用产业链对抗产业链

　　近年来，互联网公司用户信息泄漏事件频发，并非京东一家中招。2015年5月，苏宁易购也出现用户订单信息大范围泄露事件，致使很多用户被骗；2016年3月，唯品会也被媒体曝出网络图片采集器，其平台用户订单信息在一些QQ群被肆意买卖。

　　3月10日，在腾讯举办的《如何对个人信息贩卖说NO》沙龙上，腾讯安全管理部专家何欣介绍，目前，个人信息买卖已经形成分工明确、非常结构化的黑色产业链：信息泄露——传播交易——应用获利。

　　公安部此次破获的案件也证实了这一点。据警方介绍，在这个由96人组成的犯罪团伙中，“有人专门负责窃取公民个人信息，有人通过技术手段把这些公民个人信息整理建成数据库，还有一部分人把这些整理建库完的数据直接拿出来使用，有出售的、有交换的……形成一个黑色产业链”。

　　何欣表示，由于个人信息贩卖已经形成产业链，要进行打击对抗，也需要借助整个互联网行业的力量，“用产业链来对抗产业链”。

　　对于一些黑产分子利用QQ平台传播贩卖个人信息的现象，何欣介绍，腾讯采取了两种方式予以打击：第一种是安全策略，即通过研究从事个人信息贩卖的犯罪分子的行为模式特征，使用一些关键字词去对群组的资料、头像和间接等公开资料进行核查。

　　何欣透露，从2016年年初到现在，腾讯已经查处涉及个人信息贩卖的QQ群4700多个，关停了相关QQ账号3500多个。

　　另外一个途径便是举报，近期腾讯上线了侵犯公民个人信息的举报标签，期望通过此举更快、更有效地处理收到的举报信息，更快地核查、打击黑产分子。

　　不过，这些举措并不能将利用社交软件进行传播、交易用户个人信息的黑产分子一网打尽。何欣表示，一方面，从事个人信息贩卖者会不断变换关键词，甚至采用一些特别隐讳的名称，使得主动打击变得更加困难；另一方面，排查关键词只能用于公开的场景，而很多黑产分子会通过隐私的交流环节来贩卖个人信息，这就使得技术手段和人工核查都难以覆盖。

　　IDF互联网威胁情报实验室联合创始人万涛对法治周末记者表示，犯罪分子在从事黑产时，可能会通过QQ等即时通讯工具、各种支付方式进行沟通联络洗钱，而目前互联网企业在打击黑产时受困于诸多“忌讳”和限制，多“各扫门前雪”，也使得打击的线索无法汇聚。

　　何欣建议，要打击黑产需要整个产业联合起来，共同打造安全生态圈。而此案就是腾讯与京东在联合打击信息安全地下黑色产业链的日常行动中发现的线索，并及时向警方进行了提供网站图片采集软件。

　　万涛也建议，政府牵头成立专业组织，建立跨地区、跨部门、跨行业的配套机制和保障措施，让互联网企业间的安全团队可以合法地分享线索信息，协同发力，提升打击黑产的力度。

　　须借鉴“最小采集理念”

　　除了用产业协作对抗黑产外，何欣认为，还需要加强源头的保护，“因为我们发现很多犯罪分子会直接入侵到不同的机构网站，盗取大量的公民个人信息图片采集程序 ，所有在源头上掌握公民个人信息的机构，都应该加强自身的安全防护能力”。

　　在该案中，犯罪团伙中的翁某、韩某鹏就是采取技术手段，入侵多家互联网机构的网站，盗取了大量的用户信息。

　　公安部第三研究所网络安全法律研究中心主任黄道丽在接受法治周末记者采访时表示，2012年出台的《全国人大常委会关于加强网络信息保护的决定》，第一次从法律层面规定了网络服务提供者保障个人信息安全的技术措施和补救措施义务；2016年11月7日通过的网络安全法进一步强化了这一要求，并增加了告知用户和向主管部门报告的义务。

　　黄道丽表示，虽然网络安全法自2017年6月1日起正式施行，实质上，我国相关法律法规中对相关主体实施技术措施的安全保护职责早有详尽规定，如《计算机信息网络国际联网安全保护管理办法》(公安部令33号)、《互联网安全保护技术措施规定》(公安部令82号)等。

　　“此次破获的50亿条个人信息买卖案件，犯罪嫌疑人主要通过入侵信息系统的方式获取的个人信息，但是被牵涉企业是否采取了技术措施和其他必要措施确保用户的个人信息安全；在企业已知悉所存储、处理的信息已发生泄露和丢失的情况下，是否采取了合理的补救措施，防止信息继续泄露，是否及时告知用户以避免造成更大的损失，都是关注的焦点。”黄道丽说。

　　2015年8月通过的刑法修正案(九)新增了拒不履行网络安全管理义务罪，网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务，经监管部门通知采取改正措施而拒不改正，致使用户信息泄露，造成严重后果的，单位不仅将被判处罚金，直接负责的主管人员和其他直接责任人也将会被追究刑事责任。黄道丽认为，这一条款从刑法角度上强化了网络服务提供者的安全管理责任，在这样的法律背景下，互联网企业必须更加重视用户个人信息的防护。

　　中国社科院法学研究所研究员、国家信息化专家咨询委员会委员周汉华则认为，在大数据时代图片采集器，无论是公权力机构，还是互联网企业，在网络信息安全方面最好的防护便是“不该要的别要，如果采集过多，自然会增加防护的负担”。周汉华介绍，目前发达国家已经普遍采纳了“最小采集理念”，这值得我国反思。

　　北京律师张新年一直关注互联网企业的用户信息保护状况，鉴于很多公民个人信息泄漏事件多是“内鬼”所为，他在接受记者采访时表示，互联网企业不仅要完善网站系统，从技术层面上保障数据信息安全，也要重视人员管理，加强对涉密员工法律意识培训的力度，防止他们铤而走险。