保护信息安全 北京开出首张罚单

　　黑客活动已经形成分工合作的利益链

　　本报北京3月20日电 (记者余荣华)历经40多天缜密侦查，北京警方日前破获CSDN(微博)网站用户数据泄露案，并成功带破另外4起网络案件，以涉嫌非法获取计算机数据罪刑事拘留曾某等5名犯罪嫌疑人。同时，北京警方还对CSDN网站未落实国家信息安全等级保护制度造成用户信息泄露事件作出行政警告处罚，这是北京落实信息安全等级保护制度以来的首张罚单。北京市公安局(微博)今天首度披露详细案情和侦破经过。

　　2011年12月22日，北京警方接到CSDN网站报案，称其服务器被入侵，核心数据遭到泄露。北京市公安局网安总队立即调派精干警力会同相关部门成立专案组。通过对网上泄露的大量CSDN数据仔细比对，推测出其服务器被入侵时间为2010年7月前。由于涉及入侵的服务器已于一年前被转做他用，日志未留存、数据无法恢复，当时负责的技术人员又大部分离职，现有人员不了解情况，再加上数据丢失已两年时间，要通过数据来源找到最初入侵者难度很大。

　　之后，围绕着该网站，专案组大海捞针一般展开了大量细致的调查走访工作，并获得4条重要线索，分别涉及海南、广东、江苏、浙江、黑龙江等十余省市。经过耐心细致的摸排，逐一调查追踪，专案组最终锁定一条关键线索，曾于2010年9月发帖称掌握了CSDN数据库，要求与CSDN网站进行合作的一名网络用户进入专案组视野。虽然由于时间原因，当时的帖文、聊天内容已经无从查找，但专案组在相关部门配合下，通过扎实细致的工作，最终锁定嫌疑人，并于2012年2月4日在浙江温州将嫌疑人曾某抓获。

　　经初步审查，曾某对2010年4月利用CSDN网站漏洞，非法侵入其服务器获取用户数据的犯罪事实供认不讳。此外，曾某还交代了曾经入侵过某充值平台及某股票系统。至此，历时40余天，辗转10余个省市，CSDN数据泄露案成功破获。

　　案件发生后，北京警方同时对CSDN网站开展了调查，发现其未落实国家信息安全等级保护制度，安全管理制度和技术保护措施落实不到位是造成用户信息泄露的主要原因。北京市公安局向CSDN网站提出了具体整改要求，并依据《计算机信息系统安全保护条例》相关规定，对运营公司北京创新乐知信息技术有限公司做出行政警告处罚。

　　警方调查显示，当前互联网信息安全隐患不容忽视。在侦破CSDN网站用户数据泄露案的同时，北京警方又同时侦破其他4起网络案件。

　　2011年12月27日，北京警方接某公司报案称：有人以持有该公司用户数据为由敲诈勒索270余万。网安总队立即协助朝阳分局对此案展开深入调查，经过民警连夜侦查，于30日上午将犯罪嫌疑人要某在陕西抓获。经突审，该人供述于2011年4月至今，利用该商城网站存在的漏洞，非法获取该商城大量用户数据信息，并以此为由敲诈勒索的犯罪事实。

　　2011年12月22日，北京警方接某公司报案称，该公司微博网站有不同账号发布大量相似广告信息，登陆成功的账号共发表广告微博20万条左右。经初步估算，该公司损失总计约为100万余元。经过大量的调查走访，网安总队会同相关部门将犯罪嫌疑人蔡某抓获。蔡某交代了利用非法获取的网站数据，大肆在该网站微博上进行测试，并利用成功登陆的用户名发送大量的微博广告牟利。

　　此外，警方还先后发现分别入侵两家网站服务器的嫌疑人吴某、董某，两名嫌疑人均非法获取了大量网站用户数据。

　　为保障互联网用户信息安全，今年1月起，北京警方坚持深化民意主导警务工作理念，对全市106家互联网网站开展信息安全检查工作，发现并现场纠正206处安全隐患，同时加大了涉网犯罪打击力度，截至目前，共侦破网上诈骗、网络赌博等网络违法犯罪案件3500余起，打掉各类犯罪团伙15个，抓获犯罪嫌疑人3600余人。

　　北京警方提示，当前，黑客攻击破坏活动趋利性日益明显，已形成由制作提供黑客工具、实施攻击、盗窃账号、倒卖账号、提供交易平台等各个环节分工合作的利益链条，希望广大涉网公司提高防范意识，加强技术安全保护措施。北京警方也将进一步加大工作力度，严厉打击此类违法犯罪活动，全力维护互联网信息安全。

　　社科院法律研究所研究员周汉华——

　　现有规定可操作性差 用户个人依法维权难(专家点评)

　　针对个人信息遭泄露的网站用户如何维权，中国社科院法律研究所宪法行政法研究室主任周汉华认为，CSDN等网站及运营商应承担法律义务和社会责任，保护用户个人信息安全。在此次用户信息泄露事件中，除公安机关依据相关规定对运营商处以行政处罚外，相关管理部门和用户还可依据《中华人民共和国电信条例》和《互联网信息服务管理办法》等，就用户个人信息泄露追究运营商的行政或民事责任。

　　周汉华表示，就保护网站用户个人信息安全而言，2009年《刑法修正案(七)》、《侵权责任法》乃至《居民身份证法》等相关内容均有涉及，但目前，相关规定条款过于分散，且可操作性差，对于如“个人信息”、“违反规定”等关键概念界定不清，在执法过程中，财大气粗的运营商往往有较强的影响力，易形成现实的执法困境。即便发生信息泄露，用户个人在追究运营商民事责任的时候，也存在举证难等问题，诉讼成本高、收益低，当事人很难依法维权。

　　网络信息安全案件频发、用户个人信息被滥用的核心问题在于缺少统一的个人信息保护法。周汉华称，目前全球已有近90个独立经济体进行了相关立法，而在我国，解决问题的关键在于尽快制定《个人信息保护法》，并设立独立的执法体制和机构。

　　(本报记者程聚新采访整理)