一條被盜取的身份證信息在黑市交易值多少錢(qián)?答案可能是0.5元到20元不等；而一條學(xué)歷信息的價(jià)格，則可能會(huì)在1元到50元不等。如果盜取的個(gè)人信息達(dá)50億條，將會(huì)給黑產(chǎn)分子帶去多大的利益誘惑，又會(huì)給用戶的安全帶來(lái)多大的隱患呢?

　　3月8日晚間，公安部刑偵局在其官方微博發(fā)布了一則重磅信息，稱(chēng)公安部統(tǒng)一指揮14個(gè)省、直轄市公安機(jī)關(guān)，徹底摧毀一個(gè)通過(guò)入侵互聯(lián)網(wǎng)公司服務(wù)器、竊取出售公民個(gè)人信息的犯罪團(tuán)伙，共抓獲犯罪嫌疑人96名，查獲各類(lèi)被竊公民個(gè)人信息50億條。

　　50億條個(gè)人信息遭竊取販賣(mài)

　　2016年9月，公安部刑偵局在工作中發(fā)現(xiàn)，有一個(gè)犯罪團(tuán)伙潛入國(guó)內(nèi)多家互聯(lián)網(wǎng)公司的服務(wù)器，盜取了大量的公民個(gè)人信息，公安部遂部署安徽省蚌埠市公安局成立9·27專(zhuān)案組偵辦此案。

　　今年1月，經(jīng)過(guò)4個(gè)多月的偵查，警方共抓獲犯罪嫌疑人96名，初步查獲涉及物流、醫(yī)療、社交、銀行等各類(lèi)公民個(gè)人信息50億條。

　　據(jù)警方披露，該犯罪團(tuán)伙以韓某亮、翁某、鄭某鵬為核心，其中翁某、鄭某鵬主要通過(guò)入侵社交、游戲、視頻直播等各類(lèi)公司的服務(wù)器，非法獲取用戶賬號(hào)、密碼、身份證、物流地址等信息;韓某亮則通過(guò)多種方式將其這些用戶信息變現(xiàn)。韓某亮的變現(xiàn)手法包括變賣(mài)游戲裝備、販賣(mài)網(wǎng)絡(luò)虛擬貨幣；出售給黑廣播、偽基站或者電信詐騙的犯罪團(tuán)伙;設(shè)立游戲賭博網(wǎng)站：即通過(guò)入侵其他賭博網(wǎng)站的服務(wù)器竊取用戶個(gè)人信息，進(jìn)行精準(zhǔn)化推廣，然后將其他賭博網(wǎng)站的客戶引流到自己成立的游戲賭博網(wǎng)站上來(lái)。據(jù)辦案民警介紹，除了黑客入侵、內(nèi)部竊取外，為獲得數(shù)據(jù)，該團(tuán)伙涉案人員之間還相互交換、買(mǎi)賣(mài)數(shù)據(jù)，互為補(bǔ)充。同時(shí)，韓某亮經(jīng)營(yíng)的游戲網(wǎng)站有人注冊(cè)后，韓某亮還會(huì)把注冊(cè)信息提供給翁某等人，擴(kuò)大數(shù)據(jù)庫(kù)。此番運(yùn)作將用戶置身于巨大的風(fēng)險(xiǎn)中，而作為犯罪團(tuán)伙核心的韓某亮則獲益匪淺。據(jù)公安部刑偵局披露，在近一年多的時(shí)間里，韓某亮不僅成立了多家公司，還購(gòu)置了高檔汽車(chē)和多處房產(chǎn)，先后獲利數(shù)百萬(wàn)元。

　　此前有媒體報(bào)道，該團(tuán)伙中的韓某鵬是京東網(wǎng)絡(luò)安全部員工，泄漏50億條公民信息是監(jiān)守自盜。對(duì)此，京東方面3月10日發(fā)布官方聲明稱(chēng)，“經(jīng)了解，鄭某鵬在加入京東之前曾在國(guó)內(nèi)多家知名互聯(lián)網(wǎng)公司工作，其長(zhǎng)期與盜賣(mài)個(gè)人信息的犯罪團(tuán)伙合作，將從所供職公司盜取的個(gè)人信息數(shù)據(jù)進(jìn)行交換，并通過(guò)各種方式在互聯(lián)網(wǎng)上販賣(mài)”。至于該案破獲的50億條公民信息中，是否包含京東方面的相關(guān)信息，3月13日，京東相關(guān)負(fù)責(zé)人在接受法治周末記者采訪時(shí)表示，目前該案還在審理中，具體細(xì)節(jié)還有待查證。

　　2014年12月至2015年1月，京東電商也曾出現(xiàn)過(guò)一波用戶訂單信息大范圍泄露現(xiàn)象。事后經(jīng)證實(shí)，發(fā)生在該時(shí)段的用戶信息泄漏事件，系京東3名內(nèi)部員工所為。后來(lái)，這3名員工被北京市大興區(qū)人民法院以非法獲取公民個(gè)人信息罪判處有期徒刑，并處罰金。

　　“用產(chǎn)業(yè)鏈對(duì)抗產(chǎn)業(yè)鏈”

　　近年來(lái)，互聯(lián)網(wǎng)公司用戶信息泄漏事件頻發(fā)，并非京東一家中招。2015年5月，蘇寧易購(gòu)也出現(xiàn)用戶訂單信息大范圍泄露事件，致使很多用戶被騙;2016年3月，唯品會(huì)也被媒體曝出，其平臺(tái)用戶訂單信息在一些QQ群被肆意買(mǎi)賣(mài)。

　　3月10日，在騰訊舉辦的《如何對(duì)個(gè)人信息販賣(mài)說(shuō)NO》沙龍上，騰訊安全管理部專(zhuān)家何欣介紹，目前，個(gè)人信息買(mǎi)賣(mài)已經(jīng)形成分工明確、非常結(jié)構(gòu)化的黑色產(chǎn)業(yè)鏈：信息泄露——傳播交易——應(yīng)用獲利。公安部此次破獲的案件也證實(shí)了這一點(diǎn)。據(jù)警方介紹，在這個(gè)由96人組成的犯罪團(tuán)伙中，“有人專(zhuān)門(mén)負(fù)責(zé)竊取公民個(gè)人信息，有人通過(guò)技術(shù)手段把這些公民個(gè)人信息整理建成數(shù)據(jù)庫(kù)，還有一部分人把這些整理建庫(kù)完的數(shù)據(jù)直接拿出來(lái)使用，有出售的、有交換的……形成一個(gè)黑色產(chǎn)業(yè)鏈”。

　　何欣表示，由于個(gè)人信息販賣(mài)已經(jīng)形成產(chǎn)業(yè)鏈，要進(jìn)行打擊對(duì)抗，也需要借助整個(gè)互聯(lián)網(wǎng)行業(yè)的力量，“用產(chǎn)業(yè)鏈來(lái)對(duì)抗產(chǎn)業(yè)鏈”。

　　對(duì)于一些黑產(chǎn)分子利用QQ平臺(tái)傳播販賣(mài)個(gè)人信息的現(xiàn)象，何欣介紹，騰訊采取了兩種方式予以打擊：第一種是安全策略，即通過(guò)研究從事個(gè)人信息販賣(mài)的犯罪分子的行為模式特征，使用一些關(guān)鍵字詞去對(duì)群組的資料、頭像和間接等公開(kāi)資料進(jìn)行核查。何欣透露，從2016年年初到現(xiàn)在，騰訊已經(jīng)查處涉及個(gè)人信息販賣(mài)的QQ群4700多個(gè)，關(guān)停了相關(guān)QQ賬號(hào)3500多個(gè)。另外一個(gè)途徑便是舉報(bào)，近期騰訊上線了侵犯公民個(gè)人信息的舉報(bào)標(biāo)簽，期望通過(guò)此舉更快、更有效地處理收到的舉報(bào)信息，更快地核查、打擊黑產(chǎn)分子。

　　不過(guò)，這些舉措并不能將利用社交軟件進(jìn)行傳播、交易用戶個(gè)人信息的黑產(chǎn)分子一網(wǎng)打盡。何欣表示，一方面，從事個(gè)人信息販賣(mài)者會(huì)不斷變換關(guān)鍵詞，甚至采用一些特別隱諱的名稱(chēng)，使得主動(dòng)打擊變得更加困難;另一方面，排查關(guān)鍵詞只能用于公開(kāi)的場(chǎng)景，而很多黑產(chǎn)分子會(huì)通過(guò)隱私的交流環(huán)節(jié)來(lái)販賣(mài)個(gè)人信息，這就使得技術(shù)手段和人工核查都難以覆蓋。IDF互聯(lián)網(wǎng)威脅情報(bào)實(shí)驗(yàn)室聯(lián)合創(chuàng)始人萬(wàn)濤對(duì)法治周末記者表示，犯罪分子在從事黑產(chǎn)時(shí)，可能會(huì)通過(guò)QQ等即時(shí)通訊工具、各種支付方式進(jìn)行溝通聯(lián)絡(luò)洗錢(qián)，而目前互聯(lián)網(wǎng)企業(yè)在打擊黑產(chǎn)時(shí)受困于諸多“忌諱”和限制，多“各掃門(mén)前雪”，也使得打擊的線索無(wú)法匯聚。

　　何欣建議，要打擊黑產(chǎn)需要整個(gè)產(chǎn)業(yè)聯(lián)合起來(lái)，共同打造安全生態(tài)圈。而此案就是騰訊與京東在聯(lián)合打擊信息安全地下黑色產(chǎn)業(yè)鏈的日常行動(dòng)中發(fā)現(xiàn)的線索，并及時(shí)向警方進(jìn)行了提供。

　　萬(wàn)濤也建議，政府牽頭成立專(zhuān)業(yè)組織，建立跨地區(qū)、跨部門(mén)、跨行業(yè)的配套機(jī)制和保障措施，讓互聯(lián)網(wǎng)企業(yè)間的安全團(tuán)隊(duì)可以合法地分享線索信息，協(xié)同發(fā)力，提升打擊黑產(chǎn)的力度。

　　須借鑒“最小采集理念”

　　除了用產(chǎn)業(yè)協(xié)作對(duì)抗黑產(chǎn)外，何欣認(rèn)為，還需要加強(qiáng)源頭的保護(hù)，“因?yàn)槲覀儼l(fā)現(xiàn)很多犯罪分子會(huì)直接入侵到不同的機(jī)構(gòu)網(wǎng)站，盜取大量的公民個(gè)人信息，所有在源頭上掌握公民個(gè)人信息的機(jī)構(gòu)，都應(yīng)該加強(qiáng)自身的安全防護(hù)能力”。在該案中，犯罪團(tuán)伙中的翁某、韓某鵬就是采取技術(shù)手段，入侵多家互聯(lián)網(wǎng)機(jī)構(gòu)的網(wǎng)站，盜取了大量的用戶信息。

　　公安部第三研究所網(wǎng)絡(luò)安全法律研究中心主任黃道麗在接受法治周末記者采訪時(shí)表示，2012年出臺(tái)的《全國(guó)人大常委會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》，第一次從法律層面規(guī)定了網(wǎng)絡(luò)服務(wù)提供者保障個(gè)人信息安全的技術(shù)措施和補(bǔ)救措施義務(wù);2016年11月7日通過(guò)的網(wǎng)絡(luò)安全法進(jìn)一步強(qiáng)化了這一要求，并增加了告知用戶和向主管部門(mén)報(bào)告的義務(wù)。黃道麗表示，雖然網(wǎng)絡(luò)安全法自2017年6月1日起正式施行，實(shí)質(zhì)上，我國(guó)相關(guān)法律法規(guī)中對(duì)相關(guān)主體實(shí)施技術(shù)措施的安全保護(hù)職責(zé)早有詳盡規(guī)定，如《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法》(公安部令33號(hào))、《互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定》(公安部令82號(hào))等?！按舜纹偏@的50億條個(gè)人信息買(mǎi)賣(mài)案件，犯罪嫌疑人主要通過(guò)入侵信息系統(tǒng)的方式獲取的個(gè)人信息，但是被牽涉企業(yè)是否采取了技術(shù)措施和其他必要措施確保用戶的個(gè)人信息安全;在企業(yè)已知悉所存儲(chǔ)、處理的信息已發(fā)生泄露和丟失的情況下，是否采取了合理的補(bǔ)救措施，防止信息繼續(xù)泄露，是否及時(shí)告知用戶以避免造成更大的損失，都是關(guān)注的焦點(diǎn)。”黃道麗說(shuō)。

　　2015年8月通過(guò)的刑法修正案(九)新增了拒不履行網(wǎng)絡(luò)安全管理義務(wù)罪，網(wǎng)絡(luò)服務(wù)提供者不履行法律、行政法規(guī)規(guī)定的信息網(wǎng)絡(luò)安全管理義務(wù)，經(jīng)監(jiān)管部門(mén)通知采取改正措施而拒不改正，致使用戶信息泄露，造成嚴(yán)重后果的，單位不僅將被判處罰金，直接負(fù)責(zé)的主管人員和其他直接責(zé)任人也將會(huì)被追究刑事責(zé)任。黃道麗認(rèn)為，這一條款從刑法角度上強(qiáng)化了網(wǎng)絡(luò)服務(wù)提供者的安全管理責(zé)任，在這樣的法律背景下，互聯(lián)網(wǎng)企業(yè)必須更加重視用戶個(gè)人信息的防護(hù)。

　　中國(guó)社科院法學(xué)研究所研究員、國(guó)家信息化專(zhuān)家咨詢(xún)委員會(huì)委員周漢華則認(rèn)為，在大數(shù)據(jù)時(shí)代，無(wú)論是公權(quán)力機(jī)構(gòu)，還是互聯(lián)網(wǎng)企業(yè)，在網(wǎng)絡(luò)信息安全方面最好的防護(hù)便是“不該要的別要，如果采集過(guò)多，自然會(huì)增加防護(hù)的負(fù)擔(dān)”。周漢華介紹，目前發(fā)達(dá)國(guó)家已經(jīng)普遍采納了“最小采集理念”，這值得我國(guó)反思。

　　北京律師張新年一直關(guān)注互聯(lián)網(wǎng)企業(yè)的用戶信息保護(hù)狀況，鑒于很多公民個(gè)人信息泄漏事件多是“內(nèi)鬼”所為，他在接受記者采訪時(shí)表示，互聯(lián)網(wǎng)企業(yè)不僅要完善網(wǎng)站系統(tǒng)，從技術(shù)層面上保障數(shù)據(jù)信息安全，也要重視人員管理，加強(qiáng)對(duì)涉密員工法律意識(shí)培訓(xùn)的力度，防止他們鋌而走險(xiǎn)。