用產業鏈對抗產業鏈

　　近年來，互聯網公司用戶信息泄漏事件頻發，并非京東一家中招。2015年5月，蘇寧易購也出現用戶訂單信息大范圍泄露事件，致使很多用戶被騙；2016年3月，唯品會也被媒體曝出網絡圖片采集器，其平臺用戶訂單信息在一些QQ群被肆意買賣。

　　3月10日，在騰訊舉辦的《如何對個人信息販賣說NO》沙龍上，騰訊安全管理部專家何欣介紹，目前，個人信息買賣已經形成分工明確、非常結構化的黑色產業鏈：信息泄露——傳播交易——應用獲利。

　　公安部此次破獲的案件也證實了這一點。據警方介紹，在這個由96人組成的犯罪團伙中，“有人專門負責竊取公民個人信息，有人通過技術手段把這些公民個人信息整理建成數據庫，還有一部分人把這些整理建庫完的數據直接拿出來使用，有出售的、有交換的……形成一個黑色產業鏈”。

　　何欣表示，由于個人信息販賣已經形成產業鏈，要進行打擊對抗，也需要借助整個互聯網行業的力量，“用產業鏈來對抗產業鏈”。

　　對于一些黑產分子利用QQ平臺傳播販賣個人信息的現象，何欣介紹，騰訊采取了兩種方式予以打擊：第一種是安全策略，即通過研究從事個人信息販賣的犯罪分子的行為模式特征，使用一些關鍵字詞去對群組的資料、頭像和間接等公開資料進行核查。

　　何欣透露，從2016年年初到現在，騰訊已經查處涉及個人信息販賣的QQ群4700多個，關停了相關QQ賬號3500多個。

　　另外一個途徑便是舉報，近期騰訊上線了侵犯公民個人信息的舉報標簽，期望通過此舉更快、更有效地處理收到的舉報信息，更快地核查、打擊黑產分子。

　　不過，這些舉措并不能將利用社交軟件進行傳播、交易用戶個人信息的黑產分子一網打盡。何欣表示，一方面，從事個人信息販賣者會不斷變換關鍵詞，甚至采用一些特別隱諱的名稱，使得主動打擊變得更加困難；另一方面，排查關鍵詞只能用于公開的場景，而很多黑產分子會通過隱私的交流環節來販賣個人信息，這就使得技術手段和人工核查都難以覆蓋。

　　IDF互聯網威脅情報實驗室聯合創始人萬濤對法治周末記者表示，犯罪分子在從事黑產時，可能會通過QQ等即時通訊工具、各種支付方式進行溝通聯絡洗錢，而目前互聯網企業在打擊黑產時受困于諸多“忌諱”和限制，多“各掃門前雪”，也使得打擊的線索無法匯聚。

　　何欣建議，要打擊黑產需要整個產業聯合起來，共同打造安全生態圈。而此案就是騰訊與京東在聯合打擊信息安全地下黑色產業鏈的日常行動中發現的線索，并及時向警方進行了提供網站圖片采集軟件。

　　萬濤也建議，政府牽頭成立專業組織，建立跨地區、跨部門、跨行業的配套機制和保障措施，讓互聯網企業間的安全團隊可以合法地分享線索信息，協同發力，提升打擊黑產的力度。

　　須借鑒“最小采集理念”

　　除了用產業協作對抗黑產外，何欣認為，還需要加強源頭的保護，“因為我們發現很多犯罪分子會直接入侵到不同的機構網站，盜取大量的公民個人信息圖片采集程序 ，所有在源頭上掌握公民個人信息的機構，都應該加強自身的安全防護能力”。

　　在該案中，犯罪團伙中的翁某、韓某鵬就是采取技術手段，入侵多家互聯網機構的網站，盜取了大量的用戶信息。

　　公安部第三研究所網絡安全法律研究中心主任黃道麗在接受法治周末記者采訪時表示，2012年出臺的《全國人大常委會關于加強網絡信息保護的決定》，第一次從法律層面規定了網絡服務提供者保障個人信息安全的技術措施和補救措施義務；2016年11月7日通過的網絡安全法進一步強化了這一要求，并增加了告知用戶和向主管部門報告的義務。

　　黃道麗表示，雖然網絡安全法自2017年6月1日起正式施行，實質上，我國相關法律法規中對相關主體實施技術措施的安全保護職責早有詳盡規定，如《計算機信息網絡國際聯網安全保護管理辦法》(公安部令33號)、《互聯網安全保護技術措施規定》(公安部令82號)等。

　　“此次破獲的50億條個人信息買賣案件，犯罪嫌疑人主要通過入侵信息系統的方式獲取的個人信息，但是被牽涉企業是否采取了技術措施和其他必要措施確保用戶的個人信息安全；在企業已知悉所存儲、處理的信息已發生泄露和丟失的情況下，是否采取了合理的補救措施，防止信息繼續泄露，是否及時告知用戶以避免造成更大的損失，都是關注的焦點。”黃道麗說。

　　2015年8月通過的刑法修正案(九)新增了拒不履行網絡安全管理義務罪，網絡服務提供者不履行法律、行政法規規定的信息網絡安全管理義務，經監管部門通知采取改正措施而拒不改正，致使用戶信息泄露，造成嚴重后果的，單位不僅將被判處罰金，直接負責的主管人員和其他直接責任人也將會被追究刑事責任。黃道麗認為，這一條款從刑法角度上強化了網絡服務提供者的安全管理責任，在這樣的法律背景下，互聯網企業必須更加重視用戶個人信息的防護。

　　中國社科院法學研究所研究員、國家信息化專家咨詢委員會委員周漢華則認為，在大數據時代圖片采集器，無論是公權力機構，還是互聯網企業，在網絡信息安全方面最好的防護便是“不該要的別要，如果采集過多，自然會增加防護的負擔”。周漢華介紹，目前發達國家已經普遍采納了“最小采集理念”，這值得我國反思。

　　北京律師張新年一直關注互聯網企業的用戶信息保護狀況，鑒于很多公民個人信息泄漏事件多是“內鬼”所為，他在接受記者采訪時表示，互聯網企業不僅要完善網站系統，從技術層面上保障數據信息安全，也要重視人員管理，加強對涉密員工法律意識培訓的力度，防止他們鋌而走險。