近几年,开发者过劳死和程序员频繁被抓事件引起大家的关注,如何才能避免面向监狱编程,一些安全方面的知识应当是开发者必须学习知道的。千万不要觉得凭技术吃饭,安全和自己没有关系。先来看几个真实案例。
目录
事件
1、非法提供VPN
近日,上海市宝山区人民法院依法公开开庭宣判被告人戴某提供侵入、非法控制计算机信息系统程序、工具罪一案,判处有期徒刑三年,缓刑三年,并处罚金人民币一万元。宝山区法院经审理查明,被告人戴某原在某证券管理公司从事软件开发工作。自2016年4月起,其为牟取非法利益,创建某网站,并在网站上出售VPN翻墙软件的账户。同时租用境外服务商的多台服务器,向所出售的账户提供可以访问国内IP不能访问的外国网站服务。戴某于2017年10月10日被抓获,截至2017年10月案发,戴某共计向数百人次非法提供VPN服务。
2、非法出售个人信息
2018年9月18日,深圳警方接到举报称,有人在网上非法售卖公民个人信息数据。警方运用大数据分析发现犯罪嫌疑人系深圳网民肖某轩(当地一名程序员)。该嫌疑人在网上非法收集公民个人身份信息、互联网公司用户注册信息、酒店入住信息后,在境外某网络论坛上注册账号,并且将非法收集的相关信息发布在论坛上出售。目前已被被刑拘,案件进一步审理中。
3、入侵酒店Wifi
腾讯的一位安全工程师在出席新加坡举行的网络安全会议期间将入侵酒店 WiFi 系统作为消遣,他还写了一篇博客介绍了入侵经过。该文引起新加坡网络安全局(CSA)的注意,CSA随后对其进行了抓捕,虽然最后免除了牢狱之灾但仍被罚款。
4、其他
某程序员因为接了个外包,帮别人写了个软件,结果这个软件被用于赌博导致被抓。
某公司利用爬虫抓取用户信息,最后被发现,导致该公司的程序员被抓。
某P2P公司暴雷,老板跑路,程序员被抓。
中科大博士卖“外挂”非法牟利300多万,被警方逮捕。
每件都非常典型,希望大家能引以为戒。
知识
1、挂VPN上网违法?
相信大家也有这样的经历,我们也经常在某些大型的甲方驻场工作,甲方的网络大部分都是内部使用,想要接入甲方的网络方便开发,必须使用VPN接入。
在我国法律中,并没有明确规定使用VPN违法,同时也有很多企业都要求员工必须使用VPN加密上网。但是对于私自搭造VPN的,和在外网发表一些具有煽动性、或者言论不实的错误言论,属于违法行为。
根据《计算机信息网络国际互联网安全保护管理办法》第十二条的规定,互联单位、接入单位、使用计算机信息网络国际互联网的法人或者其他组织,应当自网络正式联通之日起三十日内,到所在地的省、自治区、直辖市人民政府公安机关指定的受理机关办理备案手续,并且将接入本网络的单位和用户情况备案,且及时报告接入单位和用户的变更情况。
此可知,在我国只是使用VPN不属于违法行为,但是必须是使用由相关单位构建并且登记备案的VPN,而私自搭造的则属于是违法行为。
2、使用VPN什么行为是违法的?
使用VPN有违法行为的,由公安机关警告,如果有违法所得的,则没收违法所得,对个人可以并处五千元以下的罚款,对单位可以并处一万五千元以下的罚款,情节严重的,并可以给予六个月以内停止网络、联机、停机整顿的处罚,必要时还可以吊销经营许可证或者取消联网资格。
而利用VPN在国际互联网制作、复制、查阅和传播下列信息的,属于是违法行为:
1、煽动抗拒、破坏宪法和法律、行政法规实施,或者其他违反宪法和法律、行政法规的;
2、煽动颠覆国家政权、分裂国家、破坏祖国统一和损害国家机关信誉的;
3、煽动民族仇恨、民族歧视,破坏民族团结,或者捏造、歪曲事实,散布谣言,扰乱社会秩序的;
4、宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖,教唆犯罪的;
5、公然侮辱他人或者捏造事实诽谤他人的。
而对于上述行为,情节严重,违反治安管理行为的,则依照治安管理处罚条例的规定处罚,情节非常严重,已经构成犯罪的,则依法追究刑事责任。
3、用户的个人信息
大家在开发一些互联网应用时,经常会让用户注册、登录、填写个人信息,以给用户提供更加好的服务。在注册时就需要用户阅读用户注册须知,用户在知情和同意的前提下进行注册。保护个人隐私也是各大应用超市所必须要求的,禁止非法收集,更禁止非法倒卖。
个人用户的个人信息,即使是用户自己放到一些网站上进行公开或者部分公开,如微博、微信等,不代表这些数据就可以被其他人随便获取!
根据《民法总则》第111条:任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全。不得非法收集、使用、加工、传输他人个人信息;
根据《网络安全法》第44条:任何个人和组织不得窃取或者以其他非法方式获取个人信息。因此,如果爬虫在未经用户同意的情况下大量抓取用户的个人信息,则有可能构成非法收集个人信息的违法行为。
原“非法获取公民个人信息罪”规定:
《中华人民共和国刑法修正案(七)》:第二百五十三条规定“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。窃取或者以其他方法非法获取上述信息,情节严重的,依照前款的规定处罚。单位犯前两款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。”
“侵犯公民个人信息罪”规定:
《中华人民共和国刑法修正案(九)》:十七、将刑法第二百五十三条之一修改为:“违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
“违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。
“窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。
“单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。”
4、爬虫怎么犯法
如果是爬取公开的数据,通常不会被认为是侵权。Google、百度等搜索引擎都是这么爬取的。
那么,到底怎么爬数据是有可能触犯法律的呢,主要考虑是否涉及以下两种行为:
未遵守Robots协议
根据《互联网搜索引擎服务自律公约》第7条:机器人协议(robots协议)是指互联网站所有者使用robots.txt文件,向网络机器人(Web robots)给出网站指令的协议。具体而言,robots协议是网站所有者通过位于置于网站根目录下的文本文件robots.txt,提示网络机器人哪些网页不应被抓取,哪些网页可以抓取。
根据《互联网搜索引擎服务自律公约》第8条:互联网站所有者设置机器人协议应遵循公平、开放和促进信息自由流动的原则,限制搜索引擎抓取应有行业公认合理的正当理由,不利用机器人协议进行不正当竞争行为,积极营造鼓励创新、公平公正的良性竞争环境。
虽然《互联网搜索引擎服务自律公约》仅适用于中国互联网协会会员单位和自愿加入《中国互联网行业自律公约》的互联网从业单位,但在司法实践中,Robots协议已经被认定构成互联网行业搜索领域内工人的商业道德。
因此,无视网站设置的Robots协议而随意抓取网站内容的行为将涉嫌构成对《反不正当竞争法》的第2条的违反,即违反诚实信用原则和商业道德的不正当竞争行为。
根据《反不正当竞争法》第2条:经营者在市场交易中,应当遵循自愿、平等、公平、诚实信用的原则,遵守公认的商业道德。
绕过防护措施对数据的访问,强行突破反爬措施
根据《刑法》第285条第二款:违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
很多公司开发的爬虫遵守了Robots协议,也没有爬取不该爬取的数据,难道这样获取到的数据就可以随便使用了吗?其实也不是,如果使用不当,也会触犯法律的。
比如通过爬虫抓取到的数据进行盈利、损害他人利益、造假、诽谤等都是可能触犯法律的。
此外,未经被收集者同意,即使是将合法收集的公民个人信息向他人提供的,也属于刑法第二百五十三条之一规定的“提供公民个人信息”,可能构成犯罪。
5、赌博、S情网站
明知是赌博网站,而为其提供下列服务或者帮助的,属于开设赌场罪的共同犯罪,依照刑法第三百零三条第二款的规定处罚:
(一)为赌博网站提供互联网接入、服务器托管、网络存储空间、通讯传输通道、投放广告、发展会员、软件开发、技术支持等服务,收取服务费数额在2万元以上的;
(二)为赌博网站提供资金支付结算服务,收取服务费数额在1万元以上或者帮助收取赌资20万元以上的;
(三)为10个以上赌博网站投放与网址、赔率等信息有关的广告或者为赌博网站投放广告累计100条以上的。
也就是说,如果你作为程序员,你在帮公司开发赌博网站,只要公司付给你的费用超过了2万元以上,那么你就和开设赌场的人是共同犯罪。
6、外挂
外挂是指利用电脑技术针对一个或多个网络游戏,通过改变软件的部分程序制作而成的作弊程序。制作贩卖游戏外挂也是会受到我国司法机关打击的行为。
7、卖资料
根据《刑法》第217条:以营利为目的,有下列侵犯著作权情形之一,违法所得数额较大或者有其他严重情节的,处三年以下有期徒刑或者拘役,并处或者单处罚金;违法所得数额巨大或者具有其他特别严重情节的,处三年以上七年以下有期徒刑,并处罚金:
1、未经著作权人许可,复制发行其文字作品、音乐、电影、电视、录像作品、计算机软件及其他作品的;
2、出版他人享有专有出版权的图书的;
3、未经录音录像制作者许可,复制发行其制作的录音录像的;
4、制作、出售假冒他人署名的美术作品的。
根据《刑法》第218条:以营利为目的,销售明知是本法第二百一十七条规定的侵权复制品,违法所得数额巨大的,处三年以下有期徒刑或者拘役,并处或者单处罚金。
总结
2013年开始互联网金融开始盛行,2014年我在单位也在做金融服务平台,当时领导可谓识大体,坚决没有从事P2P业务,看得到现在P2P频繁暴雷,很多坚持了多年的“大公司”倒闭,老板被抓,可谓当时领导的明智。
多行不义必自毙,谨慎从业。
有开发互联网产品,需要收集用户信息的,一定要做好技术架构的安全防护,公司一定要配备法律顾问,对关于用户隐私安全的条款做审查。
想通过技术挣外快的,一定要通过合法渠道和平台,明辨是非,分清楚接手项目的合法性,有可能非法的坚决不接。
由于作者并非专业的法律工作从业者,文中法规部分的引用如有偏差,请指正。归纳本文旨在学习,也希望可以帮助开发者了解有哪些与自己技术相关的安全知识,避免踩雷。
参考网址,更加详细信息可查询:
https://blog.csdn.net/u010405836/article/details/102778980
https://blog.csdn.net/androidstudyroom/article/details/83004465
https://baijiahao.baidu.com/s?id=1647357291726004956
https://baike.baidu.com/item/%E9%9D%9E%E6%B3%95%E8%8E%B7%E5%8F%96%E5%85%AC%E6%B0%91%E4%B8%AA%E4%BA%BA%E4%BF%A1%E6%81%AF%E7%BD%AA
1352
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
