華東政法大學 羅麒琪

網(wǎng)絡(luò)黑產(chǎn)犯罪分工明確、銜接緊密具有明顯的鏈式特征。根據(jù)上下游犯罪特色分析，上游犯罪即網(wǎng)絡(luò)黑產(chǎn)供給鏈是網(wǎng)絡(luò)黑產(chǎn)犯罪的源頭。非法數(shù)據(jù)交易作為網(wǎng)絡(luò)黑產(chǎn)供給鏈的主要犯罪類型，是打擊網(wǎng)絡(luò)黑產(chǎn)犯罪的重難點。數(shù)據(jù)權(quán)益屬性不明、新型技術(shù)的違法使用、軟件運營商的過度索權(quán)等是非法數(shù)據(jù)交易泛濫的主要原因，危害主要表現(xiàn)在大規(guī)模的個人信息泄露。在數(shù)據(jù)權(quán)法律體系尚未完善時，將對非法數(shù)據(jù)交易的打擊重點轉(zhuǎn)向個人信息的保護研究。根據(jù)最新施行的《個人信息保護法》探尋有效的解決路徑。從個人、企業(yè)、國家多方主體出發(fā)，建立多主體協(xié)同合作的保護模式。

進入互聯(lián)網(wǎng)3.0時代，互聯(lián)網(wǎng)犯罪產(chǎn)業(yè)不斷升級，信息和數(shù)據(jù)犯罪成為網(wǎng)絡(luò)犯罪的核心，非法數(shù)據(jù)交易日益猖獗，網(wǎng)絡(luò)黑產(chǎn)犯罪形成了數(shù)據(jù)犯罪與傳統(tǒng)犯罪深度結(jié)合的“團體作業(yè)”模式。此外，指紋識別、人臉驗證等新型信息技術(shù)的發(fā)展使得數(shù)據(jù)的經(jīng)濟價值快速攀升。個人信息的泄露從姓名、電話到指紋、人臉等生物敏感信息，造成的危害早已超出了人們的預(yù)期。網(wǎng)絡(luò)黑產(chǎn)犯罪正在逐步進化成為上下游分工明確、類型復(fù)雜、技術(shù)超前的“網(wǎng)絡(luò)犯罪生態(tài)體系”。2011年，我國公安部門聯(lián)合國家互聯(lián)網(wǎng)信息辦公室等開展“凈網(wǎng)行動”，至今取得了不菲成績。但特殊的犯罪環(huán)境、不斷變化的犯罪手段也為打擊網(wǎng)絡(luò)犯罪帶來不少阻礙。就網(wǎng)絡(luò)黑產(chǎn)的特殊性而言，根據(jù)網(wǎng)絡(luò)黑產(chǎn)犯罪的運行結(jié)構(gòu)、行為特征分析，做到溯源打擊、核心打擊，破解打擊難點，建立有效的治理模式是重中之重。

1 非法數(shù)據(jù)交易：網(wǎng)絡(luò)黑產(chǎn)犯罪的重要趨勢走向

1.1 網(wǎng)絡(luò)黑產(chǎn)的“鏈條化”

網(wǎng)絡(luò)黑產(chǎn)即網(wǎng)絡(luò)黑色產(chǎn)業(yè)鏈，通常是指由分工明確、銜接緊密的利益團體，借助互聯(lián)網(wǎng)的虛擬性，利用互聯(lián)網(wǎng)技術(shù)，在互聯(lián)網(wǎng)平臺上實施盜取個人信息、網(wǎng)絡(luò)詐騙、進行非法交易等違法犯罪行為，并形成了多元化、產(chǎn)業(yè)化的非法產(chǎn)業(yè)體系。

目前，網(wǎng)絡(luò)黑色產(chǎn)業(yè)鏈主要具備三大特征：(1)對互聯(lián)網(wǎng)技術(shù)的極大依賴。以發(fā)展快速的互聯(lián)網(wǎng)賭博產(chǎn)業(yè)為例，非法分子將賭博平臺設(shè)置在專門網(wǎng)站和社交平臺。借助網(wǎng)絡(luò)平臺實施賭博行為，同時可以將支付手段由現(xiàn)金轉(zhuǎn)為電子支付。犯罪成本低、隱蔽性強且智能快捷。(2)已具有完整的鏈式特征，上下游分工明確、聯(lián)系密切。上游環(huán)節(jié)多為源頭性犯罪如竊取個人信息、準備系統(tǒng)工具等，下游多為傳統(tǒng)型犯罪如洗錢、詐騙、賭博等。(3)具有特定的犯罪行為，即在產(chǎn)業(yè)鏈中形成了以特定犯罪為目標的一系列犯罪行為的鏈式組合。

根據(jù)上文對網(wǎng)絡(luò)黑產(chǎn)犯罪的特征描述，可以看出網(wǎng)絡(luò)黑產(chǎn)主要的治理重點在于對網(wǎng)絡(luò)黑產(chǎn)上游環(huán)節(jié)犯罪即對網(wǎng)絡(luò)黑產(chǎn)供給鏈的打擊。

作為網(wǎng)絡(luò)黑產(chǎn)犯罪的核心部分，網(wǎng)絡(luò)黑產(chǎn)供給鏈正在進行逐步“優(yōu)化”，并具有獨立成為特定網(wǎng)絡(luò)黑產(chǎn)類型的傾向。網(wǎng)絡(luò)黑產(chǎn)供給鏈以物料、流量、支付為三大要件。其中，物料要件代表之一是信息資源，包括人體生物特征、公民信息等；流量要件是指互聯(lián)網(wǎng)用戶對于網(wǎng)站和程序等的訪問量；支付要件是網(wǎng)絡(luò)黑產(chǎn)犯罪為牟取非法利益所建立的特殊支付通道。網(wǎng)絡(luò)黑產(chǎn)供給鏈作為各類網(wǎng)絡(luò)犯罪的源頭，為了形成巨大的互聯(lián)網(wǎng)流量，必須依靠大規(guī)模的用戶信息。因此大規(guī)模的個人信息泄露事件層出不窮，非法數(shù)據(jù)交易日益猖獗。

1.2 打擊非法數(shù)據(jù)交易的難點

(1)數(shù)據(jù)交易合法性難以界定。目前，我國尚未建立較為完善的數(shù)據(jù)立法體系，由此面臨的首要問題是數(shù)據(jù)的權(quán)益屬性不明。在數(shù)據(jù)的采集、加工、利用、交易等環(huán)節(jié)中，什么類型的參與主體可以獲得數(shù)據(jù)的權(quán)利，在理論與實踐中皆未達成共識。因此，在數(shù)據(jù)的交易過程中，數(shù)據(jù)的安全性、合法性難以保障。數(shù)據(jù)交易市場的秩序混亂為黑市數(shù)據(jù)交易留下了缺口。2021年“3.15晚會”爆光了智聯(lián)招聘等網(wǎng)站由于管理不當，大量個人信息泄露，流通于黑市數(shù)據(jù)交易市場。數(shù)據(jù)中間商每月數(shù)據(jù)銷售流水能達到50萬元，其中金融、教育、醫(yī)美等行業(yè)對數(shù)據(jù)需求量較大。

(2)手機軟件作為收集數(shù)據(jù)的重要工具。隨著智能手機功能的不斷優(yōu)化，數(shù)據(jù)收集技術(shù)的不斷發(fā)展，手機軟件對用戶數(shù)據(jù)的收集擴大到人臉、指紋等生物信息，身份證號碼、手機號碼等個人識別信息。個人數(shù)據(jù)采集的全面性和便捷性，使得手機軟件運營方在非法數(shù)據(jù)交易市場立于不敗之地。目前，手機軟件非法收集數(shù)據(jù)主要問題是過度索權(quán)。幾乎所有手機軟件在使用前都需要用戶簽署相關(guān)隱私政策協(xié)議。協(xié)議簽署的方式為默認授權(quán)，即用戶不簽署協(xié)議則無法使用軟件，隱含“強迫”同意意味。另外，大多數(shù)軟件的隱私政策協(xié)議中存在隱私條款缺失、隱私內(nèi)容不達標、未告知用戶收集個人信息的種類和用途等問題。

(3)數(shù)據(jù)爬取等技術(shù)目的的“異化”。隨著數(shù)據(jù)經(jīng)濟價值的不斷攀升，越來越多的數(shù)據(jù)獲取技術(shù)被用于違法竊取數(shù)據(jù)。以數(shù)據(jù)爬取技術(shù)為例，數(shù)據(jù)爬取本來是使用者在萬維網(wǎng)上利用數(shù)據(jù)爬取程序預(yù)設(shè)規(guī)則來篩選、抓取所需要數(shù)據(jù)的工具。但由于數(shù)據(jù)爬取行為界定的不明確，不法分子利用數(shù)據(jù)爬取技術(shù)游走在非法數(shù)據(jù)收集的模糊地帶。對于惡意爬取行為的打擊存在著惡意爬取與“合規(guī)”爬取的邊界模糊、主觀惡性判斷模糊、爬取對象模糊等問題。除此之外，AI類技術(shù)、回退劫持等技術(shù)都具有“異化”的趨勢?！爱惢钡内厔莶皇怯捎诩夹g(shù)本身，而是利用技術(shù)進行違法犯罪的行為人，是行為人利用技術(shù)目的的“異化”。開發(fā)和使用爬蟲類新興技術(shù)的行為人，惡意使用技術(shù)侵犯他人的合法權(quán)益不僅違法了相關(guān)法律法規(guī)，更是缺乏對行業(yè)準則的認識。

在社會形態(tài)不斷變化的過程中，通過法律制定強有力的社會規(guī)范以維護社會秩序，抵制侵害始終是解決社會問題的重要方式。因此，在數(shù)據(jù)權(quán)益的歸屬尚未厘清，相關(guān)數(shù)據(jù)權(quán)法律體系尚未完善時，可以對非法數(shù)據(jù)交易的主要危害形式追根溯源，重點打擊。從上述有關(guān)網(wǎng)絡(luò)黑產(chǎn)供給鏈的要件以及數(shù)據(jù)收集合法性的闡述中，不難看出個人信息是非法數(shù)據(jù)交易的主流。因此，筆者認為在解決個人信息侵害的有效模式中探尋非法數(shù)據(jù)治理模式是可取的。

2 侵犯個人信息：非法數(shù)據(jù)交易的重要構(gòu)成

2.1 個人信息、個人隱私與個人數(shù)據(jù)界定

若要展開對個人信息保護的深入研究，首先要區(qū)分個人信息、個人隱私和個人數(shù)據(jù)三個易混淆的概念。傳統(tǒng)定義通常將個人信息歸于個人隱私的范疇，而在網(wǎng)絡(luò)社會的不斷發(fā)展中，個人信息具有了信息化、數(shù)據(jù)化的特征，與個人數(shù)據(jù)概念混淆。學術(shù)界普遍認為三者在概念上屬于交叉關(guān)系。目前，“可識別性”成為個人信息區(qū)別于其他信息的重要標準，可以在此標準上更好的理解三者間的關(guān)系。個人隱私主要是指涉及個人私生活秘密的信息，而個人信息中分為涉及私生活的信息和公開的信息，“私密性”是兩者區(qū)分的標準。個人數(shù)據(jù)可分為可識別和不可識別兩部分，其中前者是主要的個人數(shù)據(jù)部分，包括了與人的生理密切相關(guān)的生物數(shù)據(jù)、敏感數(shù)據(jù)及一定的個人社交信息等。2021年11月1日《中華人民共和國個人信息保護法》（以下簡稱“《個人信息保護法》”）正式施行。其中第四條規(guī)定：“個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息。”

2.2 個人信息保護受到的挑戰(zhàn)

(1)個人保護意識不足?！吨袊W(wǎng)民權(quán)益保護調(diào)查（2021）》的調(diào)查結(jié)果顯示，近一年來因為個人信息泄露、詐騙信息等原因，網(wǎng)民總體損失達到了805億。對隱蔽性較強的信息關(guān)注度不夠是重要原因。網(wǎng)購記錄、通話記錄、網(wǎng)站瀏覽痕跡等隱蔽的個人信息是算法推薦環(huán)境下對用戶進行“監(jiān)視”的重要數(shù)據(jù)。調(diào)查顯示，此類數(shù)據(jù)被泄露皆在50%以上。筆者認為，個人對信息保護意識不足主要體現(xiàn)在以下幾個方面：1）缺乏預(yù)防個人信息泄露的風險意識。目前，社會中個人將個人信息的泄露視為常態(tài)，認為在信息普遍泄露的大環(huán)境中，自身的信息泄露不存在太大的風險。2）未正確認識到信息保護與財產(chǎn)保護的關(guān)系。從以往大多數(shù)的個人信息泄露引發(fā)的犯罪案件可以看出，大多數(shù)人往往是在出現(xiàn)個人財產(chǎn)損失后開始重視個人信息，而非提前預(yù)防個人信息的泄露以保護個人財產(chǎn)。3）維權(quán)意識薄弱。當?shù)弥獋€人的信息泄露或者存在泄露的風險時，不會主動維權(quán)。

(2)行業(yè)自律準則缺失。在“凈網(wǎng)2020”戰(zhàn)役中，公安部門抓獲的違法犯罪嫌疑人中有152名是電信運營商內(nèi)部工作人員。過去幾年中內(nèi)部人員參與信息泄露案件頻發(fā)，這類案件涉及的個人信息往往數(shù)量龐大，牽涉甚廣。除電信運營行業(yè)，軟件開發(fā)、數(shù)據(jù)挖掘等信息相關(guān)行業(yè)都存在類似的風險，有些甚至已經(jīng)成為網(wǎng)絡(luò)黑產(chǎn)犯罪中的一環(huán)。行業(yè)內(nèi)部人員的頻繁參與意味著行業(yè)內(nèi)部準則混亂甚至缺失。前文中所提到數(shù)據(jù)爬蟲類技術(shù)的目的“異化”也體現(xiàn)這一問題。在我國，個人信息的合規(guī)使用很大程度上依賴于企業(yè)和內(nèi)部人員的自我約束，建立行業(yè)內(nèi)部的行為準則確有必要。

(3)個人信息公開階段的保護不足。疫情防控期間我國一直處于信息管理的特殊時期。在突發(fā)公共衛(wèi)生事件防控中，某些個人信息的必要公開為個人信息保護帶來了新的挑戰(zhàn)。疫情防控期間對于確診病例信息的傳播涉及精準識別的、敏感的個人信息，包括確診人員的姓名、家庭住址等。這些信息的擴散不僅侵害了確診病例的信息權(quán)利，更是為其帶來了極大的身心傷害。個人信息侵害的直接原因是信息控制方在信息公開階段的保護不足，深層次原因在于在信息公開階段，公民、政府與社會三者之間關(guān)于信息保護的權(quán)責與關(guān)系尚未厘清。在信息公開階段，個人信息公開的范圍、程序、侵害后的救濟手段、保護權(quán)責歸屬等問題都值得深究，對此的探討也不僅限于信息控制者一方，整個社會都應(yīng)當參與其中。

3 完善個人保護機制——以《個人信息保護法》為主要視角

個人信息專門法律的施行意味著公權(quán)力的強勢介入，是信息保護強有力的后盾。《個人信息保護法》的施行有利于個人信息的保護設(shè)想落到實處。將個人信息保護的權(quán)責歸屬劃分到各個環(huán)節(jié)、細分到各個主體。

(1)強調(diào)公民的知情權(quán)?！秱€人信息保護法》首先提出在個人信息處理的各個環(huán)節(jié)必須遵循公民自愿原則。個人信息處理的首要條件是“個人同意”。其中代表內(nèi)容是“基于個人同意而進行的個人信息處理活動，個人有權(quán)撤回其同意”的規(guī)定，體現(xiàn)了《個人信息保護法》“私權(quán)至上”的處理規(guī)則。在此基礎(chǔ)上，公民對于個人信息的處理方式、程序、用途等都有權(quán)得知。公民對個人信息的知情權(quán)得到有力保障。同時，強化對公民的敏感個人信息、未成年個人信息的保護，做到對不同類型個人信息分別保護，將傷害降到最低。

(2)明確企業(yè)各項義務(wù)，責任細分到各個環(huán)節(jié)?！秱€人信息保護法》最大的特點是多層次、全方位地明確個人信息處理方的義務(wù)內(nèi)容。1)嚴格限制信息的過度處理，要求在信息處理的各個環(huán)節(jié)必須遵循兩大基本原則，一是具有明確、合理的目的，二是在必要最小范圍內(nèi)。2)強化個人信息處理者的刪除義務(wù)，并為此提供了兩個主要選擇，包括個人信息處理者主動刪除和個人有權(quán)請求刪除。最后，互聯(lián)網(wǎng)平臺負有保護義務(wù)。要求互聯(lián)網(wǎng)平臺基于“超級平臺”的特殊性，肩負起監(jiān)督責任。

(3)國家保護力量為后盾。個人維權(quán)力量有限一直是以往個人信息保護的難點之一。在《個人信息保護法》中則體現(xiàn)了國家在此問題上強有力的解決措施，即以公權(quán)力救濟。1)建立合規(guī)的審計制度，要求第三方機構(gòu)依據(jù)法律對企業(yè)進行監(jiān)督，必要時國家專門機關(guān)可以進行約談或要求審計；2)確立公益訴訟制度，相關(guān)部門、組織、國家機關(guān)對于違反法律規(guī)定的國家機關(guān)和企業(yè)可以提起公益訴訟。

綜上所述，筆者將《個人信息保護法》對于個人信息的保護模式概括為多主體的協(xié)同合作保護模式。個人信息保護主要涉及到公民個人、企業(yè)、國家三方主體，因此明確各方主體的權(quán)利和義務(wù)，互相配合以保護個人信息，做到權(quán)責分明，有理有據(jù)。

4 結(jié)語

進入信息時代以后，網(wǎng)絡(luò)安全居于重要的戰(zhàn)略地位，與國家安全息息相關(guān)。而網(wǎng)絡(luò)黑產(chǎn)犯罪作為新型犯罪形態(tài)，伴隨互聯(lián)網(wǎng)環(huán)境和技術(shù)的發(fā)展不斷變化，同時與傳統(tǒng)犯罪結(jié)合，成為典型。從總體國家安全觀出發(fā)，重視對網(wǎng)絡(luò)黑產(chǎn)犯罪的打擊，同時基于溯源打擊、核心打擊的雙重要求，以網(wǎng)絡(luò)黑產(chǎn)供給鏈作為打擊核心。剖析網(wǎng)絡(luò)黑產(chǎn)供給鏈的運行結(jié)構(gòu)和主要犯罪行為趨勢，將非法數(shù)據(jù)交易作為重點打擊對象。同時結(jié)合《個人信息保護法》的施行，從個人信息的保護路徑窺見有效的治理方式，關(guān)鍵在于細化到各個環(huán)節(jié)、各個主體。因此，建立多主體協(xié)同、全方位協(xié)作的保護模式，是最優(yōu)策略。