你收到过微信送礼物或者邀请刷单的消息吗？如果是这样，那么你的个人信息可能已经被泄露了...

近日，商丘市睢阳区人民法院在裁判文书网上公布了一份刑事判决书，显示河南省商丘市一名毕业的大学生，自2019年11月起，在淘宝上爬行8个月，窃取大量用户数据。在阿里巴巴注意到这个问题之前，已经有超过11.8亿条用户信息被泄露。

被盗的11.8亿条数据做了什么？真相是，另一个家住湖南省浏阳市、初中才毕业的李某，利用这些信息建立了1100个微信群，每个群有90-200人。每天用机器人在群里发淘宝优惠券，赚返利，短短8个月赚了34万多。

到底发生了什么？

两个相隔千里的人是如何齐心协力做出这起惊天大案的？

被告人邹某交代，其于2017年7月在QQ群里认识了李某，李某在做“淘宝客”时需要一些“淘宝客”软件。他给李某编了一个“微信加人”软件，不收钱。李某答应算他的技术投入，以后成立公司再跟我算这笔钱。

2019年3月，李某成立了一家名为“浏阳泰创网络科技”的公司，邹某成为该公司的一名技术人员，常年在家远程办公，月薪1万元。

2019年11月，邹开始使用自己开发的爬虫软件“淘评”，通过淘宝商品详情界面和淘宝信息共享界面抓取淘宝客户的淘宝数字ID和昵称，通过淘宝共享界面抓取淘宝客户的手机号码信息。

其中，邹某向李某提供了被抓取客户的手机号码信息，而邹某将淘宝客户ID和淘宝昵称存储在自己的电脑硬盘中，未提供给李某并泄露出去。

而李某则在收到淘宝客户的手机号后，将信息数据导入“微信加”软件。添加微信好友成功后，会拉进已建的微信群，由公司里的员工负责发送广告链接。淘宝用户在公司微信群里购买商品后，公司会获得提成。

就这样神不知鬼不觉地过了8个多月，邹来回爬了5000多万条信息，从外地下载了11亿多条数据。直到2020年8月14日，淘宝(中国)软件有限公司举报，2020年7月6日至2020年7月13日期间，有黑产者绕过平台风控，通过接口批量抓取数据。7月6日-7月13日，日均抓取量500万。抓取内容包括买家用户昵称、用户评价内容、昵称等敏感信息。

最终，邹和李被河南警方抓获。经公开检查，通过电脑开发的软件在一台电脑中抓取了数字身份证、淘宝昵称、手机号等淘宝客户信息共计1180738048条

值得注意的是，被告人邹称，11.8亿的数据以微信文件的形式发给李后，李会转一笔费用给他，整个获利只有六七万元。

涉及恶意抓取淘宝数据

淘宝联盟曾点名43款违规app

这已经不是淘宝第一次恶意抓取淘宝数据了。

2019年5月，阿里妈妈在非法调查过程中，发现部分淘宝客非法抓取淘宝购物车、收藏夹等。在无线APP端，并恶意宣传在淘宝客做推广的行为。该行为严重违反了《淘宝客应用开发者规范》第九条:开发者不得以任何形式抓取任何淘宝数据；违反《阿里妈妈推广人规范》第八条，流量劫持。

此次专项治理共发现粉象生活、省钱快递、羊毛省钱、还钱宝贝、喵-off、叮当叮当等43款违规app。

事实上，2013年，这种情况不仅发生在淘宝，也发生在JD.COM。数据泄露包括密码、手机号、邮箱、用户名。

今年4月，脸书指控“恶意行为者”泄露了超过5.3亿用户的姓名和电话号码。

第三方大数据公司“人人自危”

众所周知，网络爬虫技术原本是指平台按照一定的规则从互联网上自动提取网络信息的程序或脚本，是互联网行业常用的技术之一。爬虫技术广泛应用于各个领域。在大数据分析、舆情检测等方面。，从来没有被法律明令禁止。

然而，合法的数据源是网络爬虫合法活动的前提。根据《网络安全法》第四十一条未经被采集人同意自动采集个人信息的，技术用户涉嫌侵犯公民个人信息罪、非法侵入计算机信息系统罪或者非法获取计算机信息系统数据罪等犯罪。

2019年，多家第三方大数据公司被纳入调查，原因是其利用爬虫技术非法获取并存储公民个人信息。

其中最著名的就是魔蝎科技。2019年9月6日，多位业内人士称，科技疑似被相关执法人员控制，其中一位叫周的核心高管被警方带走。

2021年1月14日，杭州市西湖区人民法院对莫谢克侵犯公民个人信息案作出一审判决。法院认为，莫邪科技以其他手段非法获取公民个人信息，情节特别严重，其行为已构成侵犯公民个人信息罪。

法院判决莫邪科技犯侵犯公民个人信息罪，并处罚金人民币3000万元；法定代表人、总经理周犯侵犯公民个人信息罪，判处有期徒刑三年，缓刑四年，并处罚金50万元。技术总监袁某犯侵犯公民个人信息罪，判处有期徒刑三年，缓刑三年，并处罚金人民币三十万元。

法院查明，魔蝎科技将其开发的前端插件嵌入网贷平台App。网贷平台用户需要在魔蝎科技提供的前端插件上输入其通信运营商、社保、公积金、淘宝、JD.COM、Xuexin.com、征信中心等网站的账号和密码。用户授权后，莫邪科技的爬虫程序会代替用户进入其个人账户，利用各种爬虫技术抓取(复制)通话记录、社保、公积金等各类数据在上述企事业单位网站的贷款用户个人账户中，并提供给网贷平台根据与用户的约定判断用户的信用状况，从网贷平台获取每笔0.1元至0.3元不等的费用。

尽管莫邪科技在与个人贷款用户签订的数据采集服务协议中明确表示“不会保存用户账号密码，仅在用户每次单独授权时才采集信息”，但其仍使用技术手段将各类用户账号和密码长期保存在服务器上。截至2019年9月，以明文形式非法保存的个人贷款用户账号和密码超过2000万。

根据《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》，非法获取、出售或者提供行踪信息、通信内容、信用信息、财产信息50条以上的，可以入罪。

2019年9月前后，陆续有多家数据公司被调查，除了魔蝎科技，还有聚信利、欣彦科技、工信宝、同盾等。

于是，行业里慢慢出现了一句顺口溜:“爬虫玩得好，监狱进得早。数据下滑，监狱饭都够吃了。”

天网恢恢，疏而不漏。与上述案件一样，邹某虽辩称其仅为公司业务活动向李某提供其手机号码的一部分，但在共同犯罪中未起次要、辅助作用，不是从犯。

但法院仍认为，被告人邹某受雇于被告人李某，两人均违反国家规定非法获取公民个人信息。情节特别严重，其行为已构成侵犯公民个人信息罪。公诉机关指控其犯该罪，系共同犯罪。

故判决被告人李某犯侵犯公民个人信息罪，判处有期徒刑三年六个月，并处罚金人民币35万元。被告人邹犯侵犯公民个人信息罪，判处有期徒刑三年三个月，并处罚金10万元。

来源:中国基金报编辑卢