图片

图片

整理 | 刘燕
使用爬虫技术,不应逾越物理上的边界,更应守得住内心的边界。
员工为泄私愤,用爬虫删公司数据

11 月 8 日,据检察日报报道,北京某信息技术有限公司杨浦子公司一员工录某某因被公司解雇心生不满,为泄私愤,他编写了“爬虫”程序植入控制平台网站,删除了公司的相关数据代码,造成公司经济损失 10 余万元。

近日,录某某因涉嫌破坏计算机信息系统罪,被上海市杨浦区检察院提起公诉。

据报道,录某某自今年 3 月加入北京某信息技术有限公司杨浦子公司工作,负责某网购平台优惠券、预算等系统的代码研发。

6 月中旬,录某某因工作不符合要求被公司解雇。录某某对公司的决定颇为不满。“这些代码是我起早贪黑参与编写的,好好的工作就这样黄了”,收到主管通知被解雇的消息后,录某某十分气愤,遂产生了报复的念头。

录某某想到了利用爬虫软件删除公司数据的报复方式。录某某自己编写了爬虫程序,并趁着自己的公司账户还没注销,登录上公司的代码控制平台,植入爬虫程序,删除了原先存档在该平台上的优惠券、预算系统和补贴规则。

6 月下旬,公司将预算系统上线时,发现来历不明的“爬虫”程序植入了该系统,很多数据和代码被删除了,线上系统无法交付商家使用。

公司立即组织研发人员排查电脑系统,发现发现服务器日志上显示删除时间正是录某某离职当天,且当时录某某正在工位上操作计算机,而删除的数据也正是录某某原先负责的三个部分的相关数据和代码。公司认为录某某有重大作案嫌疑,便向公安机关报案。

公安机关将该案移送杨浦区检察院审查起诉后,检察官走访了多家计算机技术专业机构,了解抓取数据对计算机系统数据安全造成的影响,研讨行为人对研发该“爬虫”程序植入系统的动机和造成的后果。

办案检察官称,如果行为人将网络“爬虫”程序植入目标网站,会对目标网站的计算机信息系统功能和数据进行增加、删除、修改、干扰,进而导致计算机信息系统产生大量不正常的数据,以致不能正常运行,也会对目标网站所存储、运算或者传输的数据和应用程序进行删除、修改、增加等处理,后果严重的,将构成破坏计算机信息系统罪。

办案检察官认为录某某利用“爬虫”程序删除代码,导致该公司优惠券等商业活动延期发布 6 天,第三方数据公司恢复数据库花费 2.2 万余元,支付员工加班费 2 万余元,活动延期导致经济损失 10 万余元,应对录某某以破坏计算机信息系统罪追究刑事责任。

录某某也将为他的行为付出代价。

近几年在国内外,程序员删库跑路的事件屡有发生。

今年 8 月,美国 1-800-Accountant 在线会计师事务所的一名雇员 Medghyne Calonge 在该公司工作了 6 个月后,因表现不佳被公司解雇,员 Medghyne Calonge 心生怨怼,对公司系统文件进行了破坏。Calonge 登录到公司用于管理就业申请的计算机系统,删除了 17000 份求职简历,并在文件中留下脏话。最后,该员工被两项损坏计算机的罪名成立,并面临最多 15 年的监禁。

这些案件也为我们敲响了警钟,删库一时爽,事后悔断肠。切记,作为成年人,要管理好自己的情绪,用理智约束自身行为。

“爬虫”可以爬,但不能乱爬

在录某某案件中,被告人的主要“作案工具”之一是爬虫技术。

此前也曾有技术人员利用爬虫技术非法获利。

今年 6 月,中国裁判文书网发布的《逯某、黎某侵犯公民个人信息一审刑事判决书》显示,做优惠券返利业务的湖南省浏阳市泰创网络科技有限公司的创办人黎某及其雇用的技术员黎某利用爬虫软件攻陷国内某顶级互联网公司的电商平台,造成上述平台十亿余条信息外泄。二人违法行为共获利 340187.68 元。

其实网络爬虫是非常普遍的一种数据挖掘技术,它是一种按照一定的规则,自动地抓取网络信息的程序或者脚本。爬虫技术最早主要运用在搜索引擎中,它满足了人们的数据获取、分析需求。如今,爬虫技术的应用已广泛。有这样一种说法,爬虫贡献了互联网 50% 的流量,它对于互联网的繁荣功不可没。

但这项技术也存在一定的争议,因为它常常被用作非法收集信息的工具,站上数据隐私、数据安全的对立面。在一些场景,爬虫技术很容易游走在违法边缘。尤其在一些金融大数据公司中,爬虫业务被广泛应用。2019 年,多家金融大数据公司因违规利用爬虫技术被查。

爬虫可以爬,但应当遵守“边界”。

早在 1995 年,为了不越“边界”,互联网搜索引擎与网页持有者之间达成了一项“君子协定”— robot 协议,该协议规定了哪些信息该爬,哪些信息不该爬,20 多年来,该协议一直沿用至今。

在遵循 robot 协议的前提下使用爬虫技术是没有任何风险的。但往往有些“作恶者”试图越过红线,一些大数据公司打着“大数据分析”的名头违规违法爬取任何网页及访问用户的数据,致使“虫灾”泛滥。

现在的爬虫似乎无所不能,只要有账号密码都可以爬,包括电商平台、外卖平台、地图、旅行网站、共享单车、等平台的个人信息,用户的通讯录、上网地址、收货地址、聊天记录、搜索记录、支付记录,甚至央行的征信报告… 总之,一切皆可爬,还可进行定制化爬取。

2019 年 5 月,“中国版 GDPR”《数据安全管理办法》征求意见稿发布,第 16 条规定,网络运营者采取自动化手段访问收集网站数据,不得妨碍网站正常运行;如自动化访问收集流量超过网站日均流量三分之一,网站要求停止自动化访问收集时,应当停止。

一位业内人士认为,技术只是工具,在获取数据时需要考虑数据到底有没有获得授权,需要几方授权,在拿到用户授权的情况下,有没有拿到网站等数据来源方的授权,这其中涉及到的权责边界应该更明确。

随着监管越来越严格,爬虫技术的使用边界也将更加明晰。互联网从业者应当怀有敬畏之心,要时时注意不要触碰边界,毕竟,爬虫只是技术,灰色的是“助恶者”。

“爬虫技术本身并无对错,但要看怎么用,用错了肯定违法啊”,一位程序员向 AI 前线表示,“技术无罪,关键在于人”。

使用爬虫技术,不应逾越物理上的边界,更应守得住内心的边界。

作者 aiforum

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注