当前位置:100EC>媒体评论>网经社张延来:网络黑灰产的乱象与治理
网经社张延来:网络黑灰产的乱象与治理
浙江垦丁律师事务所主任律师 张延来网经社发布时间:2020年09月29日 10:20:09

(网经社讯)网络黑灰产,也就是网络里面的黑色和灰色产业链。

浙江省绍兴公安局在2018年8月份告破了号称“史上最数据窃取案”的案件,有30亿条公民信息被窃取,主犯竟然是北京的一家新三板上市公司,作案手法是借助给网络运营商提供营销系统服务的机会,直接从运营商服务器中截取用户的cookie、访问记录等关键数据,然后利用这些数据为网络大v提供刷量、加粉等服务,一年的营收能超过三千万。几乎在同一时间,还有一个与此相类似的案例就是新闻报道说华住集团旗下包括汉庭、桔子、全季等在内的多家酒店住宿信息被泄露,有线索显示已经有五亿条信息流向了黑市交易。

如此大规模的数据失窃和泄漏,我们似乎听上去已经有点习以为常见怪不怪了,因为在过去类似的事件也时有发生。事实上互联网在近十几年里飞速发展的同时,也造就出一个庞大的黑灰产业,数据只不过是其中一个组成部分而已。整个网络黑灰产业链条可以从整体上分成上游和下游两个部分。上游主要包括:

(1)一些黑客类软件的研发,例如木马和病毒;

(2)身份信息的盗用,包括采用木马病毒撞库、向低收入人群收买等方式取得个人信息的所谓“四件套”,也就是银行卡、身份证、手机卡、网银u盾。    

(3)借助“四件套”注册获取各种各样的网络账号。基本上可以通过个人信息“四件套”获得任何平台的注册账号。当然,在黑产业链当中需要海量的注册账号,所以要用到机器去自动注册,这期间还涉及到注册码的自动识别等一系列智能化的技术手段。

有了上述提供的战斗装备之后,下游就是花样百出的变现手段,包括:

(1)电信诈骗;

(2)受到委托和指使的网络攻击;

(3)盗窃资金;

(4)刷票、刷单、刷榜、刷评论、刷粉丝,流量劫持;

(5)优惠券薅羊毛;

(6)垃圾短信及精准营销等等。

如果再黑一点,那就涉及到了洗钱以及黄赌毒了。所以这样一个由上游和下游组成的完美契合的产业链究竟有多大规模呢,南都大数据研究院和阿里巴巴联合发布的《2018网络黑灰产治理研究报告》显示2017年我国网络黑灰产规模已经达到上千亿元,而相比之下网络安全产业的规模仅仅450亿元。我们常说邪不压正,但是目前在这个领域暂时是正压不住邪的。为啥压不住呢?笔者个人分析有这样几点原因:

第一个原因是掌握着大量个人信息的关键机构里面出现了“内鬼”。南都研究院的报告里面就统计2016年到2017年5月份,公安机关一共抓获了5000多个侵犯公民个人信息罪的嫌疑人,而这其中有450多人是“各个行业”内部人员。这些“各个行业”主要是银行、保险、卫生、交通、快递等跟公民信息和隐私密切关联的行业。

我们日常生活中也不乏这样的经历,买车上完保险之后各大保险公司都给你发广告短信,小孩在社区医院打了预防针,马上各种早教机构给你打电话推销早教课程。这些恐怕都是“内鬼”导致的结果。

第二个原因是执法取证难。网络上面的黑灰产业背后都有着诸多隐蔽的技术做支撑,违法行为难以侦查取证和追责。尽管司法解释已经把侵害公民个人信息罪的入罪门槛定得极低,但是在实践当中要去追寻这些信息的源头和渠道是非常困难的,公安机关也只能优先处理那些大案、要案,如果全面都开展执法的话,侦查力量是跟不上的。

第三个原因是黑灰产业链当中的灰色部分实际上在法律上难以界定,而且那存在着非常强大的客观市场需求。由于数据、流量等等在网络世界中日益具有战略意义,所以很多相关产业都游走在法律的边缘,很难说一定是违法还是一定不违法。而且由于公共数据的开放力度不够,导致为了开展业务不可避免的很多公司要通过非正规的渠道来获得数据,这期间利益牵扯非常的复杂,立法和司法都难以在一时间给出明确的定论。 

网络黑灰产治理层面也取得了一些突破性的新进展,在这方面首先值得一提的突破就是技术。例如以腾讯安全团队为代表的态势感知技术,通过对黑产的数据分析,挖掘出黑产背后的恶意走向并将其反馈到风控模型,提前进行防控和预警,在实践当中曾经挖出过一整条的黑产链条。当然,要做到这一点前提仍然是要拥有跨平台的海量数据,目前业内恐怕只有少数几家生态级的公司能够做到,如果想在行业里面大规模的推广,则有赖于更多的公司一起联防联控。此外,包括快速成熟中的区块链技术也有望在用户信息和网络安全方面带来全局性的突破。

除了技术创新之外,在网络黑灰产治理领域里面的另外一个突破性进展来自于主管机关的高压态势。《网络安全法》实施以来,公安机关和网信办正在以越来越密集的执法来清理和打击网络黑灰产,尤其是近期大数据行业里面大量的从业者被警方带走调查的消息被广泛报道,全国范围内对数据黑产的“严打”正在展开,看来很多人要因此失去自由了。事实上,网络黑产影响到的不仅仅是经济领域,还有国家安全。大量的数据被黑产从业者带到了境外或者是在黑市暗网里面交易,显然都会影响到国家安全,所以公权力机关的严打也就不难理解了。

第三个方面的突破当属公共数据的进一步开放。这个是从源头来解决问题的一项重要举措,毕竟如果数据有合法来源谁愿意用非法的。在这方面,《电子商务法》第19条明确了国家推动公共数据共享机制,促进电商经营者依法利用公共数据。而上海市出台的《公共数据和一网通办管理办法》第13条也对公共数据整合、共享和开放作出了具体的规定。“问渠哪得清如许,为有源头活水来”,公共数据的活水注入进来,黑产数据的“污水”自然也就被冲刷干净了。

作为数据或者其他相关业务的公司法务,免不了跟黑灰产打交道,该如何识别黑灰产业相关的风险并且做好应对呢,以下几个原则可以参考:

第一就是尽量获取一手数据。如果用二手数据,最好做好数据源头的背景调查,可以同时把合作的这家源头公司以及他的竞争对手一起做背调。如果它的同类企业或者竞争对手已经出了事情,例如已经被执法机关检查或者负责人带走调查,那么就会有比较大的风险了,同时尽可能地去获取包括用户在内的三重授权,或者用户对这些信息的补授权。

第二是务必做好数据安全管理和关键人员的管控。包括防范数据的泄露以及内鬼倒卖数据,在数据传输的过程当中做好脱敏和安全评估,对外尽量提供数据分析的结果而不是数据本身。

第三是建立自己的风控模型并且实时记录风控的监测效果和异常事件以备日后主管机关检查。如果自身的研发能力不够可以引入第三方的风控体系,当然这个时候要注意要引进可靠的第三方,避免数据的再次泄露和污染。

张延来律师介绍:

QQ图片20200908102621.jpg

   网经社电子商务研究中心高级特约研究员、浙江垦丁律师事务所主任律师、专利代理人资格、中国政法大学实践导师、杭州仲裁委员会仲裁员、垦丁网络法学院创始人

   工作经历:

   浙江大学法律硕士,具有法律和计算机双专业学科背景,执业以来完全专注于互联网法律实务工作,担任数十家知名一线互联网公司常年法律顾问,并代理多个代表性互联网诉讼案件。

   立法与学术

   曾多次参加网络相关立法工作,是国家工商总局《网络交易管理办法》、杭州市《网络交易管理办法》立法小组成员,曾多次参与中国《电子商务法》的立法研讨工作。

    个人专著《法眼电商》《网络法战记笔记》已由法律出版社出版。

浙江网经社信息科技公司拥有17年历史,作为中国领先的数字经济新媒体、服务商,提供“媒体+智库”、“会员+孵化”服务;(1)面向电商平台、头部服务商等PR条线提供媒体传播服务;(2)面向各类企事业单位、政府部门、培训机构、电商平台等提供智库服务;(3)面向各类电商渠道方、品牌方、商家、供应链公司等提供“千电万商”生态圈服务;(4)面向各类初创公司提供创业孵化器服务。

网经社“电数宝”电商大数据库(DATA.100EC.CN,免费注册体验全库)基于电商行业17年沉淀,包含100+上市公司、新三板公司数据,150+独角兽、200+千里马公司数据,4000+起投融资数据以及10万+互联网APP数据,全面覆盖“头部+腰部+长尾”电商,旨在通过数据可视化形式帮助了解电商行业,挖掘行业市场潜力,助力企业决策,做电商人研究、决策的“好参谋”。

【关键词】 网络黑灰产张延来
【投诉曝光】 更多>

【版权声明】秉承互联网开放、包容的精神,网经社欢迎各方(自)媒体、机构转载、引用我们原创内容,但要严格注明来源网经社;同时,我们倡导尊重与保护知识产权,如发现本站文章存在版权问题,烦请将版权疑问、授权证明、版权证明、联系方式等,发邮件至NEWS@netsun.com,我们将第一时间核实、处理。

        平台名称
        平台回复率
        回复时效性
        用户满意度
        微信公众号
        微信二维码 打开微信“扫一扫”
        微信小程序
        小程序二维码 打开微信“扫一扫”