原標題：淘寶被非法爬取11.8億條用戶信息，兩男子被判刑期超3年

觀察者網訊（文/胡毓靖 編輯/莊怡）平均一個月有9.25億用戶消費的淘寶，被非法爬取了11.8億條用戶信息。

近日，河南省商丘市睢陽區人民法院公佈的刑事判決書顯示，逯某和黎某兩男子通過自己開發的爬蟲軟件，對淘寶實施了長達八個月的數據爬取，而在阿里發現這一問題前，他們已經獲取了近12億條用戶消息。

法院裁定，逯某和黎某均犯侵犯公民個人信息罪，判處徒刑3年以上，共處罰金45萬元，違法所得上繳國庫。

觀察者網就此事聯繫阿里巴巴方面，截至發稿，未收到回覆。

而據《華爾街日報》援引一位阿里巴巴發言人回應稱，該公司主動發現並處理了這起事件，正與執法部門合作保護用戶。但該發言人並未明確說明具體有多少用戶受到影響，只表示沒有用戶信息被賣給第三方，也沒有產生經濟方面的損失。

但這一說法與判決書內容並不相符。

觀察者網查閱判決書發現，作案者逯某受僱於黎某，從2019年11月開始，在淘寶網站上使用自己設計的網頁爬蟲軟件收集用戶ID、手機號碼和用戶評論等內容，並將其中淘寶客戶的手機號碼提供給黎某開設的瀏陽市泰創網絡科技有限公司用於經營活動，而自2019年8月份至2020年7月份，該公司非法獲利395萬元。

判決書還顯示，瀏陽市泰創網絡科技有限公司主要業務爲“淘寶客”，主要是在微信羣進行淘寶商品推廣，從而獲得淘寶網佣金和商家服務費，證人王某證言稱，其公司社羣組組員建好各自的微信羣后將羣二維碼提供給老闆黎某，然後就有人自動進羣。

作爲國內最大的購物平臺之一，淘寶積累了海量用戶隱私和消費數據。據阿里巴巴最新公佈的2021財年第四季度財報，其中國零售市場的移動月活用戶達9.25億。2021財年，阿里巴巴全球活躍消費者達10億。

數據安全保護存疏漏，阿里並非毫無責任

用戶隱私泄露在互聯網科技企業中頻頻出現，而電商平臺一直是信息泄露的重災區。2016年12月，京東因安全漏洞問題致使12G數據遭泄露，在黑市流通，信息包括用戶名、密碼、郵箱、QQ號、電話號碼、身份證等多個維度，數據多達數千萬條。

在用戶信息泄露的暗面，是網絡倒賣隱私的猖獗。據證券時報此前調查，有從事數據採集軟件開發的公司，可從京東、淘寶、拼多多電商平臺獲取用戶信息，軟件交價僅3800元，用戶只要購買，就能通過後臺按照自己的需求，比如行業、地區、性別等導出自己想要的數據。

數據泄露信息頻發，側面體現了數據的重要性和價值，但也對互聯網公司的數據保護能力提出了新的要求。北京觀韜中茂律所胡楊律師向觀察者網表示，本次案件中犯罪嫌疑人採取了非法手段爬取阿里系統內地數據，隱蔽性強。但阿里在該案件中並非毫無責任。

胡楊表示，該案件暴露出阿里對其數據安全保護的疏漏和不足，並且沒有及時發現並採取補救措施。根據《網絡安全法》第六十條，對其產品、服務存在的安全缺陷、漏洞等風險未立即採取補救措施，或者未按照規定及時告知用戶並向有關主管部門報告的，由有關主管部門責令改正，給予警告。

拒不改正或者導致危害網絡安全等後果的，處五萬元以上五十萬元以下罰款，對直接負責的主管人員處一萬元以上十萬元以下罰款。故，主管部門可對阿里巴巴給予責令改正警告的相關處罰。

胡楊認爲，隨着數據違法行爲頻發暴露了互聯網公司對數據安全保護的重視和投入不足。國家近期正式發佈了《數據安全法》，數據安全保護對於互聯網公司來說不再是”選修課“，而是”必修課“，應當嚴格按照法律規定保護數據安全。

加強接口管控，引入第三方安全合作機制

上海謀樂網絡科技有限公司聯合創始人&CTO 張雪松告訴觀察者網，在本次淘寶用戶信息泄露事件中，阿里有技術能力可做到數據防泄漏。他推測，造成12億條信息泄露，可能來自淘寶內部接口設計缺陷，以及違法方使用IP池手段規避了淘寶的反查。

張雪松介紹，淘寶有兩個數據接口，在正常情況下反扒機制運行很好，對於連續爬取行爲會及時阻斷。但在接口設計上，淘寶並沒有增加權限管控，禁止非本人訪問用戶的手機號等信息。“可能是基於傳播需求或是其他更便利的需求開放了接口”，“我認爲這是一個設計問題，而不是能力問題”。

此外，代理IP池的手段也讓淘寶的反查機制難以準確運行。張雪松介紹，同一個IP爬取大量信息時，會觸發淘寶的反查機制，但在使用代理IP的模式下，難度就非常高，“這本身也是行業難題”，他表示。

在本次事件中，犯罪嫌疑人爬取的是淘寶的數據，但實際受害的確是用戶。對於用戶隱私的維護，張雪松認爲，阿里可以在接口設置上加強管控手段，尤其是手機號等隱私信息。

針對IP代理模式，張雪松認爲阿里也完全有能力去建構風險庫，將風險IP設爲威脅特徵庫，加入到防控和風控體系內。此外，阿里還可適當引入第三方安全公司合作機制，對於海量數據進行更全面的核查，這樣會完善安全機制。