網(wǎng)絡(luò)黑產(chǎn)的大數(shù)據(jù)陰謀(3)_數(shù)據(jù)分析師培訓(xùn)

“在產(chǎn)業(yè)鏈的不同環(huán)節(jié)中，不同的團(tuán)伙既獨(dú)立作案，又能夠在一定程度上形成相互協(xié)作的關(guān)系，就好像一群強(qiáng)盜在分食一條大魚，有的團(tuán)伙吃魚頭、有的團(tuán)伙吃魚身、有的團(tuán)伙吃魚尾，剩下的團(tuán)伙喝魚湯?！敝靹潘扇缡切稳莺诋a(chǎn)鏈條的運(yùn)作。

       個(gè)人信息界定還需明晰騰訊發(fā)布的《網(wǎng)絡(luò)黑色產(chǎn)業(yè)鏈年度報(bào)告》顯示，隨著大量網(wǎng)站數(shù)據(jù)庫被盜取，越來越多的網(wǎng)絡(luò)犯罪分子傾向于在掌握網(wǎng)民個(gè)人信息后，以冒充熟人或博取同情等精準(zhǔn)式詐騙場(chǎng)景對(duì)受害人進(jìn)行欺詐。

       那緣何目前買賣個(gè)人信息呈泛濫之勢(shì)卻似乎難以規(guī)制呢？中國互聯(lián)網(wǎng)協(xié)會(huì)信用評(píng)價(jià)中心法律顧問趙占領(lǐng)對(duì)法治周末記者表示，“這與目前我國法律對(duì)于個(gè)人信息的界定還不清晰有關(guān)”。

       趙占領(lǐng)對(duì)法治周末記者表示，盡管我國刑法明確規(guī)定，竊取或者以其他方法非法獲取公民個(gè)人信息，情節(jié)嚴(yán)重的，將被追究刑事責(zé)任，“但是對(duì)于什么是個(gè)人信息，目前規(guī)定的還比較籠統(tǒng)”。 

      2012年12月，全國人大常委會(huì)頒布了《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》，隨后工信部也出臺(tái)了《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》，采用了列舉加概括的方式指出，個(gè)人信息包括用戶姓名、身份證號(hào)等能夠單獨(dú)或者與其他信息結(jié)合識(shí)別用戶的信息。       趙占領(lǐng)表示，現(xiàn)實(shí)中黑客往往會(huì)通過拖庫的方式會(huì)獲得用戶的一些數(shù)據(jù)，比如cookie，是用戶在網(wǎng)絡(luò)上的行為軌跡，但這些數(shù)據(jù)是不是個(gè)人信息法律上暫時(shí)還沒有明確的規(guī)定，但是經(jīng)過整合加工，則往往具備了識(shí)別到個(gè)人的特點(diǎn)。

       “個(gè)人信息、個(gè)人數(shù)據(jù)、個(gè)人隱私這三者其實(shí)是不同的概念，但是法律目前未對(duì)此作出界定和厘清，這使得黑產(chǎn)分子在獲取數(shù)據(jù)后，很難以竊取或者以其他方式獲得公民個(gè)人信息罪論處的重要原因?！壁w占領(lǐng)說。

       朱勁松對(duì)此也是深有感觸，他以微信號(hào)為例，很多用戶都是通過手機(jī)號(hào)作為微信號(hào)的，而通過實(shí)名登記的手機(jī)號(hào)都是直接對(duì)應(yīng)到個(gè)人的，那么此時(shí)微信號(hào)屬不屬于個(gè)人信息？

西安交通大學(xué)信息安全法律研究中心主任馬民虎對(duì)法治周末記者表示，其實(shí)對(duì)于網(wǎng)絡(luò)黑產(chǎn)上的每一個(gè)環(huán)節(jié)、每一種行為基本都能在現(xiàn)有法律框架下找到對(duì)應(yīng)的法律進(jìn)行規(guī)制。

       比如法律明確規(guī)定，侵入國家事務(wù)、國防建設(shè)以外的計(jì)算機(jī)信息系統(tǒng)，獲取系統(tǒng)存儲(chǔ)、處理或者傳輸?shù)臄?shù)據(jù)，情節(jié)嚴(yán)重的將追究刑事責(zé)任。

       不過，馬民虎認(rèn)為，“盡管法律規(guī)定了嚴(yán)格的懲罰責(zé)任，但是缺少如何防范的法律規(guī)定，如果不在如何防治上落實(shí)法制，只有責(zé)任規(guī)定就形同虛設(shè)”。

       馬民虎舉例道，很多網(wǎng)絡(luò)服務(wù)提供者在提供服務(wù)的時(shí)候不可避免地要收集用戶信息，但是到底互聯(lián)網(wǎng)平臺(tái)要采取什么樣的措施，履行什么樣的義務(wù)，法律并沒有明確規(guī)定，只是一些互聯(lián)網(wǎng)公司在做著這方面的嘗試，但個(gè)別企業(yè)的做法并沒有形成行業(yè)規(guī)范，或者是形成標(biāo)準(zhǔn)。

       以12306用戶數(shù)據(jù)泄露為例，據(jù)媒體披露，在泄密發(fā)生后一段時(shí)間內(nèi)，依照泄露出來的用戶名和密碼仍舊可以登錄，用戶并沒有收到任何提醒。

       “對(duì)于網(wǎng)絡(luò)服務(wù)提供者注意義務(wù)盡到什么程度，這個(gè)界限在哪里目前還有很大的爭議，畢竟任何技術(shù)都不是絕對(duì)安全的，并不是所有的用戶信息泄露都是網(wǎng)絡(luò)服務(wù)提供者存在過錯(cuò)，再比如在出現(xiàn)數(shù)據(jù)泄露多久后要告知用戶等，目前法律并無明確規(guī)定。”趙占領(lǐng)對(duì)法治周末記者說。

      針對(duì)這種情形，我國正在制定相應(yīng)的管理標(biāo)準(zhǔn)(尚未正式頒布)，擬對(duì)網(wǎng)絡(luò)服務(wù)提供者出現(xiàn)信息泄露后應(yīng)承擔(dān)的義務(wù)作出明確規(guī)定。       一位不愿透露姓名的業(yè)內(nèi)人士對(duì)記者表示，這些義務(wù)包括：立即采取補(bǔ)救措施，防止信息繼續(xù)泄露；24小時(shí)內(nèi)告知用戶，根據(jù)用戶初始注冊(cè)信息重新激活賬戶，避免造成更大的損失；24小時(shí)內(nèi)報(bào)告公安機(jī)關(guān)。

       “這樣細(xì)致的規(guī)定有助于明確企業(yè)的責(zé)任，第一時(shí)間通知用戶的規(guī)定，也有助于降低信息泄露的安全隱患?！壁w占領(lǐng)對(duì)法治周末記者說。

       針對(duì)一些網(wǎng)絡(luò)服務(wù)提供者不履行網(wǎng)絡(luò)安全管理義務(wù)，造成嚴(yán)重后果的情況，我國也計(jì)劃通過立法增加其刑事責(zé)任。

       公安部第三研究所研究員黃道麗對(duì)法治周末記者介紹，2014年刑法修正案(九)草案就規(guī)定，“網(wǎng)絡(luò)服務(wù)提供者不履行法律、行政法規(guī)規(guī)定的信息網(wǎng)絡(luò)安全管理義務(wù)，經(jīng)監(jiān)管部門通知采取改正措施而拒絕執(zhí)行，致使違法信息大量傳播的，致使用戶信息泄漏，造成嚴(yán)重后果的，或者致使刑事犯罪證據(jù)滅失，嚴(yán)重妨害司法機(jī)關(guān)依法追究犯罪的，追究刑事責(zé)任”。

       “雖然此罪為結(jié)果犯，但從刑法角度強(qiáng)化了服務(wù)提供者的安全管理責(zé)任，不僅反映了我國立法中強(qiáng)化安全的新趨勢(shì)和動(dòng)向，也將適用于漏洞攻擊導(dǎo)致用戶信息泄露而服務(wù)提供者不作為的情況?！?/span>