家用摄像头遭大规模破解：生产商应当担责

▲（IC photo / 图）

▲（IC photo / 图）

全文共2351字，阅读大约需要6分钟

网络摄像头厂商理应在云端视频加密、用户身份验证与密码设置等环节尽到谨慎的义务，如果因为技术防范不到位而导致用户信息泄露，那就像防盗门窗与保险箱因自身质量不过关而遭侵入一样，应该承担赔偿责任。

本文首发于南方周末 未经授权 不得转载

文｜王兢

据《法治日报》近日报道，目前不少家用摄像头暗藏泄露隐私的风险，网上存在售卖网络摄像头视频与直播资源的现象。报道内容堪称触目惊心：不法之徒可以通过破解软件，获取常见品牌摄像头的账号密码、观看或是下载监控视频，甚至于存在售卖视频资源的黑色产业链，比如“260元永久观看权”“99元进入视频资源群”“180元三个月权限”等明码标价的服务。

家用摄像头是安装在家里的，是私人场合，在家中，人们保有更多的隐私权。家用摄像头的使用场景，决定了它理应比公共场所的监控设备有更强的隐私保护性能。破解家用摄像头，相当于网络时代的“溜门撬锁”。

首先应被追责的是那些参与破解摄像头，并兜售账号和视频的犯罪团伙。根据现行法律，破解家用摄像头涉嫌多项违法犯罪。普通人在家里的饮食起居与私密生活都被外人窥探、下载甚至出售，这涉嫌侵犯公民个人信息罪、非法获取计算机信息系统数据罪。根据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第5条，涉事团伙已经构成“非法获取、出售或者提供公民个人信息”，而且有极大概率符合“情节严重”的要件，比如“违法所得五千元以上”，会被处三年以下有期徒刑或者拘役，并处或者单处罚金。

除此之外，网络摄像头的生产商也应该承担一定的责任。

网络摄像头的工作原理，是把摄像头所获得的图像数据（这些数据可能涉及敏感的个人隐私信息），通过网络实时上传到用户的手机等终端上，供用户查看。有些摄像头可能会将数据上传到服务提供商（通常就是摄像头的生产商）的服务器，再通过服务器进行中转。用户的用户名密码等登录App查看监控所需要的信息，都是存储在服务商的服务器上的。这就使得服务商成为处理个人信息的网络运营商。

网络安全法、个人信息保护法等法律，都要求网络运营者、个人信息处理者要采取必要的技术措施，保护用户个人信息安全。从家用摄像头的使用属性来看，其控制权只应该属于用户本人，其所生产、存储的视频信息可以且只能由用户或其授权的人观看、储存与使用，犹如防盗门窗与保险箱的钥匙/密码只能由所有者拥有。摄像头的生产商和运营商，有义务保障网络服务的安全性，为用户提供足够安全的防盗门和保险箱。

网络摄像头被破解，有几种可能。一是用户的密码被破解或者泄露了，被犯罪分子所获得，所以他们能够用这些用户名和密码登录用户账号，看到本来只有合法用户才能看到的视频。

这看起来是用户自己的问题，使用了过于简单的密码，或者密码已经泄露在网络上却没有及时修改。从这个意义上，用户当然有一定的责任。但是，摄像头的生产商和运营商，还是可以利用技术手段，尽可能防止用户账号被盗用。

首先是在密码设置上，可以强制要求用户使用复杂的密码，比如要有一定的长度（8位甚至10位以上密码），要有大小写字母、数字、特殊符号等多种字符的组合。对密码强度作出更高的要求，可以防止用户“偷懒”而使用简单的密码，避免被人盗取。其次可以使用手机验证码等二次验证方法进行登录验证。这样，即使用户的密码泄露，只要犯罪分子不能获得正确的手机验证码，也就无法登录账号。另外，如果有新的设备试图登录账号，还可以向用户发送示警短信予以提醒。

这些方法，在技术上都不是难题，可以极大提高用户账号的安全性。此次《法治日报》的报道中还有一个细节值得关注，那就是涉事团伙推出的App可以以“设备管理”的方式直接添加家用网络摄像头。这个细节显示，被破解的摄像头很可能是管理后台出了问题，以至于犯罪团伙用非官方App就可以登录账号，轻易侵入系统。出现这种情况，很可能是因为运营商的后台管理存在漏洞，没有对登录账号的设备进行严格的鉴权。如果是这样，运营商无疑要对用户信息泄露承担更大的责任。

家用摄像头的生产商，当然应该不会想把家用摄像头变成社交平台的公开摄像头。那么，在生产与设计过程中就应力求堵住类似安全漏洞，最大限度地保护用户隐私。美国科技巨头Meta老板扎克伯格在使用笔记本电脑时，都会用胶带遮住摄像头以防泄露隐私。这种做法显示，哪怕是科技巨头也会担心“道高一尺，魔高一丈”的问题，这就是无法百分之百信任智能产品的生产商。

近年来，“智能家居”与“智能设备”的概念与产品层出不穷，让消费者不知不觉就“用隐私换取了便利”。其中当然存在消费者疏于防范的情况，但也与智能产品的生产设计方不无关系。家用摄像头涉及用户家庭隐私，生产商应负起更多保障用户信息安全的责任。比如说，厂商理应在云端视频加密、用户身份验证与密码设置等环节尽到谨慎的义务，如果因为技术防范不到位而导致用户信息泄露，那就像防盗门窗与保险箱因自身质量不过关而遭侵入一样，应该承担赔偿责任。

厂商未尽到安全义务，除了应承担民事侵权责任，还可能被行政处罚。根据《中华人民共和国网络安全法》第42条，网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。如果违反这一义务，主管部门可以责令改正，根据情节单处或者并处警告、没收违法所得、罚款，等等。

因此依照相关法律规定，这就需要主管部门要一方面强化与细化相关行业标准，要求厂商在生产设计家用摄像头系统时尽到安全职责。另一方面在类似泄露事件出现之后，也要追究厂商的民事责任，赔偿用户的相应损失，倒逼厂商在设计与生产过程中提高安全性。同时，用户一方也理应尽到自身责任，比如设置更为复杂的密码与口令，避免被有心之人“暴力破解”。