確實(shí)為CSDN泄密數(shù)據(jù)包，hzqedison發(fā)現(xiàn)事態(tài)嚴(yán)重性后，刪除了該分享鏈接。據(jù)新京報(bào)報(bào)道，hzqedison通過(guò)微博表態(tài)稱，自己看到某人發(fā)了CSDN數(shù)據(jù)庫(kù)文件的迅雷下載鏈接，于是進(jìn)行了處理，目前已將該文件刪除。

因該案影響巨大，據(jù)稱是中國(guó)互聯(lián)網(wǎng)歷史上最大的用戶資料泄漏案件之一，目前公安機(jī)關(guān)正在偵查當(dāng)中，更多事實(shí)要等待公安機(jī)關(guān)的公布。在此，僅根據(jù)媒體披露的部分事實(shí)材料，探討以下三個(gè)法律問(wèn)題：該案件可能涉及到哪些刑事責(zé)任、網(wǎng)站經(jīng)營(yíng)者的法律責(zé)任、用戶資料傳播者的法律責(zé)任。

案件涉及的刑事責(zé)任

盜取用戶資料者的刑事責(zé)任。2009年2月28日公布實(shí)施的刑法修正案（七）針對(duì)刑法第二百八十五條的不足，增加了兩款新罪名，對(duì)侵入除國(guó)家事務(wù)、國(guó)防、科學(xué)領(lǐng)域等計(jì)算機(jī)系統(tǒng)以外的其他計(jì)算機(jī)系統(tǒng)或者非法獲取數(shù)據(jù)的違法行為，規(guī)定為犯罪。規(guī)定如下：“第九、在刑法第二百八十五條中增加兩款作為第二款、第三款：“（非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)、非法控制計(jì)算機(jī)信息系統(tǒng)罪）違反國(guó)家規(guī)定，侵入前款規(guī)定以外的計(jì)算機(jī)信息系統(tǒng)或者采用其他技術(shù)手段，獲取該計(jì)算機(jī)信息系統(tǒng)中存儲(chǔ)、處理或者傳輸?shù)臄?shù)據(jù)，或者對(duì)該計(jì)算機(jī)信息系統(tǒng)實(shí)施非法控制，情節(jié)嚴(yán)重的，處三年以下有期徒刑或者拘役，并處或者單處罰金；情節(jié)特別嚴(yán)重的，處三年以上七年以下有期徒刑，并處罰金。 “（提供侵入、非法控制計(jì)算機(jī)信息系統(tǒng)程序、工具罪）提供專門用于侵入、非法控制計(jì)算機(jī)信息系統(tǒng)的程序、工具，或者明知他人實(shí)施侵入、非法控制計(jì)算機(jī)信息系統(tǒng)的違法犯罪行為而為其提供程序、工具，情節(jié)嚴(yán)重的，依照前款的規(guī)定處罰?！?盜取用戶資料者的行為違反該規(guī)定，涉嫌非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪，如果盜取并傳播或者使用用戶資料從事其他違法行為，則可能觸犯其他罪名。

網(wǎng)站經(jīng)營(yíng)者。目前法律并沒有規(guī)定網(wǎng)站經(jīng)營(yíng)者因?yàn)檫^(guò)失即安全防護(hù)措施的缺失或者不當(dāng)，造成用戶資料泄漏承擔(dān)法律責(zé)任，所以，網(wǎng)站經(jīng)營(yíng)者不承擔(dān)刑事責(zé)任。

網(wǎng)站經(jīng)營(yíng)者的法律責(zé)任

密碼的保存方式和取回方式，如果網(wǎng)站在此方面存在嚴(yán)重的缺失，很有可能被追究法律責(zé)任。根據(jù)網(wǎng)絡(luò)業(yè)內(nèi)技術(shù)人士的介紹，用戶的密碼保存在數(shù)據(jù)庫(kù)里面，登錄數(shù)據(jù)庫(kù)看到的不是密碼本身，而是經(jīng)過(guò)加密的密文。如果不經(jīng)過(guò)加密處理，直接明文存放，那任何進(jìn)入數(shù)據(jù)庫(kù)的管理員和黑客不經(jīng)過(guò)解密就能直接看到密碼。密碼的取回，經(jīng)過(guò)加密的密碼不能直接用郵箱取回明文密碼，而是給出修改鏈接，登錄后修改為新的密碼。網(wǎng)站作為服務(wù)提供的經(jīng)營(yíng)者，在用戶資料保護(hù)方面本身應(yīng)承擔(dān)更多的義務(wù)，那如果在數(shù)據(jù)庫(kù)管理和密碼取回流程的設(shè)置方面不能采取有效措施避免泄漏，不能達(dá)到業(yè)內(nèi)一般的保護(hù)標(biāo)準(zhǔn)，或者根本沒有采取防護(hù)措施，網(wǎng)站難免被追究和承擔(dān)民事和行政法律責(zé)任。從行政監(jiān)管的角度看，對(duì)此類安全防范措施以及相應(yīng)的行政處罰也有相關(guān)法律法規(guī)規(guī)定：

公安部《互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定》（公安部令第82號(hào)）第七條 互聯(lián)網(wǎng)服務(wù)提供者和聯(lián)網(wǎng)使用單位應(yīng)當(dāng)落實(shí)以下互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施：（一）防范計(jì)算機(jī)病毒、網(wǎng)絡(luò)入侵和攻擊破壞等危害網(wǎng)絡(luò)安全事項(xiàng)或者行為的技術(shù)措施；（二）重要數(shù)據(jù)庫(kù)和系統(tǒng)主要設(shè)備的冗災(zāi)備份措施；（三）記錄并留存用戶登錄和退出時(shí)間、主叫號(hào)碼、賬號(hào)、互聯(lián)網(wǎng)地址或域名、系統(tǒng)維護(hù)日志的技術(shù)措施；（四）法律、法規(guī)和規(guī)章規(guī)定應(yīng)當(dāng)落實(shí)的其他安全保護(hù)技術(shù)措施。

1997年《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法》對(duì)有下列行為之一的網(wǎng)站，可以處以罰款、停業(yè)整頓、吊銷相關(guān)資質(zhì)執(zhí)照等方式的行政處罰：(一)未建立安全保護(hù)管理制度的； (二)未采取安全技術(shù)保護(hù)措施的；(三)未對(duì)網(wǎng)絡(luò)用戶進(jìn)行安全教育和培訓(xùn)的。

因?yàn)楹芏嗑W(wǎng)絡(luò)用戶的登錄郵箱登錄名和密碼都是通用的，取得了一個(gè)網(wǎng)站的用戶名和密碼，就很可能逐一成功登錄其他熱門網(wǎng)站，甚至是盜用他人帳號(hào)進(jìn)行網(wǎng)絡(luò)消費(fèi)、支付。當(dāng)前情況下，網(wǎng)站經(jīng)營(yíng)者向其用戶發(fā)送提醒郵件或者以其他方式提醒用戶盡快修改密碼，是非常必要的，以積極作為的形式有利于在盜用事件發(fā)生后洗清責(zé)任。對(duì)異常登錄的提醒，騰訊QQ在這方面就做的比較好。

用戶資料傳播者的法律責(zé)任

金山毒霸產(chǎn)品經(jīng)理韓某明知文件包屬于流出的被泄漏用戶資料文件，仍然將文件包上傳到下載網(wǎng)站供他人下載，雖然已經(jīng)刪除，但違法惡意明顯，已經(jīng)涉嫌觸犯刑法，罪名是非法獲取公民個(gè)人信息罪，法律的規(guī)定如下：刑法修正案七：第二百五十三條之一：“國(guó)家機(jī)關(guān)或者金融、電信、交通、教育、醫(yī)療等單位的工作人員，違反國(guó)家規(guī)定，將本單位在履行職責(zé)或者提供服務(wù)過(guò)程中獲得的公民個(gè)人信息，出售或者非法提供給他人，情節(jié)嚴(yán)重的，處三年以下有期徒刑或者拘役，并處或者單處罰金。 “竊取或者以其他方法非法獲取上述信息，情節(jié)嚴(yán)重的，依照前款的規(guī)定處罰。 “單位犯前兩款罪的，對(duì)單位判處罰金，并對(duì)其直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員，依照各該款的規(guī)定處罰。”

韓某所在公司是殺毒軟件公司，職務(wù)是殺毒產(chǎn)品的研究和制作，韓某的行為不僅嚴(yán)重違背其職務(wù)要求，而且事實(shí)上進(jìn)一步擴(kuò)散了用戶資料，行為實(shí)屬惡劣，足以引起網(wǎng)絡(luò)從業(yè)者警戒！

（徐海艦律師供法邦網(wǎng)-法邦時(shí)評(píng)專稿，轉(zhuǎn)載請(qǐng)注明作者和出處。）