下载掌阅APP,畅读海量书库
立即打开
□ 张瑶 | 前《财经》记者
“×先生/女士您好,请问您最近有在××地段买房的计划吗?”
接到类似营销电话的时候,也许你也曾感到疑惑,为何电话那端的陌生人恰好知道你的名字和联系方式。循着“姓名+电话+需求(买房/贷款/车险等等)”的信息包往上追踪,也许你能发现一个庞大的非法数据交易产业链,大量来源不清、涉及隐私、掺杂商业秘密的数据在其中被流转,待价而沽。
以2016年高考生徐玉玉遭遇数据泄露导致的“精准诈骗”猝死为起点,中国迎来一轮打击个人信息黑产的执法风暴,庞大的数据黑市因此得以浮现在公众视野——数据采集、清洗、挖掘、分销、应用形成完整产业链条,“内鬼”、黑客、清洗者、加工者、数据中间商、买家等寄生于此,催生市场规模超千亿元的灰黑产市场。源于黑市的海量数据被大量用以“哺育”下游犯罪,诈骗、暴力催收、勒索等违法犯罪行为因此更加猖獗。
与其他违法产业不同的是,现实中人们往往难以窥见数据黑产全貌,数据黑市也往往与暗网(指那些储存在网络数据库里、不能通过超链接访问而需要通过动态网页技术访问的资源集合,不属于可以被标准搜索引擎索引的表面网络)等概念相关联,显得神秘而遥远。但事实上,非法数据交易从业人员可能就潜伏在人们身边,他们以各类形式伪装自己。从让人不适的精准营销、基于大数据风控的网络小贷,到为人量身定制的精准诈骗,再到更多基于精准定制客户数据的犯罪产业,都可能成为数据黑产的典型变现场景。
在2017年的行业大整顿开始之前,你甚至不需要耗费太多搜索成本就能找到大量非法数据掮客。大量非法数据买卖、隐私交易时常通过公开互联网进行,与互联网金融等行业相依相生,带来丰厚利润。
这是一个极端暴利的行业,消除它并不容易——一个意外出现的系统漏洞、一个心怀不轨的公司“内鬼”、一笔未经严格规范的数据交易,都可能导致大规模数据进入黑市。而一旦进入黑市,数据集就永远留存沉淀下来,等待被产业链上其他从业者循环利用和变现,直至榨干最后一点价值。
那么,各类数据缘何被染上“黑产”底色,谁又因窃取数据而暴富?哪些看似合法的数据交易实际上潜藏法律风险?数据黑产如何危害个人、社会和产业,法律又如何为其划出红线?
2018年,正当Facebook深陷“数据门”引来全世界关注之时,很少有人知道,中国有一家大数据公司同样深陷“数据门”。
时间要回溯到2017年4月。一个名为“全球数据供应商”的QQ群里,时常有人出售带有房地产、金融等相关标签的手机号等数据包,其中一笔2000条个人信息数据被卖往山东省费县。正值中国官方整治数据黑产行动关键期,这宗看似普通的非法数据买卖背后,一些重要数据公司活动的迹象引起警方注意。
经费县警方侦查,上海一家商贸公司的5名员工有重大嫌疑。随后,这5人因涉嫌传播20余万条公民个人信息而被警方控制。但警方发现,这仅仅是这起数据交易的末端,链条中还有诸多上游卖家。他们手中的数据购自扬州一家信息科技有限公司,该公司的法定代表人、业务负责人、数据负责人等11名员工随后被警方控制。
从扬州这家公司再往上追溯,一家在新三板上市的大数据公司浮出水面。后来的起诉书称,数据堂(北京)科技股份有限公司(以下简称“数据堂”)的一名员工在征得上级同意后,与扬州这家公司签订了数据买卖合同,数据堂一共向其交付包含公民个人信息的数据60余万条。扬州这家公司则向其客户发送公民个人信息168万余条。警方随即对数据堂及其服务器展开了调查。
作为这一数据黑产链条的重要环节,数据堂被牵连其中,立刻在业内引发了轰动。自成立初始,数据堂就是一家定位于大数据交易的平台,在业内是最早“吃螃蟹者”之一。2014年11月,数据堂在新三板上市,其创始人和高管团队来自明星互联网公司和知名院校。2016年,数据堂的市值一度达21亿元。
年报显示,数据堂共有四条业务线,即营销线、金融线、财经线和人工智能线。检方审查查明,营销线在运营时,由资源合作部购入数据,资源平台部负责接收数据,并将数据放入公司集群。技术组根据产品组的要求,将集群上的数据根据用户的兴趣、爱好分别打上不同标签,之后依据客户需求向其传输数据。
据警方向媒体所作的介绍,上述卖给扬州公司的数据经过了清洗和处理(剔除无效信息及将其标准化),主要内容为手机号、地区和偏好(如房地产相关等),最终用途主要为精准营销。
事实上,这一非法数据交易链条仍未完成追溯。警方接着向上追溯,发现数据堂工作人员涉案数据购自济南的一家商贸公司,而后者的上线为中国联通一家合作商的两名“内鬼”员工,这个链条上的信息涉及全国15个省份手机机主的上网数据和偏好,包括手机号、姓名、上网数据、浏览网址等,均为原始未脱敏数据(即未进行去个人化、去隐私化处理的包含个人敏感信息的数据),平均正确率为99.99%。
2018年,检方以侵犯公民个人信息罪为由,对包括数据堂首席运营官在内的6名员工提起公诉,数据堂也因此陷入危机之中。
数据堂6名员工被指控的罪名,是近年来数据黑产最易落入法律制裁的罪名之一——侵犯公民个人信息罪。流通的非法数据大多涉及大量公民隐私或个人数据,极易触碰这一红线。
根据《刑法》第253条之一,违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处3年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处3年以上7年以下有期徒刑,并处罚金。
这里的“国家有关规定”,按照2017年6月1日生效的《网络安全法》的要求,一个首要的底线就是数据主体的“同意”授权——任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。
令从业者更胆寒的是与《网络安全法》同日生效的《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,这份文件对构成上述侵犯公民个人信息罪需要满足的“情节严重”标准作出了解释,即非法获取、出售或者提供公民行踪轨迹信息、通信内容、征信信息、财产信息50条以上的;非法获取、出售或者提供公民住宿信息、通信记录、健康生理信息、交易信息等500条以上的;非法获取、出售或者提供其他公民个人信息5000条以上的;违法所得5000元以上的,构成“情节严重”标准。此外,利用非法购买、收受的公民个人信息合法经营获利5万元以上的,也构成入罪的“情节严重”标准。
而据新华社报道,数据堂在8个月时间内,日均传输公民个人信息1.3亿余条,累计传输数据压缩后约为4000GB,公民个人信息达数百亿条,数据量特别巨大。
回看该案链条,中国联通经用户授权合法获得其个人信息,中国联通合作商理应取得合法授权,但该合作商中的“内鬼”员工私自窃取信息再卖出去,从这一步开始,这些流通的个人信息来源已然涉嫌非法,购得这些信息并进行加工的数据堂人员,如果明知来源非法却依然进行交易,则有极大的涉罪风险。也就是说,数据堂在数据的买入和卖出环节,均存在风险把控能力的缺失。
不过,数据堂并非没有意识到其核心业务可能触雷的风险。数据堂2017年年报就指出:“公司作为一家数据收集和交易公司,必然会和形形色色的数据打交道,国家在不断出台各种法律法规来确保数据来源及交易的合法性,因此如何合法合规地获取与交易数据成为大数据企业,特别是数据资源和交易公司的潜在法律风险。”
案件虽然了结,涉案的数据堂员工被分别判处有期徒刑一年六个月至三年不等,但数据堂仍未走出数据交易涉及黑产所带来的阴影。
2017年,数据堂归属于挂牌公司股东的净利润为亏损9758.49万元,全年统计金融线营收为772.9万元,营销线收入为44.9万元。公司的官方解释是:“对合法性界定不清的金融线及营销线业务予以关停。”数据显示,数据堂曾对营销线、金融线两条业务线的利润寄予厚望,并进行了大量的资金和技术投入。
从掌握核心数据的电信运营商、电信运维服务企业,到大数据分析、加工企业,再到精准营销公司,数据堂所涉案件涉及数据流通各环节,在数据安全、采买、使用等行业领域都产生了巨大震动。执法者对这一链条的全面打击也使得许多商业模式游走在法律边缘的企业紧张了起来。
尽管数据堂多次将数据交易的合法性风险写入公司年报,最终也未被起诉单位犯罪,但数据堂的风险管控能力、合规意识的短板暴露无遗。这引发了许多从业者的反思。对许多大数据公司、互联网公司而言,数据流入是否经过主体授权并且有清晰的路径,内部处理过程是否经过严格的评估和审计,转出过程中是否对隐私数据进行了脱敏、做好商业模式合法化评估等,都需要被重新审视。否则,一旦数据失控流入黑产,不论是对社会,还是对公司和数据控制者本身,都将带来严重的影响。
2017年数据堂停牌之时,由于恰逢《网络安全法》实施,许多业内人士因此猜测,其出事是否与大数据风控行业大整顿有关。不过,随着案情的公布,更多人相信,数据堂并非一开始就被确定的打击对象,而是经过对数据黑产脉络的层层追溯而被牵连。这让一位从业者感叹说,人们过去往往认为数据黑产是“黑天鹅”风险,但一起简单的案件也能牵连出业内知名公司,这意味着非法数据交易存在已经十分普遍,更像是“灰犀牛”——太过于常见以至于人们习以为常。
事实上,监管部门对于大数据行业近年来飞速发展过程中潜藏的“黑产”和模糊地带一直十分警觉。特别是涉及大量公民隐私数据的非法数据交易,过去苦于法律不完善、交易过程隐蔽、取证困难等原因,力度一直很弱。2016年以来,随着网贷、诈骗等相关产业受到严监管,与其密不可分的数据黑色产业链也走进了监管视野,那些潜藏在合法外包装之下的非法数据流转,也逐渐被暴露在阳光下。
一位长期与数据黑产对抗的高层执法者曾对笔者总结说,过去数年间国内数据黑产的现实状况是,大数据行业一直处于“野蛮生长”状态,在采集、流通、交易、应用等环节无章可循,如果严格按照法律的要求界定合法与非法的边界,“市面上70%的公司和商业模式都有问题”。他的体会是,比起公众想象中那些高深复杂的黑客技术和难以企及的暗网,数据黑市离普通人的生活实际上近很多。
例如,从他所在部门侦办的很多案件来看,国内一些从事互联网技术、金融服务、期货股票交易等业务的公司,在近年来的发展红利期积攒了大量数据,受制于经营不善、管理不当等原因,一些公司甚至靠出售包含大量公民隐私的数据支撑生存。由于法律规定不明朗,执法者也不关注,市场上鲜少有人在乎数据集来源是否合法,对这类“黑灰色”交易也就心照不宣了。
无独有偶,在新三板上市的另一家科技公司也被执法者盯上了。2018年8月,北京瑞智华胜科技股份有限公司被曝光涉嫌非法窃取近30亿条用户数据进行精准营销。据澎湃新闻等媒体报道,自2014年开始,这家公司以竞标方式先后与覆盖全国十余省市的三大电信运营商签订服务合同,为它们提供精准广告投放系统的开发和维护服务,进而拿到了运营商服务器的远程登录权限。由于软件开发业务的收入不多,又能接触到大量运营商流量,于是这家公司开发出一种新的商业模式,通过清洗cookie等方式操纵用户账户,至少有含有30亿条用户的数据被其截取后,用以进行刷量、加关注等操作。
截至2019年3月,由于案件仍在处理中,上述含有大量隐私和商业价值的数据是否流入了更广泛概念上的“黑市”,我们不得而知。新三板交易系统的公告显示,这家公司的法定代表人等多名高管已经被警方控制。
近两年,我国对非法数据交易的打击力度逐步加大,类似案件越来越多,一些数据掮客和中间商已有所行动。特别是以前许多打着征信、互联网金融旗号的公司,或者开始纷纷转型,或者商业模式从直接卖数据、卖数据接口转向卖模型、卖结果。
侦办数据堂一案的山东省临沂市警方曾向笔者介绍过一种他们发现的“新情况”,即有大数据公司为规避风险,在数据销售过程中,将涉及公民隐私的数据拆分成不同部分,每段均无法识别到个人,到了需求端再自行整合起来,形成对个人的完整数据。这类技术规避行为事实上亦涉嫌侵犯公民个人信息犯罪,属于非法数据交易。
一管难以窥全貌,但行业的人人自危和大量案例的披露表明,不论是个人还是行业,缺乏必要的安全和风险意识,数据就可能被下游黑产所窃取、利用。而对产业而言,商业化驱动之下,对数据这一资产的合法利用意识将经历漫长的进步过程,加之国内立法、执法环境长期落后,因而黑产逐渐滋生,每年的产值都会超千亿元。
“如今网络社会中的公司拥有前所未有规模的个人完整数据,而个人则对自己的数字足迹失去控制。行业追求个人数据的最大化变现,出于商业或政治目的而被定位、画像和评估的程度,已经超越人们的控制和认知,个人感受到无助,他们需要被赋予权利以更好地控制自己的信息。”谈及这个时代我们所面临的最大挑战,欧盟数据保护监管机构(European Data Protection Supervisor,EDPS)主管乔瓦尼·布塔雷利(Giovanni Buttarelli)曾对笔者说。2018年5月,他深度参与立法的欧盟《通用数据保护条例》(General Data Protection Regulation,GDPR)生效,在全球范围内掀起一波数据保护的潮流。
笔者曾访谈和近距离观察过许多数据黑产的从业者,如果说这一地下产业有什么共同的特征,那就是暴利——“钱”字当头,从数据的采集、保存、处理到利用的每一个环节,黑产都能在其中找到漏洞和落脚之处。不止一位业内的资深“白帽子”黑客(即利用黑客技术测试网络和系统的性能来判定它们能够承受入侵的强弱程度的群体)说过,暴利驱动之下,如果说还有什么数据没有被泄露,那一定是因为利益还不是足够高。
那么,数据黑产有哪些落地场景,能够以怎样的方式给个人、社会和产业带来伤害?要回答这个问题,我们首先需要明确什么样来源的数据可以被称为“黑产”。从全球数据来看,黑客非法入侵和“内鬼”私卖数据构成滋养数据黑产的两大重要渠道。
2018年8月底,一则来自暗网的数据售卖广告引起轰动。有黑客以8个比特币或520个门罗币(一种虚拟货币)的价格,出售美股上市企业华住酒店集团旗下酒店数据,量级达到140GB,约5亿条数据。发帖者称,8月14日其对华住酒店进行了数据库“脱库”(黑客术语,意即将数据库里所有数据全部盗走),有效数据包括汉庭、桔子等酒店的入住开房记录、房间号、手机号等大量用户数据等。
该数据库被多家媒体证实数据真实性非常高,华住酒店集团随后报警。9月19日,上海警方公告称,已经抓获犯罪嫌疑人刘某某,他“黑”入华住酒店集团旗下酒店系统获取数据并在境外网站出售,但未交易成功。
在数据黑市上,一个现象是,数据越精准价格就越高,而每种数据都有各自不同的标价。例如,包含大量精准个人隐私的医疗数据,属于业内尖货,既可以被下游的犯罪团伙用以精准诈骗,也可能被不知情的保险公司、互联网医疗公司等购买用以发展业务甚至训练AI模型等。
对黑客行为的规制,刑法有较为清晰的界限,如非法侵入计算机信息系统罪、非法获取计算机信息系统数据/非法控制计算机系统罪、破坏计算机信息系统罪等,违反者可能获刑7年以内或5年以上不等有期徒刑。由于数据黑产中最有价值的部分往往是包含大量个人信息的数据,因而黑客也可能被以上文提到的侵犯公民个人信息罪所制裁。
2017年,在一场打击涉公民个人信息违法犯罪行为的行动中,共有389名涉案黑客被抓获。
此类大型黑客入侵事件往往动辄涉及上亿条数据,因此容易引起舆论轰动。尽管近年来网络安全问题越来越受关注,各类公司和数据持有机构对数据安全的重视程度也在不断提高,不过暴利之下,它们仍然面临十分大的安防压力。
黑客入侵现象需要不断提升技术能力解决,数据黑产的另外一大重要源头——“内鬼”,则更难以防范。公民的身份、通信、网络行为等每天都产生海量数据,被各类机构和企业收集、存储,而这些机构和企业内部具有数据访问权限的“内鬼”监守自盗,构成了大量数据黑产甚至“精准定制”黑产的重要来源。
媒体公开信息显示,2017年,公安机关打击利用工作之便窃取、泄露公民个人信息的违法犯罪行为,各部门、各行业内部都有涉案人员,共831名。
物流行业颇为典型,其数据转移链条非常长,工作流程中许多员工都需要接触到数据,防范“内鬼”将数据卖入黑市的难度也就更大。
2018年4月,顺丰11名员工因倒卖用户快递面单信息获刑,涉及安保部主管、市场部专员、仓管、快递员等岗位。从该案可见,普通快递员即可收集包含姓名、电话、住址在内的个人信息,并转手获利。8月,暗网亦有广告称可以以几十个比特币的价格出售大量顺丰客户数据,但该数据后来未被证实是否为真。
拥有大流量、掌握大量个人信息数据的互联网平台也可能成为泄露源头。公开案例显示,智联招聘、苹果等公司均曾出现过买卖公民简历、账号等信息的“内鬼”。网络安全公司迈克菲(McAfee)的调查显示,43%的数据泄露都来自“内鬼”,而信息安全论坛(Information Security Forum)的调查结果则显示这一比例为54%。
笔者曾与金融、电信等几个行业有“内鬼”或者数据掮客经历的员工有过交流,他们都曾因违法出售公司数据而获得丰厚利润,又大多为此付出代价。一个共性是,他们对倒卖数据的违法性大多有所警觉,但经不住主动找上门来的巨额利益诱惑,最后给自己、客户和公司造成损失。
印象最深的是一个年轻有为的东南地区城商行总经理,因业务缘故他能够接触到全国所有公民的征信报告,受到利益诱惑,他将大量的征信数据以70元/份左右的价格卖给互联网金融公司,短短两个月就赚了几十万元。坐在看守所里,他低声说,自己以前上网查过,就算被抓了也说不定能取保候审,一般也就判两三年,因而一直存有侥幸心理。
一位资深网络安全工程师感言,防范数据黑产很多时候犹如建立起一道看似坚固的“马奇诺防线”——你可以建起一面坚固而昂贵的墙、设置周全的防御测试、花费大量的人力物力来维护,但是如果你的敌人来自内部,那么所有的安全防线就可能被绕过。
回溯这些数据黑产的来源有利于我们全面理解数据黑产的形成原因——长期以来,立法的模糊与缺失、执法的不明确,加上行业的飞速发展和其中潜藏的暴利,使得大量个人隐私数据、商业数据通过各种方式流入黑市,又最终回到那些看似合法的商业模式和产业当中。而随着2017年以来的数据保护立法执法力度不断加强,这类行为都面临极大的合规和法律风险。
数据堂一案就颇为典型。警方信息显示,有多达15个省份的电信运营商机主的手机浏览数据、姓名等都被运营商的供应商中的“内鬼”售出,构成了这条黑产链的源头。
由于正规数据公司的灰色行为,数据市场的“黑白边界”在逐渐模糊。目前可见的红线是,数据来源是否合法、交易数据是否脱敏。
但问题在于,大数据公司交易成千上万条信息,其中掺杂来源非法、未脱敏的数据,其实很难发现。由于处于地下状态,没有人能够估算数据黑产的整体产业产值和具体危害,我们也往往只能够通过公开案例窥到这座冰山的一角。
从上述数据堂所涉案件的数据贩卖链条溯源可以发现,电信运营商中的“内鬼”将机主浏览过的网址等上网数据卖出,经由大数据公司进行清理和挖掘,打上“购房”“金融”“医院”等个人偏好标签,完成精准描述后存储。法院判决显示,大量的个人数据经过反复流转,最终以“需求+联系方式”的形态,大多被定制化出售给下游有需求的精准营销公司。
精准营销可谓是从黑产中流出的数据最广为人知的一个应用和变现场景,其伤害可以说也最低。以房地产销售为例,一张标有电话号码、姓名的潜在买房者清单,是销售人员的营销利器。
一名北京房地产中介为完成销售业绩,从朋友推荐的数据中间商手中花费200元买到一份含有近千个附近楼盘所有业主姓名和电话号码的数据表,他打印出来后,每天挨个致电,询问是否卖房。网络技术大大减少了获取这些信息的成本,15年前,房地产中介如果想获得业主信息,需要花费不止200元以获取物业高管信任,套取业主信息。那时,印满业主信息的“硬货”还不是如今的word文档,而是厚厚的黄页手册。
大量案例表明,侵犯公民个人信息犯罪的最大危害不是隐私泄露,而是为下游犯罪提供了实现可能。
公安部一名负责相关案件的警官说,2018年爆发的电信网络诈骗、信用卡诈骗、网络传销等财产型犯罪,以及绑架、敲诈勒索、故意伤害等暴力型犯罪的背后,都能发现公民隐私通过互联网泄露的身影。
比起被骚扰带来的不适感,各类数据在诈骗分子手中有更高的变现价值,他们也是数据黑产的最大买家。诈骗者的经验是,学生、中老年人、病患三大标签下的个人最易受骗。
许多人都还记得2017年轰动全国的徐玉玉案,她的意外死亡随后推动了整个中国数据保护的立法进展。
2016年6月,年仅19岁的黑客杜天禹非法侵入山东省普通高等学校招生考试信息平台网站,窃取高考考生的数据64万余条。很快,一个叫陈文辉的人主动与他取得联系,花1万多元买走了10万余条高考考生的数据。
未过数日,山东临沂高三女生徐玉玉以569分的高考成绩被南京邮电大学录取。临近暑假尾声的时候,她接到一个陌生来电,对方对其信息和家庭状况了如指掌,并称是考入大学的老师,有2000元的助学金要发放给徐玉玉。由于之前确实申请过助学金,徐玉玉对电话那端的陌生人深信不疑,结果被骗走辛苦攒来的大学学费。在报警回家的路上,徐玉玉突发心梗去世。
在大量的电信网络诈骗案例中,都能看到诈骗团伙围绕受害者数据编造的精准“话术”。拨通电话之前,他们往往就已经对受害者的弱点有所了解,这也大大提高了诈骗成功率。他们手中的数据从何而来?正是大量的个人数据进入黑市,被加工描绘成对一个人的完整画像后,被用以诈骗。
一位长期与网络黑灰产对抗的安全专家观察到,特别是那些“新鲜”的、动态的数据,在数据黑产中最值钱。在徐玉玉案中,这也得到了充分的体现,正是因为对徐玉玉的家庭情况和高考申请情况了如指掌,犯罪嫌疑人才得以在短时间内就获取了徐玉玉的信任。
2018年5月31日,由京东金融研究院、中国人民大学金融科技与互联网安全研究中心、中国刑事警察学院共同撰写的《数字金融反欺诈白皮书》发布,该白皮书显示,由网络黑产主导的数字金融欺诈,已经渗透到数字金融营销、注册、借贷、支付等各个环节。另据相关统计数据显示,各种利用互联网技术实施偷盗、诈骗、敲诈的案件数每年以超过30%的增速在增长。
笔者曾对2016年至2018年5月涉数据黑产的261份公开司法判决进行梳理,对侵犯公民个人信息案件数据统计结果显示,案例中将个人信息用于营销诈骗的情况加剧,从2016年的20%增加到2018年的52%。侵犯公民个人信息罪与其他罪同犯的比例也大幅增加,2016年仅为23%,2018年已达到62%,其中最常一同出现的就是诈骗罪和盗窃罪。
除了精准诈骗,数据黑产的蔓延态势更令人担忧的一点在于,对个人的全方位精准追踪与对信息的精准定制。
如果对大量被起底的数据黑产链条进行解剖,可以发现,在数据黑产网络中存在大量的“条商”,也就是黑产的数据中间商,他们上达数据源头和持有者,下接合法或非法的数据需求者,通过整合、定制等各类方式将数据整合在一起,有些甚至沉淀下来形成“社工库”(黑市数据库)在暗网流通,危害也自然无穷。
一笔简单的数据交易背后,有可能包含多个源头、多层中间商,他们的协作错综复杂。2018年5月,山东肥城警方打掉的一个数据黑产网络中,追踪到多达19个数据泄露的“内鬼”源头,80多人是数据中间商。购买数据的客户中,既有小型互联网金融公司、保险公司、催收公司,也有需求各类特定自然人数据的个人和诈骗分子。
吸引人们铤而走险进入黑市贩卖数据的主要动因,是获利简单且利润高。数据黑市上的交易价格也呈现极端化——极贵或极便宜。不脱敏的数据极贵,可能一条10元,如果数据是由催收公司定制,每条或高达1000元。而那些已经在网上被交易无数次的数据库则非常便宜。
“道高一尺,魔高一丈。”听来有些让人失望,不过,这是笔者在私下最容易听到的一线网络安全工程师和网警说的话。全球范围内,各类主体对各类数据的收集仍在飞速推进,数据泄露、黑客攻击等现象每一天、每一秒都在发生,哺育大量下游犯罪产业。行业从业人员意识的普遍缺失、法律的空白、低成本高收益所带来的暴利,都是造成这一后果的原因,每一个人都将深受其害。
一方面,非法数据交易的泛滥滋生下游其他犯罪产业,引发舆论焦虑;另一方面,需要与数据打交道的企业、机构和政府,也成为其受害者,它们需要审视自己的商业模式和数据流转过程,避免数据被“染黑”。
《网络安全法》和相关司法解释实施以来,监管正在趋严,数据黑市已大规模地缩减。《网络安全法》规定,网络运营者收集、使用个人信息应当明示收集、使用信息的目的、方式和范围,并经被收集者同意。同时,任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。
特别是那些掌握了大量敏感数据的行业,比如医疗、教育、金融、社交等行业公司和机构来说,随着数据资产的价值愈发受到重视,企业既需要保护自己的数据核心资产不被黑客窃取,又要做好内部权限访问制度和廉政系统杜绝“内鬼”。
如何驱散数据黑产的阴霾?在中国,当下针对数据泄露和涉个人信息的数据保护正逐步建立起一套行政、刑事和民事法律体系,但仍在合规成本、执法压力、法律衔接、维权难度等层面存在不同程度的难点。
首先是数据持有者的公法责任。《网络安全法》实施前,网络运营者的安全保护义务主要见于《侵权责任法》和《信息网络传播权保护条例》,保护义务也仅仅为“从通知到删除、屏蔽、断开”的事后止损义务,主要从保护私权角度出发。《网络安全法》加入了很多“事前保障义务”的规定,网络运营者应当全方位承担安全保障义务。例如,《网络安全法》第25条规定:“网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。”
而对于公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域等,此类数据如果因各种原因被泄露,其危害将不限于对个人隐私等可能造成的伤害,更可能造成各类连锁反应甚至危害国家安全。因此,《网络安全法》将支撑上述重要行业和领域等的信息系统或工业控制系统界定为关键信息基础设施,并要求关键信息基础设施的运营者承担更明确的数据安全保护义务。例如,要求关键信息基础设施的运营者在境内存储个人信息和重要数据;确需在境外存储或者向境外提供的,应当按照规定进行安全评估等。
其次,在民事责任层面,根据《侵权责任法》《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》等,如果信息泄露属实,数据持有者应当承担相应的信息安全保障义务,如果没有保障好,导致客户的权利受到侵害的,应该承担侵权责任。
不过,实践中,尽管数据泄露、黑客入侵等现象日益频繁,但尚没有出现对责任主体提起民事侵权诉讼的案例。在上文所述的案例中,都没有出现个人对数据运营者发起侵权诉讼的情况。对这些人来说,要证明自己权利受损和被数据侵权之间的因果关系是一大难点。
面对蓬勃发展的数据黑产和缺乏能力的数据持有者,在中国,刑事打击仍走在第一线,呈现单打独斗的态势。其局限性之一是,依据罪刑法定的要求,执法机关对于不构成“情节严重”的犯罪行为往往打击困难,而企业出于合法经营目的进行的非法交易,又难以被发现和取证。
一位执法者坦言,没有行政处罚的前置性程序,从民事责任直接到刑事责任,跨度较大,有待形成执法合力。而刑罚先行、行政和民事事前规定、救济缺乏也让从业者胆寒——黑白界限的不明确以及清晰的数据交易、流转制度尚未完全建立起来,很多商业模式又可能被纳入刑法的规制范围,“要不然不管,要不然就抓起来”。
不过,值得庆幸的是,在这场没有硝烟的战争中,黑与白之间的界限正清晰起来,而随着立法的明确和各界的重视,“道”与“魔”之间的空隙正在缩窄。尽管要抹除已经泄露的数据和数据黑市仍十分困难,但其获取更“新鲜”、更动态的数据难度和成本已经十分之高。笔者的观察是,许多数据来源暧昧而模糊不清的科技公司已随着相关产业的萎缩退出市场,尽管对“黑数据”的需求仍然存在,但获取成本已经非常高昂。
对企业而言,数据安全和合规的能力正变得越来越重要,否则监管的“达摩克利斯之剑”随时可能落下。
(本文事实部分来自《财经》杂志等公开报道和相关司法材料)