华东政法大学 罗麒琪
网络黑产犯罪分工明确、衔接紧密具有明显的链式特征。根据上下游犯罪特色分析,上游犯罪即网络黑产供给链是网络黑产犯罪的源头。非法数据交易作为网络黑产供给链的主要犯罪类型,是打击网络黑产犯罪的重难点。数据权益属性不明、新型技术的违法使用、软件运营商的过度索权等是非法数据交易泛滥的主要原因,危害主要表现在大规模的个人信息泄露。在数据权法律体系尚未完善时,将对非法数据交易的打击重点转向个人信息的保护研究。根据最新施行的《个人信息保护法》探寻有效的解决路径。从个人、企业、国家多方主体出发,建立多主体协同合作的保护模式。
进入互联网3.0时代,互联网犯罪产业不断升级,信息和数据犯罪成为网络犯罪的核心,非法数据交易日益猖獗,网络黑产犯罪形成了数据犯罪与传统犯罪深度结合的“团体作业”模式。此外,指纹识别、人脸验证等新型信息技术的发展使得数据的经济价值快速攀升。个人信息的泄露从姓名、电话到指纹、人脸等生物敏感信息,造成的危害早已超出了人们的预期。网络黑产犯罪正在逐步进化成为上下游分工明确、类型复杂、技术超前的“网络犯罪生态体系”。2011年,我国公安部门联合国家互联网信息办公室等开展“净网行动”,至今取得了不菲成绩。但特殊的犯罪环境、不断变化的犯罪手段也为打击网络犯罪带来不少阻碍。就网络黑产的特殊性而言,根据网络黑产犯罪的运行结构、行为特征分析,做到溯源打击、核心打击,破解打击难点,建立有效的治理模式是重中之重。
网络黑产即网络黑色产业链,通常是指由分工明确、衔接紧密的利益团体,借助互联网的虚拟性,利用互联网技术,在互联网平台上实施盗取个人信息、网络诈骗、进行非法交易等违法犯罪行为,并形成了多元化、产业化的非法产业体系。
目前,网络黑色产业链主要具备三大特征:(1)对互联网技术的极大依赖。以发展快速的互联网赌博产业为例,非法分子将赌博平台设置在专门网站和社交平台。借助网络平台实施赌博行为,同时可以将支付手段由现金转为电子支付。犯罪成本低、隐蔽性强且智能快捷。(2)已具有完整的链式特征,上下游分工明确、联系密切。上游环节多为源头性犯罪如窃取个人信息、准备系统工具等,下游多为传统型犯罪如洗钱、诈骗、赌博等。(3)具有特定的犯罪行为,即在产业链中形成了以特定犯罪为目标的一系列犯罪行为的链式组合。
根据上文对网络黑产犯罪的特征描述,可以看出网络黑产主要的治理重点在于对网络黑产上游环节犯罪即对网络黑产供给链的打击。
作为网络黑产犯罪的核心部分,网络黑产供给链正在进行逐步“优化”,并具有独立成为特定网络黑产类型的倾向。网络黑产供给链以物料、流量、支付为三大要件。其中,物料要件代表之一是信息资源,包括人体生物特征、公民信息等;流量要件是指互联网用户对于网站和程序等的访问量;支付要件是网络黑产犯罪为牟取非法利益所建立的特殊支付通道。网络黑产供给链作为各类网络犯罪的源头,为了形成巨大的互联网流量,必须依靠大规模的用户信息。因此大规模的个人信息泄露事件层出不穷,非法数据交易日益猖獗。
(1)数据交易合法性难以界定。目前,我国尚未建立较为完善的数据立法体系,由此面临的首要问题是数据的权益属性不明。在数据的采集、加工、利用、交易等环节中,什么类型的参与主体可以获得数据的权利,在理论与实践中皆未达成共识。因此,在数据的交易过程中,数据的安全性、合法性难以保障。数据交易市场的秩序混乱为黑市数据交易留下了缺口。2021年“3.15晚会”爆光了智联招聘等网站由于管理不当,大量个人信息泄露,流通于黑市数据交易市场。数据中间商每月数据销售流水能达到50万元,其中金融、教育、医美等行业对数据需求量较大。
(2)手机软件作为收集数据的重要工具。随着智能手机功能的不断优化,数据收集技术的不断发展,手机软件对用户数据的收集扩大到人脸、指纹等生物信息,身份证号码、手机号码等个人识别信息。个人数据采集的全面性和便捷性,使得手机软件运营方在非法数据交易市场立于不败之地。目前,手机软件非法收集数据主要问题是过度索权。几乎所有手机软件在使用前都需要用户签署相关隐私政策协议。协议签署的方式为默认授权,即用户不签署协议则无法使用软件,隐含“强迫”同意意味。另外,大多数软件的隐私政策协议中存在隐私条款缺失、隐私内容不达标、未告知用户收集个人信息的种类和用途等问题。
(3)数据爬取等技术目的的“异化”。随着数据经济价值的不断攀升,越来越多的数据获取技术被用于违法窃取数据。以数据爬取技术为例,数据爬取本来是使用者在万维网上利用数据爬取程序预设规则来筛选、抓取所需要数据的工具。但由于数据爬取行为界定的不明确,不法分子利用数据爬取技术游走在非法数据收集的模糊地带。对于恶意爬取行为的打击存在着恶意爬取与“合规”爬取的边界模糊、主观恶性判断模糊、爬取对象模糊等问题。除此之外,AI类技术、回退劫持等技术都具有“异化”的趋势。“异化”的趋势不是由于技术本身,而是利用技术进行违法犯罪的行为人,是行为人利用技术目的的“异化”。开发和使用爬虫类新兴技术的行为人,恶意使用技术侵犯他人的合法权益不仅违法了相关法律法规,更是缺乏对行业准则的认识。
在社会形态不断变化的过程中,通过法律制定强有力的社会规范以维护社会秩序,抵制侵害始终是解决社会问题的重要方式。因此,在数据权益的归属尚未厘清,相关数据权法律体系尚未完善时,可以对非法数据交易的主要危害形式追根溯源,重点打击。从上述有关网络黑产供给链的要件以及数据收集合法性的阐述中,不难看出个人信息是非法数据交易的主流。因此,笔者认为在解决个人信息侵害的有效模式中探寻非法数据治理模式是可取的。
若要展开对个人信息保护的深入研究,首先要区分个人信息、个人隐私和个人数据三个易混淆的概念。传统定义通常将个人信息归于个人隐私的范畴,而在网络社会的不断发展中,个人信息具有了信息化、数据化的特征,与个人数据概念混淆。学术界普遍认为三者在概念上属于交叉关系。目前,“可识别性”成为个人信息区别于其他信息的重要标准,可以在此标准上更好的理解三者间的关系。个人隐私主要是指涉及个人私生活秘密的信息,而个人信息中分为涉及私生活的信息和公开的信息,“私密性”是两者区分的标准。个人数据可分为可识别和不可识别两部分,其中前者是主要的个人数据部分,包括了与人的生理密切相关的生物数据、敏感数据及一定的个人社交信息等。2021年11月1日《中华人民共和国个人信息保护法》(以下简称“《个人信息保护法》”)正式施行。其中第四条规定:“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”
(1)个人保护意识不足。《中国网民权益保护调查(2021)》的调查结果显示,近一年来因为个人信息泄露、诈骗信息等原因,网民总体损失达到了805亿。对隐蔽性较强的信息关注度不够是重要原因。网购记录、通话记录、网站浏览痕迹等隐蔽的个人信息是算法推荐环境下对用户进行“监视”的重要数据。调查显示,此类数据被泄露皆在50%以上。笔者认为,个人对信息保护意识不足主要体现在以下几个方面:1)缺乏预防个人信息泄露的风险意识。目前,社会中个人将个人信息的泄露视为常态,认为在信息普遍泄露的大环境中,自身的信息泄露不存在太大的风险。2)未正确认识到信息保护与财产保护的关系。从以往大多数的个人信息泄露引发的犯罪案件可以看出,大多数人往往是在出现个人财产损失后开始重视个人信息,而非提前预防个人信息的泄露以保护个人财产。3)维权意识薄弱。当得知个人的信息泄露或者存在泄露的风险时,不会主动维权。
(2)行业自律准则缺失。在“净网2020”战役中,公安部门抓获的违法犯罪嫌疑人中有152名是电信运营商内部工作人员。过去几年中内部人员参与信息泄露案件频发,这类案件涉及的个人信息往往数量庞大,牵涉甚广。除电信运营行业,软件开发、数据挖掘等信息相关行业都存在类似的风险,有些甚至已经成为网络黑产犯罪中的一环。行业内部人员的频繁参与意味着行业内部准则混乱甚至缺失。前文中所提到数据爬虫类技术的目的“异化”也体现这一问题。在我国,个人信息的合规使用很大程度上依赖于企业和内部人员的自我约束,建立行业内部的行为准则确有必要。
(3)个人信息公开阶段的保护不足。疫情防控期间我国一直处于信息管理的特殊时期。在突发公共卫生事件防控中,某些个人信息的必要公开为个人信息保护带来了新的挑战。疫情防控期间对于确诊病例信息的传播涉及精准识别的、敏感的个人信息,包括确诊人员的姓名、家庭住址等。这些信息的扩散不仅侵害了确诊病例的信息权利,更是为其带来了极大的身心伤害。个人信息侵害的直接原因是信息控制方在信息公开阶段的保护不足,深层次原因在于在信息公开阶段,公民、政府与社会三者之间关于信息保护的权责与关系尚未厘清。在信息公开阶段,个人信息公开的范围、程序、侵害后的救济手段、保护权责归属等问题都值得深究,对此的探讨也不仅限于信息控制者一方,整个社会都应当参与其中。
个人信息专门法律的施行意味着公权力的强势介入,是信息保护强有力的后盾。《个人信息保护法》的施行有利于个人信息的保护设想落到实处。将个人信息保护的权责归属划分到各个环节、细分到各个主体。
(1)强调公民的知情权。《个人信息保护法》首先提出在个人信息处理的各个环节必须遵循公民自愿原则。个人信息处理的首要条件是“个人同意”。其中代表内容是“基于个人同意而进行的个人信息处理活动,个人有权撤回其同意”的规定,体现了《个人信息保护法》“私权至上”的处理规则。在此基础上,公民对于个人信息的处理方式、程序、用途等都有权得知。公民对个人信息的知情权得到有力保障。同时,强化对公民的敏感个人信息、未成年个人信息的保护,做到对不同类型个人信息分别保护,将伤害降到最低。
(2)明确企业各项义务,责任细分到各个环节。《个人信息保护法》最大的特点是多层次、全方位地明确个人信息处理方的义务内容。1)严格限制信息的过度处理,要求在信息处理的各个环节必须遵循两大基本原则,一是具有明确、合理的目的,二是在必要最小范围内。2)强化个人信息处理者的删除义务,并为此提供了两个主要选择,包括个人信息处理者主动删除和个人有权请求删除。最后,互联网平台负有保护义务。要求互联网平台基于“超级平台”的特殊性,肩负起监督责任。
(3)国家保护力量为后盾。个人维权力量有限一直是以往个人信息保护的难点之一。在《个人信息保护法》中则体现了国家在此问题上强有力的解决措施,即以公权力救济。1)建立合规的审计制度,要求第三方机构依据法律对企业进行监督,必要时国家专门机关可以进行约谈或要求审计;2)确立公益诉讼制度,相关部门、组织、国家机关对于违反法律规定的国家机关和企业可以提起公益诉讼。
综上所述,笔者将《个人信息保护法》对于个人信息的保护模式概括为多主体的协同合作保护模式。个人信息保护主要涉及到公民个人、企业、国家三方主体,因此明确各方主体的权利和义务,互相配合以保护个人信息,做到权责分明,有理有据。
进入信息时代以后,网络安全居于重要的战略地位,与国家安全息息相关。而网络黑产犯罪作为新型犯罪形态,伴随互联网环境和技术的发展不断变化,同时与传统犯罪结合,成为典型。从总体国家安全观出发,重视对网络黑产犯罪的打击,同时基于溯源打击、核心打击的双重要求,以网络黑产供给链作为打击核心。剖析网络黑产供给链的运行结构和主要犯罪行为趋势,将非法数据交易作为重点打击对象。同时结合《个人信息保护法》的施行,从个人信息的保护路径窥见有效的治理方式,关键在于细化到各个环节、各个主体。因此,建立多主体协同、全方位协作的保护模式,是最优策略。