拼多多辞退匿名发帖员工 专家解读“寻人”手段是否违法

日期:01-12
拼多多网络安全张瑞冬

原标题:拼多多辞退匿名发帖员工,“寻人”手段是否违法?匿名发帖还安全吗?专家解读

近来,拼多多辞退匿名发帖员工的新闻受到舆论关注。今年1月7日,花名为“太虚”的拼多多前技术开发工程师王某在一职场社交平台匿名发贴,内容显示为“第二位拼多多猛士倒下了”,并配有一张办公楼外停放救护车的图片,定位则显示为拼多多办公点。

3天后,该事件进一步升级,王某于1月10日更新一条名为《因为看到同事被抬上救护车我被拼多多开除了》的视频,表示自己匿名发表帖子后,拼多多却在短时间内找到自己,并将自己辞退。

对王某被解雇的原因,1月11日,拼多多公开回应称,王某被解雇并非因匿名发帖,而是公司通过脉脉外显ID(JgD+STsWV2E),查询到“太虚”过去的发言内容充斥着“不良极端言论”,包括“想要xx死”“把xx的骨灰扬了”等内容。

对此,中国互联网协会网络安全工作委员会常务委员、深圳市网络与信息安全行业协会副会长谢朝霞告诉红星新闻记者,通常情况下,平台无法通过一个外显的ID,就能获取匿名用户的真实信息。如果该员工在拼多多公司办公环境内发帖,那么拼多多公司有权在对公司网络资产的监控和审计中排查到一些相关信息,并指向员工,这个情况则合理合法。

▲网传“太虚”数据库信息被泄露的截图

▲网传“太虚”数据库信息被泄露的截图

利用爬虫软件锁定匿名用户?

专家:有多种方法可以查出ID背后的真实身份

在“拼多多辞退匿名发帖员工事件”中,拼多多回应称是通过多人检索对比,最终锁定王某是发帖人。1月10日,社交平台脉脉发布官方回应,称不以任何形式向第三方提供职言区发帖用户信息。对于网络流出的关于王某数据库查询图,网上有传言是拼多多借助外显ID号通过爬虫软件锁定匿名用户本人。

那么,外显ID锁定用户本人这一手段背后的技术路径,是否可能实现呢?

对此,中国互联网协会网络安全工作委员会常务委员、深圳市网络与信息安全行业协会副会长谢朝霞接受红星新闻记者采访时表示,通常情况下,平台无法通过一个外显的ID就能获取匿名用户的真实身份信息。

谢朝霞表示,拼多多有不少方法可查到ID背后的人是谁。根据拼多多的回应,其并没有采取非法手段进行搜索数据,而是根据内部同事反馈,“高度怀疑”是王某,后经王某本人承认,方获知了匿名背后的真实信息。

“拼多多的确不需要通过关系或技术手段获取发帖人的真实信息。”成都无糖信息技术有限公司CEO、四川大学特聘网络安全专家张瑞冬分析称,因发帖人本身为公司内部员工,且通过发布照片的拍摄角度再结合公司监控摄像头,便能锁定发帖人。

此外,张瑞冬解释,根据王某使用设备本身的网络特征,若发帖人当时使用了公司的网络,那么即使通信过程中有加密,但仍然可以轻易通过技术手段锁定发帖人。

“换言之,只要拼多多的网络管理员把网络里连接脉脉服务器的设备统计出来,再使用这些设备特征去匹配自己的网络服务,那么就会很容易找到发帖人。”张瑞冬解释。

▲拼多多发布的情况说明

▲拼多多发布的情况说明

匿名发帖真的能让本人“隐身”?

专家:平台只能提供有限匿名

根据脉脉1月10日的公开回应称,在用户信息管理上,在其严格遵循国家相关法律法规的前提下,不以任何形式向任何第三方提供职言区发帖用户信息,且对于个人信息进行极为严密和完备的安全保障。

脉脉在通告中指出,为保障发帖安全,“职言”通过非对称加密技术对用户的发布身份进行了严格的加密处理,即使是脉脉内部工作人员,也无法获取任何个人相关信息。

对于脉脉通告的内容,张瑞冬认为:“脉脉从公司形象考虑,没必要在此事上刻意隐瞒。”张瑞冬解释称,匿名性是该平台的立身之本,如果这一环节无法保障,那么就会失去过多客户。张瑞冬指出,脉脉不会随意放开对其他公司(非执法机构)的查询通道。

谢朝霞表示,业主(脉脉)其实并不能确定信息是否泄露。该平台唯一能确定的,是声明自己尚未发现信息泄露事件。

“任何强度,任何方式的加密,即使不能被破解,也只能保护已加密数据不可读取。而由于监管或审计的要求,数据终归需要在某个过程,通过某个接口明文呈现出来,这个道理说到底,就是没有绝对安全。”谢朝霞也认为,脉脉的通报内容基本可信。

“事实上,用户隐私保护一直是网络安全难题。”谢朝霞认为,现如今,没有一家平台能真正确保用户的隐私100%不被泄露。同时谢朝霞也提醒,用户选择在互联网上发布信息,就在一定程度上选择了身份的透明和公开。而所谓匿名,只不过是平台提供的有限匿名,这样的安全感有一定的自我欺骗性。

▲脉脉官方微博发布的声明

▲脉脉官方微博

发布的声明

拼多多“寻人”是否合法?

专家:取决于是否存在非法获取数据行为

对于拼多多锁定匿名发帖的“太虚”系公司员工王某的行为,网上有声音质疑,这一方式是否存在侵犯个人信息的嫌疑。对此,专注于网络安全及个人信息保护诉讼案件研究的宁人律师事务所律师马军表示,爬虫行为一般分两种情况来看,一部分是对网络上公开的信息数据进行爬取,这属于正常合理行为;但如果个人信息设置了保护措施,且绕过上述保护措施对信息进行爬取,就属于刑事犯罪。

根据拼多多和脉脉目前的官方回应内容,系拼多多自行通过公司内部措施研判出了王某的真实身份,在此情况下,马军认为,如果事实是这样,那么拼多多的行为并没有违法。

谢朝霞告诉红星新闻记者,拼多多的行为,要看其获得匿名身份的过程中,是否发生了数据非法获取、计算机入侵和其他计算机网络违法犯罪行为,且是否具有证据指向。谢朝霞表示,单就现在获取匿名用户真实身份一事,不足以认定拼多多行为违法。

谢朝霞举例说明,比如该员工是在拼多多公司办公环境内发帖,那么拼多多有权在对公司网络资产的监控和审计中,排查到一些相关信息,并指向员工,而这个情况则合理合法。

红星新闻记者吴阳杨雨奇

快手小程序平台开启公测 日活已破百万 嘀嗒宋中杰:出租车最合规和安全 应走出困境重回“打车首选”
相关阅读: