网络黑灰产治理：从后端应对型到前端防控型的模式转换

陈俊秀，郑 慧

(福州大学 法学院，福建 福州 350108)

数字经济时代产业数字化和数字产业化进入高速发展阶段，数字经济被视为经济发展的稳定器，2005年至2021年我国数字经济占GDP的比重从14.2%提升至39.8%[1]。伴随着数字经济规模的不断扩大，网络空间成为违法犯罪活动的新兴场域，网络黑灰产业链违法犯罪行为不断滋生、蔓延，对数字经济的安全和发展构成严重威胁。自2018年以来，公安部连续五年组织开展打击网络违法犯罪活动的“净网”专项行动，与司法部门合力围剿网络黑灰产。2022年《最高人民法院工作报告》强调要惩治网络黑灰产犯罪，然而网络黑灰产的泛滥趋势并未得到有效遏制。当前学界针对网络黑灰产的对策研究以发挥刑法的威慑、预防功能为逻辑起点，聚焦于刑事规制，尚未跳脱出刑事治理的畛域[2][3][4]。然而，数字经济时代网络黑灰产违法犯罪现象复杂多变，传统事后回应型网络黑灰产治理模式稍显力有不逮。党的二十大报告指出，“健全网络综合治理体系，推动形成良好网络生态”。为此，建构立体的防控体系与措施是健全网络综合治理体系的应有之义[5]，能够实现治理模式从“后端应对”到“前端防控”的转型。

一、当前网络黑灰产的界定及其实践样态

当前网络社会正在朝纵深方向不断发展，网络黑灰产活动亦呈现“人”“时”“事”“地”错综复杂的现象。网络黑灰产主体、手段、时空的“网络化”为治理带来了系列难题，厘清网络黑灰产的概念和范畴、从类型化角度分析网络黑灰产的实践样态，是探寻网络黑灰产治理路径的必要前提。

(一)网络黑灰产概念及现状

网络黑灰产这一用语产生于实践运用之中，并非严格意义上的法律概念。学界对网络黑灰产的概念及其范畴界定存在误解，进而扩大了网络黑灰产的实践样态。多数观点认为网络黑产通常指向触犯法律的网络违法犯罪行为，而网络灰产是指为黑产提供辅助，游走于违法犯罪边缘的网络失范行为[4]。若依此概念，则网络黑产并不具备辅助性质，传统的网络诈骗、敲诈勒索等受助违法犯罪行为属于网络黑灰产中的网络黑产，那么网络黑灰产的外延便被扩大至所有网络违法犯罪活动，实则不然。事实上网络黑灰产这一用语的实践定位和理论焦点都在于行为的辅助性。

在实践运用上，无论是从公安机关打击网络黑灰产的着力重点来看，还是从各大平台发布的网络黑灰产研究报告出发，都指明网络黑灰产并不包括网络诈骗、敲诈勒索等受助违法犯罪行为。网络黑灰产依托信息网络技术实施牟利活动，一般通过“技术支持”和“物料提供”为受助违法犯罪行为提供辅助，网络黑灰产与违法犯罪行为之间通常不存在关系紧密的通谋，甚至时常表现为“中立帮助行为”，所以难以通过共同犯罪等评价路径将网络黑灰产活动纳入刑法规制或其他违法行为的范围，从而使其时常游走于违法犯罪边缘，故而被冠以“网络黑灰产”之名。“链外犯罪行为”与“网络黑灰产业链的下游”等同视之，或许是对2020年百度时代网络技术有限公司和公安部第三研究所网络安全法律研究中心联合发布的《2020网络黑灰产犯罪研究报告》(以下简称《报告》)的误读，《报告》对网络黑灰色产业链上、中、下游进行了界定，上游黑灰产负责收集、提供资源；中游黑灰产负责开发、定制黑灰产工具；下游负责交易变现，涉及众多黑灰色网络交易和支付渠道[6]。《报告》中下游环节的“交易变现”指的是为违法犯罪活动所获的非法收益进行隐瞒、流转、交易、变现等网络黑灰产辅助行为，并未脱离“辅助”的性质，将“变现”理解为“实施具体犯罪”，混淆、误读了《报告》对“交易变现”的行为界定。

在理论上，多数学者将诈骗、敲诈勒索等犯罪行为认为是网络黑灰产链内的下游环节，但又进一步主张网络黑灰产的规制重点在于“以‘黑灰’等违法犯罪技术对公民个人信息侵犯和对网络市场经济管理秩序进行破坏为行为模式”的上游犯罪[7][8]。最终还是将网络黑灰产的落脚点绕圈式地回归到“上游辅助行为”的焦点之上。与其如此辗转迂回，不如直接将网络黑灰产的范围限定于违法犯罪的辅助行为，即将网络黑灰产的概念界定为：利用网络平台和技术为违法犯罪行为提供辅助的非法产业。网络黑产是指辅助行为构成犯罪，而网络灰产辅助行为尚未构成犯罪。当前网络黑灰产发展迅速，通常而言具备精细化、技术化、链条化、常业化等特征。

网络黑灰产实践样态层出不穷，网络黑灰产的具体样态大致可以被划分为上、中、下游。一般认为终端的受助违法犯罪行为属于网络黑灰产业链内的下游环节，例如刘宪权认为网络黑灰产分为上下游，上游(手段链)包括为下游犯罪提供或准备工具、创造条件，而诈骗、赌博、洗钱等传统犯罪属于下游(目的链)[7]；满涛认为网络黑灰产分为上中下游犯罪，上游以准备工具、发起犯罪为主，中游以袭击破坏网络系统和软件为主，下游以实施具体诈骗、洗钱罪为主[8]；郭聪将诈骗、洗钱等犯罪行为认定为链内的变现环节；以上观点认为具体犯罪行为是链内下游犯罪[9]。

但事实上网络黑灰产应限定于违法犯罪的辅助行为，利用网络黑灰产提供的物料资源进行的开设赌场、敲诈勒索、网络诈骗等终端受助违法犯罪行为均独立于网络黑灰产业链，属于链外下游犯罪(如图1所示)。之所以强调“终端”受助违法犯罪行为，是因为网络黑灰产在网络空间以链条化的形式活动，各个链条的行为在客观上环环相扣，上一链条亦有可能辅助下一链条的网络黑灰产活动，例如，网络黑灰产上游从业者开发恶意代码，将恶意代码出售，以供中游从业者侵入计算机系统，对存储其中的公民个人信息进行“拖库”，而后将取得的个人信息出售给违法犯罪分子进一步实施网络诈骗。只有终端的受助违法犯罪行为才位于链外，例如不正当竞争等违法行为或诈骗等犯罪行为。

图1 网络黑灰产业链“链内”“链外”分布图

(二)网络黑灰产类型划分

如前所述，网络黑灰产的范畴并不包括链外的受助违法犯罪行为，本文对于网络黑灰产的链条划分与既有学说存在区别，网络黑灰产的上中下游并非是从准备工具到袭击破坏再到具体犯罪的演变流程[7][8]，而是以其辅助的阶段为参照(如图1所示)：上游包括准备工具、收集资源等服务于违法犯罪行为预备阶段的行为；中游包括针对网络系统开展的袭击、破坏等服务于违法犯罪行为实行阶段的行为；下游包括资金流转、提现、交易、销赃等服务于违法犯罪行为资金掩饰阶段的行为，包括实行阶段的违法犯罪资金流转和事后阶段赃款清洗。网络黑灰产与受助违法犯罪之间可具备“一对多”“多对一”“多对多”的特征，即一项黑灰产可以同时服务于多个违法犯罪活动，一个违法犯罪行为可以同时由多项不同的黑灰产“分包式”处理。

1.上游：违法犯罪行为的“资源供给链”。上游网络黑灰产是为违法犯罪行为提供资源供给的链条，服务于违法犯罪的预备阶段，为预备阶段中的“准备工具”和“制造条件”活动，提供资源供给的辅助。违法犯罪资源包括违法犯罪所需的违法犯罪工具和资料，违法犯罪工具分为软件工具和硬件工具，前者包括用于网络犯罪、违法和违规行为的各种软件和恶意代码，包括群控系统、计算机病毒、特洛伊木马、网络蠕虫、流氓软件、网络钓鱼等类型；后者包括猫池等群控设备。违法犯罪资料包括公民个人信息、手机卡号资源、平台账号资源、网页IP资源等[8]。

网络黑灰产上游从业者以售卖资源为基本盈利模式，具言之，网络黑灰产上游从业者通过开发恶意代码、获取公民信息资料、囤积大量卡号、批量注册账号等方式囤积资源，再以多种渠道将这些违法犯罪资源出售给违法犯罪分子。资源链内部环环相扣，以侵害公民信息的黑灰产业形态为例，网络黑灰产从业者通过“拖库”“撞库”的方式建立违法犯罪信息资料库，进而通过多种渠道出售获得非法利润，其中销售渠道之一便是贩卖给卡商，卡商将其作为恶意注册账户的实名登记资源，而后将批量创设的网络账号贩卖给号商，或为号商提供手机号和验证码以供其自行注册。

2.中游：违法犯罪行为的“实行辅助链”。中游网络黑灰产是为链外违法犯罪行为提供实行上的辅助的链条，以数据流量威胁型和技术侵扰破坏型为主要形态，以干扰、危害、破坏网络生态为行为后果，辅助违法犯罪行为的实行。

技术侵扰破坏型黑灰产主要包括黑帽SEO(Black hat Search Engine Optimization)[10]、跨站脚本攻击(Cross-site Scripting ，XSS)、SQL注入攻击、分布式拒绝服务(Distributed Denial of Service，DDoS)攻击等侵害网络信息系统完整性、可用性、机密性，意图使攻击信息系统敏感信息泄露、非授权访问、服务质量下降、服务目的落空等后果的攻击行为[11]4，87-92。数据流量威胁型黑灰产以恶意点击、流量劫持、网络水军为主要形式，数据流量威胁型黑灰产的网络刷量等行为通常用以辅助不正当竞争或其他非法牟利行为，会造成广告效果、企业利润和互联网生态的减损和破坏[6]。

3.下游：违法犯罪行为的“资金掩饰链”。下游网络黑灰产是为违法犯罪行为提供资金流转、变现、交易、转移的链条，服务于违法犯罪的实行或事后环节。“资金掩饰链”涉及购买虚拟产品、第三/四方支付、虚拟货币、租码跑分平台、地下钱庄等多种形式[4]。近年来，网络黑灰产利用非法第四方支付等手段为赌博网站、套路贷、网络诈骗提供支付、结算服务，为违法犯罪行为提供资金链条支撑。第四方支付又称“融合支付”“聚合支付”，是一种通过技术手段将银行、第三方支付等多种支付服务方式融合为一体的综合性支付服务[12]。而非法第四方支付是指以第四方支付的形式，为网络黑灰产提供流转、结算资金的服务，实践中非法第四方支付平台的运作模式日趋多样化、碎片化、智能化[13]，其模式从较易被追溯的个人账户模式、电商店铺模式转向隐蔽性更强的话费卡密模式，互相嵌套的多层级聚合型非法第四方支付平台也频繁活跃于网络黑灰产下游链条。据统计，2017年至2021年，在全国各级法院一审审结的帮助信息网络犯罪活动罪(帮信罪)中，53.45%的作案手段是在支付结算环节提供帮助[14]。如何有效规制违法犯罪资金掩饰链成为网络黑灰产治理面临的重大挑战。

综上，网络黑灰产是利用网络平台和技术为违法犯罪行为提供辅助的非法产业，网络黑灰产现已形成分工精细的上中下游链条，具体包括违法犯罪行为的资源供给链、实行辅助链和资金掩饰链，受助违法犯罪行为属于链外行为。

二、网络黑灰产后端应对型治理的现实困境

对于如今数字经济时代的网络黑灰产，传统的事后治理即后端应对型的治理模式无法遏制其蔓延态势，而其危害网络生态的现象泛滥不止，以刑事规制和行政执法为主的后端应对面临着规制能力不足和规制效果不彰的现实困境。

(一)后端应对型治理面临治理需求迫切与规制能力不足的窘境

我国正不断加快数字建设，在数字化社会转型的背景下，犯罪结构类型亦发生了显著的变化。传统犯罪从2015年开始便呈下降趋势，出现总体层面的“犯罪拐点”现象，同时网络犯罪案件迅速增长，2019年网络犯罪已占我国犯罪总数的1/3，且呈不断上升趋势[15]。网络黑灰产是网络犯罪的温床，为网络犯罪提供“养分”，辅助网络犯罪的野蛮生长。根据中国司法大数据研究院发布的《涉信息网络犯罪特点和趋势(2017.1—2021.12)司法大数据专题报告》显示，2021年帮信罪在涉信息网络犯罪案件中的占比开始激增(详见表1)，从2020年的5.78%飙升至54.27%。在2017至2021五年间，帮信罪涉及被告人共计14.37万人，而2021年的被告人占比约九成，可见2021年网络黑灰产活动猖獗。网络黑灰产产值早已过千亿级别[16]，产业体型日益庞大，网络黑灰产的犯罪黑数更是不容小觑，亟待刑事制裁层面的回应和遏制。

表1 涉网案帮信罪占比的年度趋势

当前我国网络黑灰产治理主要依赖于以事后应对为核心的刑事治理路径，该路径存在规范体系疏漏和规制范围有限的缺憾。一方面，涉网络黑灰产犯罪罪名体系对数据安全保护力度不足，罪名体系可以分为以下两大类：一是以计算机系统和数据为犯罪对象的罪名，包括非法侵入计算机信息系统罪，非法获取计算机信息系统数据、非法控制计算机信息系统罪，破坏计算机信息系统罪；二是以计算机或网络为犯罪场域的罪名，包括提供帮助提供侵入、非法控制计算机信息系统程序、工具罪，非法利用信息网络罪以及帮助信息网络犯罪活动罪。首先，直接涉及数据安全法益的罪名是《中华人民共和国刑法》第285条第2款的非法获取计算机信息系统数据、非法控制计算机信息系统罪。第285条第3款规定的提供侵入、非法控制计算机信息系统程序、工具罪的提供范围限于“侵入”“非法控制”，而对计算机信息系统侵害力度更大的“破坏”行为并不在该条款规制范围之内[17]20。即使可以通过帮信罪予以兜底，但相较而言刑罚规制力度不足，其法定刑为“3年以下有期徒刑或者拘役，并处或者单处罚金”，而提供侵入、非法控制计算机信息系统程序、工具罪的法定最高刑为“处3年以上7年以下有期徒刑，并处罚金”。另一方面，以网络灰产为代表的多数行为并不在刑法规制范围之内。网络黑灰产常以外观上常业、无害的形式为违法犯罪活动提供帮助，其链条性、分工性特征难以认定上下游之间或与终端受助违法犯罪行为之间存在“明知”。同时有学者指出，将恶意刷单、制作抢购软件行为分别以破坏生产经营罪，提供侵入、非法控制计算机信息系统程序、工具罪定罪处罚，实际上是对“源头治理”理念的误解，走入了主观归罪的误区，忽视了对客观行为的考察[18]，刷单、制作抢购软件等行为实际上并不具备客观上的危害性。帮信罪的司法适用亦呈口袋化趋势。在网络黑灰产治理层面，刑法应当保持其应然的谦抑和克制，刑事路径位于网络黑灰产治理体系的末端，以刑事治理为主的后端应对型治理不足以成为网络黑灰产治理体系的重心。

(二)后端应对型治理存在资源投入耗费与治理成效不彰的困局

网络黑灰产从业人数和产业规模不断增长，与此同时国家加强政策、立法、执法、司法等治理资源的投入，构建了精细的网络黑灰产治理体系。在政策层面，近年来网络安全备受宏观政策关注，网络黑灰产防治被提升到重要地位。在立法层面，逐渐构建起行刑衔接的立体化网络安全法律体系。我国先后出台了《网络安全法》《数据安全法》《反电信网络诈骗法》等法律法规；以刑法修正案的形式增设拒不履行信息网络安全管理义务罪、非法利用信息网络罪、帮助信息网络犯罪活动罪等罪名。在执法与司法层面，2021年公安部联合行业主管部门加强行政执法和刑事司法，针对网络黑灰产各个环节展开了一系列“回应型”打击措施[19]。然而，即使网络黑灰产的后端应对型治理投入了大量的治理资源，却仍收效甚微。

首先，网络黑灰产呈现高度智能化、隐蔽化、跨地域、跨平台的特征，违法犯罪手段不断翻新、效率不断加快，赃款转移速度不断提升，从业人员和平台开始向海外转移，致使追查难度和追查成本双重升级，赃款追回比例低下。从侦查到案件审结耗费的资源和收效难成正比，即使案件破获，被害人损失仍旧难以挽回，事后后端应对模式治理的社会效果不佳。其次，网络黑灰产不同于传统犯罪，作案手段隐蔽，被害人往往难以察觉，存在大量犯罪黑数，后端应对型治理模式对数量巨大的未侦破案件以及犯罪黑数力所不及。再次，自2020年10月“断卡”行动以来，检察机关起诉涉嫌帮信犯罪案件急速上涨，目前帮信罪起诉人数一跃成为第三名，刑法参与网络黑灰产治理的力度与高压政策密切相关，网络黑灰产治理的司法实践背离了最后手段原则，存在“过度刑法化”现象，不仅会造成司法资源和监狱执行资源的浪费，还会导致刑罚功能的弱化。据统计，网络黑灰产从业者低龄化现象突出，且近90%系初犯[20]。2017年至2021年的五年间帮信罪涉及66万余名被告人，其中被告人年龄主要集中在18岁至39岁，18岁至28岁被告人占一半以上[14]。

从再犯可能性和整体防治效果出发，刑事制裁难以发挥最大化效果。刑事制裁并非犯罪治理的终点，网络黑灰产过度入罪化不利于年轻群体的再社会化，难以从根源上解决网络黑灰产从业者的违法犯罪心理和现实从业状态。犯罪控制的首要选择是社会控制，即通过对影响犯罪生成的各种社会因素的控制把社会维持在有序状态中[21]，治理资源应当首要放置于以限制网络黑灰产从业主体和从业条件的社会控制之中。

三、网络黑灰产治理前端防控型模式的转换、展开及具体路径

(一)转换

网络黑灰产依托网络空间的虚拟性、瞬时性和隐蔽性，在极大程度上增加了后端应对型治理的追踪、惩治难度。事后后端应对模式在网络黑灰产治理领域呈现出能力不足和成效不彰的弊病，因而亟需寻求新的出路，基于数字治理的前端防控是网络黑灰产治理模式阶段性转型的应然选择。

1.源头治理和整体治理的必然要求。完善违法犯罪治理体系要把握好首尾两端，既要发挥事后规制的惩罚和威慑功能，更要重视前端防控的阻断和预防功能，将违法犯罪行为防范于未然。风险社会和网络犯罪的产生来源之一是互联网、区块链、云计算等数字技术的发展。一方面，党的十九届四中全会强调要加强系统治理、依法治理、综合治理、源头治理，其中源头治理的核心在于将治理重心从事后规制转向源头治理，也就是治理环节前置化。大数据和互联网时代下，违法犯罪治理体系重心应从事后规制向事前预防转型。另一方面，从碎片化治理转向整体性治理可以提高网络黑灰产治理能力和效果。整体性治理兴起于20世纪90年代末，以强调整合、协调与信任以及耦合化组织结构重构打造整体政府和整体性供给服务。整体性治理理念对网络黑灰产治理提出新要求，通过包括多维层级的政府部门、私人部门、第三方组织与公民个人在内的横向主体对网络黑灰产大数据的整合协调，改变碎片化治理格局[22]，推动线下调控到线上线下协同调控、政府单向调控到社会主体多元共治的治理体系与治理能力的优化升级[23]。

2.公私共治阶段性转型的应然选择。当前网络黑灰产治理资源分散、治理手段滞后的局面亟待改善，治理主体和重心环节的战略调整是转型的关键，治理主体层面的调整在于深化公私共治，治理环节的转型在于从后端打击转向前端防控。目前，网络黑灰产治理体系由平台自主防控的私权治理和以刑事规制和行政执法为主的公权治理组成，私权治理已经开始将重心放置于对网络黑灰产的提前阻断之上，例如阿里巴巴、腾讯、字节跳动、快手、百度等企业发布的网络黑灰产治理经验，互联网平台积极通过风控系统对网络黑灰进行提前阻断。然而，平台治理的主要目的在于维护平台生态，平台之间各自为战，不足以对网络黑灰产造成实质性打击。公权治理重心仍在于事后的被动回应，着力于“治标”之策，通过系列严打行动形成高压态势。对此，可以将公权治理与私权治理相结合，相互取长补短，达到消解治理信息不对称、分散治理成本、优化预防功能的正向效果。随着万物互联时代的深入发展，网络空间治理愈加重视预防理念，学界越来越多观点开始主张网络空间治理的预防性理念[24]。《中华人民共和国反电信网络诈骗法》第4章规定了电信诈骗中互联网平台核实用户身份、对风险行为进行监测、识别和处置措施、提供技术协助、建立线索反馈机制等预防性规范。网络治理从后端打击到前端防控的转型是适应网络社会不断发展的必然趋势。

3.大数据时代风险治理的使然运用。国内外早在十年前便开始了对大数据与风险治理相结合的理论探索，理论上大数据可以在风险事件治理过程中实现预测识别、分析评估、应对处理、修复预防相关风险的功能[25]。随着数字技术的不断发展，人工智能开始逐渐应用于社会舆论、宗教暴力行为、社会骚乱事件、公共卫生安全等社会风险治理领域[26]。网络黑灰产与传统犯罪存在截然相反的特征，传统犯罪的犯罪活动轨迹难以预测、监控、分析、识别、防控，通常情况下难以开展事前的侦查和阻断，以事后回应为主要规制手段；而网络黑灰产依托互联网进行违法犯罪活动，其线上活动的属性意味着互联网大数据必然记录、动态存储、流转了包括网络黑灰产活动数据在内的海量数据，有针对性地对数据进行分析可以发掘其潜在价值，这就使依托大数据分析进行犯罪相关性预测，建立网络黑灰产数据驱动型预防体系成为可能[27]。近年来国内外犯罪治理领域亦重视数字治理的运用，大数据的发展使传统循证式、被动式的犯罪预测转向以相关性和主动性分析为手段的新型犯罪预测，为犯罪治理提供了新机遇[28]。美国、日本在“大数据警务”领域早已开始了有益尝试。2012年美国纽约市警方与微软合作引进了“场域感知系统”(Domain Awareness System)，2016年日本京都府警察部门也开始运用“预测型犯罪预防系统”[29]。在大数据时代，包括网络黑灰产主体在内的所有人均是“网络社会人”，行为人处于相互嵌套的，以信息交换为主导的社会网络联系之中，基于大数据通过算法分析，可以预测到网络黑灰产和链外犯罪行为的发展情况，做到提前部署防控[30]。网络黑灰产为诈骗、赌博、敲诈勒索等犯罪行为提供辅助，故而以识别的网络黑灰产为线索，还可以阻断未然或惩治已然的终端犯罪行为。数字治理网络黑灰产是标本兼治的治理方式，长远看来不仅会有效减少犯罪，还可以减轻侦查和司法成本，并达到在源头上阻断案件发生的效果。

(二)展开

基于数字治理的网络黑灰产前端防控模式是打造、健全网络综合治理体系的重要环节，兼具日常性、开放性、及时性、渗透性和智能性。

1.治理结构嬗变：提倡合作型平台治理。从与外部模式的比较来看，基于数字治理的网络黑灰产前端防控模式的治理结构与事后后端应对模式的治理结构的最大区别在于网络平台是否可以直接参与治理。“平台是一种以实现用户之间的组织、交互为目的的数字基础设施。”[31]9在网络社会中，网络平台在技术、信息、数据等方面拥有资源优势，因而具有单方面影响和改变网络空间其他主体意志和行为的能力，网络平台正在网络空间塑造一种全新的、具有极强私有化倾向的权力样态，即网络平台权力。网络平台权力是法律授权和平台自赋权的复合产物，并不天然合法正当[32]。网络平台权力既塑造着全新的社会权力结构，也形塑着网络空间治理结构。基于数字治理的网络黑灰产前端防控模式是公权力与平台权力共同直接治理的预防型治理模式，在法律或制度层面承认平台可以通过数字治理直接参与网络黑灰产治理领域，即赋予网络平台权力正当性，从而使得网络平台成为基于数字治理的网络黑灰产前端防控模式的直接治理主体之一，是基于数字治理的网络黑灰产前端防控模式的应有之义。简言之，直接治理主体的多元化是基于数字治理的网络黑灰产前端防控模式的特殊之处。侦破和惩戒网络黑灰产是事后后端应对模式的要旨，这意味着事后后端应对模式的直接治理主体只能是公权力主体，网络平台处于次要辅助性地位，只能通过提供线索、固定证据等方式，以间接治理的形式参与网络黑灰产治理。在基于数字治理的网络黑灰产前端防控模式中，公权力不再是自上而下的绝对主体，从单向度的管理者转变为互动式的合作方[33]73，而平台从间接参与治理的协助方转变为直接治理的关键主体，弥补了公权力主体在纷繁庞杂的网络黑灰产数字治理中监管资源、数据信息和技术创新不足的缺陷。

从内部治理结构的层级来看，基于数字治理的网络黑灰产前端防控模式提倡将合作型平台治理置于首要地位。公权力和网络平台关系下的基于数字治理的网络黑灰产前端防控模式的内部治理结构主要存在三种类型：公权力部门作为管理主体、平台企业作为管理对象的管理型；公权力部门主导、平台企业间接参与的协助型；公权力部门、平台企业共治的合作型[34]。三种类型交织存在，例如在协助型或合作型结构中，平台企业也要接受公权力部门的管理和监督。基于数字治理的网络黑灰产前端防控模式强调要加强公权力部门和平台企业共治的合作型治理结构的资源配比，并进一步加大网络平台治理在合作型治理结构中的资源配比，通过网络平台治理和合作型治理结构地位的双重提升，在基于数字治理的网络黑灰产前端防控模式中形成以合作型平台治理结构为主，管理型、协助型结构为辅的治理结构。

2.治理重心转移：以犯罪预防为主。积极治理主义强调以环境治理为核心的“间接整治”，从结果本位转到诱因本位，从事后制裁转到事前控制[35]。积极治理主义作为一种犯罪治理理念，由军事学上的“积极防御主义”衍生而来，“积极防御主义”指为了反攻或进攻采取积极的攻势行动，挫败进攻之敌的防御[36]。将积极治理主义引入网络黑灰产治理领域，旨在强调以积极的“攻势型”防御作为治理网络黑灰产的主要手段。

网络黑灰产蔓延的诱因之一在于网络空间违法犯罪行为具备低成本、高效率、高收益的特征，网络空间的虚拟性导致人们对网络空间天然具备容忍度，人们对平台内的钓鱼链接、刷单行为司空见惯，受破窗效应影响，网络黑灰产逐渐蔓延至整个网络生态，并日益成为严重威胁。积极治理理念指导之下的网络黑灰产治理体系呈漏斗型，在前端防控中可以阻断大部分违法犯罪行为，让日常性“净网”成为常态，营造和谐有序的网络环境；让行政处罚成为大多数选项，提高违法犯罪成本、从而进一步降低社会对网络黑灰产的容忍度；最后仅有少部分构成犯罪的行为落入刑事规制，实现网络黑灰产治理“全面”和“从严”的有机统一。网络黑灰产治理体系转型升级后，前端防控将作为第一道防线，行政执法、刑事制裁则成为后置防线，而网络黑灰产领域治理的重心是巩固第一道防线。

(三)具体路径

1.平台参与网络黑灰产治理纳入法治轨道。平台发挥治理作用的同时会产生威胁公民隐私、数据安全等风险，除了要在技术层面不断完善算法、增强保护，更要形成实体规范与程序规范相互协调、完备严密的法律体系，以完善对网络黑灰产数字治理的法律规制。要使平台参与网络黑灰产治理始终在法治轨道上运行，应从两个向度对平台治理予以规制，一是“赋权”，二是“赋责”。

网络黑灰产业链的上中下游通常依赖于互联网平台，平台掌握着海量信息和高端技术，其本身亦是网络黑灰产活动的场域，具备数字治理的权力，但是此种权力并不当然合法正当，若缺乏法律赋权，平台处理分析用户数据、参与数字治理便丧失合法性基础。平台日渐深入网络黑灰产治理是既存事实，平台享有的数字治理的事实权力需要通过法律规范予以正当化赋权。《个人信息保护法》第13条规定个人信息处理者为履行法定职责或者法定义务所必需时，可以处理个人信息，可见在个人信息处理层面，对平台赋责即相当于赋权，既是平台权力正当性的来源，又是对平台权力的制衡和规范。《网络安全法》第28条是网络运营者提供技术和数据等方面支持的义务来源，除此之外可以通过相关法规明确平台在网络黑灰产领域前端防控的主体责任，进一步督促互联网平台将建立网络黑灰产风险防控体系和数据安全保护义务纳入企业合规建设内容之中，助推私营企业参与网络黑灰产源头治理，同时保障数字治理始终在法治框架内运行。除此之外，数据的收集和利用会产生对个人权利和尊严的侵犯，甚至会造成群体层面利益的减损。在运用数字治理的过程中应当以法治规范数据获取、利用、流转环节，当前的法律规范还需要在算法规制、数据保护层面予以体系完善。

2.建立数据收集分析和风险阻断体系。在数据收集层面，数字治理以数据汇聚和数据共享为支撑，当前在网络黑灰产防治领域，各平台尚未打破“数据孤岛”的困境，为消解“碎片化”治理格局，由网信部门、电信主管部门、公安机关等网络安全相关部门统筹主导，打造“公私合作+私私合作”制度，建立网络黑灰产治理联盟，鼓励各大中小企业积极加入网络黑灰产治理联盟[15]。以政府为主导的综治平台和以企业为主体的防控平台相互对接、呼应，对新型网络黑灰产形态进行同步溯源、跟踪、阻断、防控，最大化保障公民权利。同时鼓励互联网平台之间建立网络黑灰产数据情报库，通过多种途径进行数据信息的共享、更新、流动，在海量数据情报的基础上构建以溯源分析、防御阻断、反制追踪为内容的防控体系。

在数据分析层面，新型网络黑灰产的演进意味着平台的识别和预警技术也要随之不断创新改进。具备精确性和预制性的人工智能风控能够依托数据和算法对风险进行技术化、智能化的审查、识别、判定，已成为网络安全领域的重要风险控制手段[37]。在网络黑灰产前端防控领域，数据分析主体应以数据挖掘工具建立针对网络黑灰产的设备风险画像模型、恶意机器人识别模型、团伙关系挖掘模型、恶意代码识别模型等网络黑灰产样态识别模型[38]。

在防御和反制层面，面对网络黑灰产的高发态势，各个平台应及时建立与风险防控体系衔接的风险阻断体系，阻断包括了防御和反制两个维度，构建技术自动防御和人工巡查审核相结合的，平台与公权力相互协同的防御和反制体系。其一，政府部门持续推进的“断卡”行动与互联网平台的风险应对的“断流”措施有力结合，对风控系统识别的风险卡号进行流量断截，打击网络黑灰产上游资源供给链。其二，为遏制网络黑灰产中游链条对违法犯罪行为的辅助效果，互联网平台作为与网络黑灰产“正面迎战”的主体，应不断以技术创新推出针对性高、防护力强的计算机系统、数据流量防御系统。其三，针对网络黑灰产下游的资金掩饰链，银行和互联网平台风控系统识别风险后，依托共享数据平台将线索和风险评估判定实时同步更新至侦查系统，发挥数字治理在“打早打小”中的作用。其四，针对网络黑灰产全链条防控，视风控系统判定的风险等级，采取先行屏蔽网站或面向用户提供安全验证和风险警示功能等防御措施。

3.克服数字治理的算法歧视与算法黑箱难题。算法深度嵌入网络黑灰产数字治理结构意味着公民大量的信息数据和数据权益面临着算法黑箱和算法歧视的现实挑战。网络黑灰产的数字治理可以通过特定算法识别网络黑灰产从业者，并对其采取断流等阻断措施。然而，若算法存在突发性等自身故障或者算法设计者主观上存在算法偏见，将导致算法歧视现象[39]。同时，因算法通常涉及商业秘密且专业性较高，导致用户无法知悉算法设计、研发和运行的细节，更无从监督算法，此种算法黑箱现象会导致公众的权益处于未知的风险和挑战之中。

为了在网络黑灰产前端防控领域最大化消除算法歧视和算法黑箱难题，网络安全部门可以同技术成熟、经验丰富的私营企业合作，共同开发误判率低、严密精确的算法，该算法需经反复测试和审核，公权力主体可以作为测试和审核的主体，建立算法分级分类制度，涉及公民核心利益的算法，应当要求开发者提供代码，直接对代码进行审核，对于其他类型的代码，则可以通过算法测试的方式确保其准确率即可。算法被统一开发后，可以将该算法运用至各平台，防止因平台间技术能力差异导致的算法歧视现象。对于不可避免的误判现象，可以通过建立高效便捷的申诉系统，尽快修正误判，即民众若因算法误判而被施加切断流量、禁止注册卡号、账号等措施，可以通过申诉系统及时恢复自身权益。

总之，网络黑灰产通过分工精密的资源供给链、实行辅助链、资金掩饰链为违法犯罪行为“输血供氧”，我国不断加大对网络犯罪和网络黑灰产的惩治力度，但传统事后后端应对模式本身存在着规制能力不足和规制效果不佳的现实困境，无法因应网络黑灰产年轻化、智能化、跨域化、隐蔽化趋势。因此，本文倡导网络黑灰产治理应迎合数字治理的时代趋势，出于网络黑灰产治理模式阶段性转型和犯罪治理体系和治理能力现代化的需要，将基于数字治理的网络黑灰产前端防控模式作为治理的第一道防线，提倡以预防理念和积极治理主义为主导的合作型平台治理，与此同时行政执法和刑事制裁作为后置防线，与前端防控共同形成多层次、立体化、综合性的漏斗型治理体系。

注释：

①“拖库”属于网络安全领域的术语，泛指黑客入侵数据库后窃取数据库的行为。

②卡商指囤积大量收集卡号的网络黑灰产从业者。

③号商指囤积大量平台账号的网络黑灰产从业者。

④“黑帽SEO”是指是通过关键字篡改、违规设置链接、大规模站群等“作弊”技巧，达到提高特定网站搜索引擎排名效果的非法手段，可以为赌博、色情、诈骗网站提供“曝光率”，达到为网络黑灰产引流的效果，为违法犯罪行为提供辅助；“利用XSS攻击”可以进一步进行网络钓鱼攻击、信息刺探、网页挂马，从而获取公民信息或执行恶意脚本；“SQL注入攻击”是攻击Web应用后台数据库系统的常用技术手段，攻击者可以提取数据库中的数据(拖库)、提升权限、写入木马程序进行远程操控等行为；“DDoS攻击”指利用网络中位置分布的主机向没目标发起拒绝服务攻击，导致目标服务器不可用的攻击手段，攻击者可以利用DDoS攻击对互联网公司进行敲诈勒索。

⑤“恶意点击”分为利用猫池、卡池或恶意代码进行的技术点击和水军组织的人工点击；“流量劫持”指通过技术手段改变访问主体的访问路径、访问对象、访问内容以获取数据流量的非法手段；“网络水军”指从事批量发帖、顶帖、引流等影响舆论导向和普通网民价值判断的行为。

⑥《涉信息网络犯罪特点和趋势(2017.1—2021.12)司法大数据专题报告》界定的“帮助信息网络犯罪活动罪”是指自然人或单位明知他人利用信息网络犯罪，为其犯罪提供互联网接入、服务器托管、网络存储、通讯传输等技术支持，或者提供广告推广、支付结算等帮助，情节严重的行为。此概念在本文界定的网络黑灰产的范围之内，表1的数据来源于此报告。