位置：首頁 > 資訊 > 其他>用產(chǎn)業(yè)鏈對抗產(chǎn)業(yè)鏈

用產(chǎn)業(yè)鏈對抗產(chǎn)業(yè)鏈

發(fā)布時間：2020-06-05

欄目：其他

帝國cms文章批量更新助手織夢cms內容文章批量更新助手 SDCMS文章批量更新助手

　　近年來，互聯(lián)網(wǎng)公司用戶信息泄漏事件頻發(fā)，并非京東一家中招。2015年5月，蘇寧易購也出現(xiàn)用戶訂單信息大范圍泄露事件，致使很多用戶被騙；2016年3月，唯品會也被媒體曝出網(wǎng)絡圖片采集器，其平臺用戶訂單信息在一些QQ群被肆意買賣。

　　3月10日，在騰訊舉辦的《如何對個人信息販賣說NO》沙龍上，騰訊安全管理部專家何欣介紹，目前，個人信息買賣已經(jīng)形成分工明確、非常結構化的黑色產(chǎn)業(yè)鏈：信息泄露——傳播交易——應用獲利。

　　公安部此次破獲的案件也證實了這一點。據(jù)警方介紹，在這個由96人組成的犯罪團伙中，“有人專門負責竊取公民個人信息，有人通過技術手段把這些公民個人信息整理建成數(shù)據(jù)庫，還有一部分人把這些整理建庫完的數(shù)據(jù)直接拿出來使用，有出售的、有交換的……形成一個黑色產(chǎn)業(yè)鏈”。

　　何欣表示，由于個人信息販賣已經(jīng)形成產(chǎn)業(yè)鏈，要進行打擊對抗，也需要借助整個互聯(lián)網(wǎng)行業(yè)的力量，“用產(chǎn)業(yè)鏈來對抗產(chǎn)業(yè)鏈”。

　　對于一些黑產(chǎn)分子利用QQ平臺傳播販賣個人信息的現(xiàn)象，何欣介紹，騰訊采取了兩種方式予以打擊：第一種是安全策略，即通過研究從事個人信息販賣的犯罪分子的行為模式特征，使用一些關鍵字詞去對群組的資料、頭像和間接等公開資料進行核查。

　　何欣透露，從2016年年初到現(xiàn)在，騰訊已經(jīng)查處涉及個人信息販賣的QQ群4700多個，關停了相關QQ賬號3500多個。

　　另外一個途徑便是舉報，近期騰訊上線了侵犯公民個人信息的舉報標簽，期望通過此舉更快、更有效地處理收到的舉報信息，更快地核查、打擊黑產(chǎn)分子。

　　不過，這些舉措并不能將利用社交軟件進行傳播、交易用戶個人信息的黑產(chǎn)分子一網(wǎng)打盡。何欣表示，一方面，從事個人信息販賣者會不斷變換關鍵詞，甚至采用一些特別隱諱的名稱，使得主動打擊變得更加困難；另一方面，排查關鍵詞只能用于公開的場景，而很多黑產(chǎn)分子會通過隱私的交流環(huán)節(jié)來販賣個人信息，這就使得技術手段和人工核查都難以覆蓋。

　　IDF互聯(lián)網(wǎng)威脅情報實驗室聯(lián)合創(chuàng)始人萬濤對法治周末記者表示，犯罪分子在從事黑產(chǎn)時，可能會通過QQ等即時通訊工具、各種支付方式進行溝通聯(lián)絡洗錢，而目前互聯(lián)網(wǎng)企業(yè)在打擊黑產(chǎn)時受困于諸多“忌諱”和限制，多“各掃門前雪”，也使得打擊的線索無法匯聚。

　　何欣建議，要打擊黑產(chǎn)需要整個產(chǎn)業(yè)聯(lián)合起來，共同打造安全生態(tài)圈。而此案就是騰訊與京東在聯(lián)合打擊信息安全地下黑色產(chǎn)業(yè)鏈的日常行動中發(fā)現(xiàn)的線索，并及時向警方進行了提供網(wǎng)站圖片采集軟件。

　　萬濤也建議，政府牽頭成立專業(yè)組織，建立跨地區(qū)、跨部門、跨行業(yè)的配套機制和保障措施，讓互聯(lián)網(wǎng)企業(yè)間的安全團隊可以合法地分享線索信息，協(xié)同發(fā)力，提升打擊黑產(chǎn)的力度。

　　須借鑒“最小采集理念”

　　除了用產(chǎn)業(yè)協(xié)作對抗黑產(chǎn)外，何欣認為，還需要加強源頭的保護，“因為我們發(fā)現(xiàn)很多犯罪分子會直接入侵到不同的機構網(wǎng)站，盜取大量的公民個人信息圖片采集程序，所有在源頭上掌握公民個人信息的機構，都應該加強自身的安全防護能力”。

　　在該案中，犯罪團伙中的翁某、韓某鵬就是采取技術手段，入侵多家互聯(lián)網(wǎng)機構的網(wǎng)站，盜取了大量的用戶信息。

　　公安部第三研究所網(wǎng)絡安全法律研究中心主任黃道麗在接受法治周末記者采訪時表示，2012年出臺的《全國人大常委會關于加強網(wǎng)絡信息保護的決定》，第一次從法律層面規(guī)定了網(wǎng)絡服務提供者保障個人信息安全的技術措施和補救措施義務；2016年11月7日通過的網(wǎng)絡安全法進一步強化了這一要求，并增加了告知用戶和向主管部門報告的義務。

　　黃道麗表示，雖然網(wǎng)絡安全法自2017年6月1日起正式施行，實質上，我國相關法律法規(guī)中對相關主體實施技術措施的安全保護職責早有詳盡規(guī)定，如《計算機信息網(wǎng)絡國際聯(lián)網(wǎng)安全保護管理辦法》(公安部令33號)、《互聯(lián)網(wǎng)安全保護技術措施規(guī)定》(公安部令82號)等。

　　“此次破獲的50億條個人信息買賣案件，犯罪嫌疑人主要通過入侵信息系統(tǒng)的方式獲取的個人信息，但是被牽涉企業(yè)是否采取了技術措施和其他必要措施確保用戶的個人信息安全；在企業(yè)已知悉所存儲、處理的信息已發(fā)生泄露和丟失的情況下，是否采取了合理的補救措施，防止信息繼續(xù)泄露，是否及時告知用戶以避免造成更大的損失，都是關注的焦點。”黃道麗說。

　　2015年8月通過的刑法修正案(九)新增了拒不履行網(wǎng)絡安全管理義務罪，網(wǎng)絡服務提供者不履行法律、行政法規(guī)規(guī)定的信息網(wǎng)絡安全管理義務，經(jīng)監(jiān)管部門通知采取改正措施而拒不改正，致使用戶信息泄露，造成嚴重后果的，單位不僅將被判處罰金，直接負責的主管人員和其他直接責任人也將會被追究刑事責任。黃道麗認為，這一條款從刑法角度上強化了網(wǎng)絡服務提供者的安全管理責任，在這樣的法律背景下，互聯(lián)網(wǎng)企業(yè)必須更加重視用戶個人信息的防護。

　　中國社科院法學研究所研究員、國家信息化專家咨詢委員會委員周漢華則認為，在大數(shù)據(jù)時代圖片采集器，無論是公權力機構，還是互聯(lián)網(wǎng)企業(yè)，在網(wǎng)絡信息安全方面最好的防護便是“不該要的別要，如果采集過多，自然會增加防護的負擔”。周漢華介紹，目前發(fā)達國家已經(jīng)普遍采納了“最小采集理念”，這值得我國反思。

　　北京律師張新年一直關注互聯(lián)網(wǎng)企業(yè)的用戶信息保護狀況，鑒于很多公民個人信息泄漏事件多是“內鬼”所為，他在接受記者采訪時表示，互聯(lián)網(wǎng)企業(yè)不僅要完善網(wǎng)站系統(tǒng)，從技術層面上保障數(shù)據(jù)信息安全，也要重視人員管理，加強對涉密員工法律意識培訓的力度，防止他們鋌而走險。