ZAO事件再次拷問網絡安全

◎ 文 《法人》全媒體記者 趙青

9月3日，工業和信息化部網絡安全管理局對北京陌陌科技有限公司相關負責人進行了問詢約談。

本次約談源于近日陌陌旗下App ZAO以AI換臉功能一夜爆紅網絡后，引發涉嫌過度收集用戶信息及隱私安全的爭議。ZAO事件再次讓網絡安全成為社會關注的焦點。

作為新生事物，互聯網從誕生的那天起，安全問題便如影隨形。在常見的以黑客攻擊、流量劫持、病毒木馬、侵犯公民個人信息為代表的頭部黑產安全威脅中，極為典型的特征是他們為各類下游犯罪提供了技術、數據支撐，并極大提高了犯罪成功概率和不法收益，成為網絡安全最大的威脅。

近年來，隨著AI、物聯網等新技術、新概念的涌現，以及5G時代的來臨，讓網絡數據安全保護“攻防戰爭”全面升級，同時也對網絡安全管理提出更高要求。

網絡黑產利益鏈

信息化時代的飛速發展，有賴于信息的大量產生與頻繁交互，而個人信息背后蘊藏的巨大價值也被不法分子利用，衍生出一條分工細化、專業運作的黑灰色產業鏈條，又被稱為“地下互聯網”。

“不好意思打擾了，我們這邊是提供信用貸款的公司，請問您有需要嗎？”——我們總是會接到這樣的推銷電話，在禮貌拒絕后，我們會疑慮對方是如何知道我們電話號碼的。

也許你在手機里安裝了各種攔截騷擾信息的軟件，但身處這個互聯網高速發展的時代，你能攔住的只是有形的電話，卻攔不住無形泄露出去的隱私。在感嘆大數據時代給生活帶來便捷的同時，我們往往忽略了個人信息泄露的嚴重后果。

售賣個人信息只是網絡黑產的冰山一角。近年來，隨著數字經濟時代的到來，網絡黑產不再是散兵游勇式的單打獨斗，而是已演化成具有專業分工、鏈條化運作特征的產業。

武漢大學網絡治理研究院副院長袁康在接受《法人》記者采訪時表示，當前網絡安全面臨著兩大趨勢：

一是網絡安全威脅日益常態化。各類網絡攻擊行為日趨頻繁，手段復雜多樣，從個人、企業到國家，都面臨著嚴峻的網絡安全挑戰。網絡安全威脅已經不只是假想，而是正在持續發生。

二是網絡安全涉及的領域日益擴大化。隨著網絡在政治經濟社會生活中的普遍應用和廣泛滲透，網絡安全已經涉及方方面面，包括個人信息安全、網上交易安全、重要基礎設施安全，等等。

打擊網絡黑產難度加大

“網絡安全風險的形成，既有技術不完備或系統漏洞等客觀原因，也有相關主體不當行為或惡意行為等主觀原因，同時還受到政治、經濟和社會等方面不確定因素的影響。”騰訊安全管理部高級項目經理江嘯風對記者表示。

經歷了近年來的網絡黑產演變，隨著各環節權責的細分，黑產專業化程度已經達到相當的高度。騰訊守護者計劃安全專家趙文俊介紹說，在一些侵犯公民個人信息案件中，有些數據中間商已經具備公司化運作體系，并且把大量公民隱私信息進行清洗后以“數據服務”的形式進行套現獲利。經這類數據中間商的匯總、清洗后的數據，具備更高的準確性、更多的維度，下游黑產團伙能以此進行更為高效的作惡行為。

在騰訊網絡安全與犯罪研究基地高級研究員張娜看來，正因為黑產各環節的細分化、專業化，黑產從業人員一方面對違法犯罪感知度降低；另一方面客觀上也無法明知上下游具體違法犯罪行為，導致在司法實踐過程中，一旦下游終端犯罪團伙無法鎖定，其大多數上游犯罪環節很難被定罪量刑。甚至由于各環節采用網上“服務采買”的勾連方式，使得犯罪鏈的溯源工作難度大大增加。

張娜同時強調，網絡黑產人員在近兩年呈現出跨境設點的趨勢，黑客、詐騙、賭博、色情等網絡黑產紛紛向東南亞甚至非洲、歐洲等地擴散，某些環節在境外披上了合法的外衣，某些團伙盤踞藏匿在政局不穩地區（如緬北），某些窩點通過收買外國政府官員謀求庇護等現象層出不窮，并且利用國家間司法體制的差異來規避打擊懲治，導致網絡黑產的風險成本不斷降低。

袁康表示，互聯網企業要積極承擔維護網絡安全的社會責任，既要在其提供產品和服務時盡最大可能滿足安全要求，及時更新系統填補漏洞，避免提供存在網絡安全隱患的產品和服務；又要積極推動互聯網行業建立統一的安全標準，整合行業力量建立網絡安全風險偵測和處置機制。

“這就需要互聯網企業樹立正確的價值觀，尊重客戶、尊重公共利益，而不能只以企業利潤最大化作為唯一指南。”袁康說，立法機關也需要探索以合理的形式，強化互聯網企業的網絡安全保障的法定責任。

數據安全亟待加強

近日，中國互聯網絡信息中心發布了《第44次中國互聯網絡發展狀況統計報告》，在網民遭遇的各類網絡安全問題中，個人信息泄露成為最為突出的問題，網絡詐騙緊隨其后。事實上，個人信息泄露也是現階段網絡詐騙、非法傳銷、惡意營銷、敲詐勒索等違法犯罪行為的黑色源頭。

只有讓黑產者發現所要承擔的法律風險是其所獲得利益不能沖抵的，黑產才能真正被有效遏制。

目前我國正在加快網絡安全相關政策布局。《中國產業互聯網安全發展研究報告》顯示，截至2018年，國家22部委出臺法律法規近200部，促進網絡安全發展。預計兩年內，中國網絡安全將形成千億市場。工信部日前表示將進一步優化產業政策環境，加快出臺促進網絡安全產業發展的指導意見，扎實推進國家網絡安全產業園區建設。

袁康表示，當前我國亟須加強數據安全和個人信息保護的立法，由于缺乏法律規范，市場上大量存在著超出合理必要的限度，隨意收集個人信息和數據的現象，這會帶來巨大的隱患。所以，需要通過立法進一步明確數據采集和使用的規則，禁止超范圍收集和濫用客戶數據信息。同時也要通過知識普及，提示廣大網絡用戶提高個人數據保護意識。

維護網絡安全是一場持久戰。隨著技術的加速迭代，各種新的問題與挑戰會不斷出現，很難畢其功于一役，只能在建立和完善網絡安全保障制度和機制的基礎上，妥善應對各種挑戰，尋求網絡安全領域的動態平衡。

“未來，隨著網絡安全議題在各界受重視程度不斷增強，技術手段不斷進步，治理體系和治理能力不斷完善，網絡安全行業逐漸成熟，網絡安全將得到更為有效的保障。”袁康最后說道。