网络黑灰产治理须多管齐下

作者：360法律研究院总监：赵军

360法律研究院研究员：张建肖

互联网的快速发展为网络黑灰产产业的滋生、蔓延提供了土壤和便利条件，目前该产业从业人员的数量以及涉案金额正以难以置信的速度迅猛增长，严重威胁网络安全领域和民众财产安全。治理网络黑灰产产业，在重视法律规制的同时，应对从事网络安全的企业和个人给予更多的法律保护，促使网络产业发展形成良性循环。

大多数的信息泄露，一方面是因为从业者缺乏对网络安全防护义务的认识，这种疏忽导致了安防工作没有得到有效开展，最终使得信息遭到泄露。在众多企业的普遍观念随着手机支付、电子商务、信息安全、软件开发等网络产业的快速发展，偌大的网络平台也成为了滋生黑灰产产业的温床。据数据显示，目前我国从事黑灰产产业的人员已有40万之多，而该群体的年龄平均不到23岁，但涉及的年产值却高达千亿元人民币。

所谓的黑灰产产业涉及黑色和灰色两条产业链。黑产主要包括“黑客攻击”、“盗取账号”、“钓鱼网站”三类违法活动；而灰产主要是指处于法律灰色地带的“恶意注册和虚假认证”。目前黑灰产产业已经呈现出链条的形式，成为支持网络犯罪的一种形式，而整个链条就其上游、中游和下游来讲已经形成了完整的流水化作业。

一、上游信息泄露

信息泄露问题属于黑灰产的上游阶段，实务中中，网络安全在开发系统或软件时并不是必选项，而是可选项，比如在开发一款游戏时，游戏内容的吸引力以及活跃用户的数量为重点关注对象，而网络安全的相关内容则经常被忽略，游戏开发商重其所重、轻其所轻，甚至根本不去考虑如何处置和管理在游戏中收集到的各位游戏玩家的实名信息、手机号码、银行账号等内容，这为信息泄露埋下了隐患。另一方面，领导层的管理漏洞也是导致信息泄露的一大原因。现实做法中，很多企业在网络安全这一领域仅投入少量人员和资金，管理体制不完善、规章制度不健全等现象比比皆是。相关领导为了避免定期改密、日常防护给业务带来的干扰，在明知系统存在漏洞的情况下拒绝打补丁，也不采取任何同步建设安全防护措施，这就是作为上游来讲造成信息泄露的又一大重要原因。

就上游出现的问题，目前可以从两方面入手进行规制：

第一，加大打击力度。对相关企业以及相关人员进行普法教育，让其知悉《刑法修正案(九)》增设的拒不履行信息网络安全管理义务罪以及《网络安全法》中涉及到的合规义务等，使其明白在建设关键信息基础设施的过程中，没有做到同步规划、同步建设、同步使用三同步需要承担相应的罚责。

第二，加大对白帽子黑客的正向激励和保护措施。所谓的白帽子黑客，是指从事挖掘网络漏洞、打击网络黑产的民间力量。在很长一段时间里，该群体都游走于灰白之间的地带。尽管白帽子黑客与真正的黑客的操作以及手段大同小异，但是二者的目的截然不同。白帽子通过挖掘漏洞及时提醒相关人员做好系统的防护工作，而后者是通过挖掘漏洞进行非法买卖，从而赚取高额利益。

白帽子群体往往比较年轻，多数人学历并不高，甚至没有接受过正规的大学教育，但是凭借着对信息系统的钻研精神以及自身对网络漏洞挖掘的喜爱，成为了该领域的专业人士。然而，现实法律中缺乏对白帽子黑客的特殊关注，使得这样一群面对巨大诱惑的技术人员走在了法律的边缘。例如，在缺乏正向的法律激励和保护措施的情况下，当白帽子挖掘到重要漏洞时，很有可能抵不过黑色产业链中几十万交易额的诱惑，走上一条害人害己的道路。据此可见，从法律和政策上进行正向引导对于规范白帽子群体行为是大势所趋。

二、中游信息流转

信息经上游泄露后会通过一定的渠道进行流转，而被黑客用来交易信息的中介和平台就是产业链的中游部分。中游各环节的分工十分明确——窃取信息、流转信息、非法利用信息等环环相扣。然而，并非所有遭到泄露的信息只能为不法分子提供网络犯罪的工具，如若能够加以正确利用，反而能最大限度降低信息泄露给受害人造成的损失。以“社工库”为例，这是把泄露的用户注册信息整理入库，并做成一个通过查询用户名就能显示密码的查询网站，该网站的存在的确为某些想要从事非法活动的人员提供了途径，但是其也能够发挥正向作用。例如，当银行系统被盗后，在采取及时的防护措施的同时，银行也可以告知用户相关情况，让用户利用社工库来检查自己的银行信息是否遭到泄露，从而达到银行和用户信息共享、共同抵御风险的目的。但是就目前而言，该做法缺乏法律上的免责规定，这导致社工库的正向作用不能被有效利用，更使得被泄露者的利益无法得到最为及时且有效的保护。

三、下游精准诈骗

经过上游的信息泄露、中游的信息流转后，下游则专门利用这些信息实施精准诈骗。近些年来，电信诈骗屡屡发生，传统看法认为，这一现象背后的重要原因是受骗人因贪图利益而导致财产受损。但目前的研究表明，在很多情况下，电信诈骗之所以成功并不仅仅是受骗人的意志薄弱，而是因为诈骗分子提供的个人信息过于精准，以至于受骗人无法怀疑真实性。例如，犯罪分子在冒充航空公司的工作人员告知受骗人航班取消时可以提供乘客各种详尽的登机信息，使乘客高度相信诈骗人所述的内容，从而上当受骗。针对这种情况，360公司提供的诸如电话标注等产品服务能够在很大程度上实现信息共享，让诈骗人的标签被永久贴上，以防更多的用户重蹈覆辙。此外，360与北京网安合作建设的猎网平台也为用户提供了安全防护。对于无法达到立案标准的案件，一旦向平台举报，就会受到平台的关注与处理。当把这些案件数据汇总后，大数据会精准分析并总结出诈骗源，从而对查证属实的被举报者进行针对性的打击。

然而，对于提供网络安全产品和服务的行业而言，目前缺乏相关的法律保护和豁免机制是各大相关企业所共同面临的法律风险。已经颁布并实施的《网络安全法》仅规定了众多合规义务和禁止性规定，但是唯独缺少对网络安全服务提供者设定的正向引导和激励、保护机制。上述不足会导致很多问题，例如关键信息基础设施的保护条例规定“任何个人和组织未经授权不得对关键信息基础设施开展渗透性、攻击性扫描探测”，这一方面明确了网络安全服务提供者在法律上没有特权，限制并阻碍其对系统漏洞和风险做出及时检测和评估，另一方面却无法从法律上对黑客的行为进行约束，致使该群体更加肆无忌惮地对关键信息基础设施进行扫描探测、危害网络安全。

综上，针对打击网络犯罪，尤其是网络黑灰产产业的问题，法律层面任重而道远，从事网络安全行业的企业和个人应该被给予更多的关注和支持，从而促使网络产业能够朝着良性循环的方向长久稳定发展。

（载《中国信息安全》2017年第12期，图片来源网络）