網絡黑產治理視角下個人信息保護現狀及對策

華東政法大學 羅麒琪

網絡黑產犯罪分工明確、銜接緊密具有明顯的鏈式特征。根據上下游犯罪特色分析，上游犯罪即網絡黑產供給鏈是網絡黑產犯罪的源頭。非法數據交易作為網絡黑產供給鏈的主要犯罪類型，是打擊網絡黑產犯罪的重難點。數據權益屬性不明、新型技術的違法使用、軟件運營商的過度索權等是非法數據交易泛濫的主要原因，危害主要表現在大規模的個人信息泄露。在數據權法律體系尚未完善時，將對非法數據交易的打擊重點轉向個人信息的保護研究。根據最新施行的《個人信息保護法》探尋有效的解決路徑。從個人、企業、國家多方主體出發，建立多主體協同合作的保護模式。

進入互聯網3.0時代，互聯網犯罪產業不斷升級，信息和數據犯罪成為網絡犯罪的核心，非法數據交易日益猖獗，網絡黑產犯罪形成了數據犯罪與傳統犯罪深度結合的“團體作業”模式。此外，指紋識別、人臉驗證等新型信息技術的發展使得數據的經濟價值快速攀升。個人信息的泄露從姓名、電話到指紋、人臉等生物敏感信息，造成的危害早已超出了人們的預期。網絡黑產犯罪正在逐步進化成為上下游分工明確、類型復雜、技術超前的“網絡犯罪生態體系”。2011年，我國公安部門聯合國家互聯網信息辦公室等開展“凈網行動”，至今取得了不菲成績。但特殊的犯罪環境、不斷變化的犯罪手段也為打擊網絡犯罪帶來不少阻礙。就網絡黑產的特殊性而言，根據網絡黑產犯罪的運行結構、行為特征分析，做到溯源打擊、核心打擊，破解打擊難點，建立有效的治理模式是重中之重。

1 非法數據交易：網絡黑產犯罪的重要趨勢走向

1.1 網絡黑產的“鏈條化”

網絡黑產即網絡黑色產業鏈，通常是指由分工明確、銜接緊密的利益團體，借助互聯網的虛擬性，利用互聯網技術，在互聯網平臺上實施盜取個人信息、網絡詐騙、進行非法交易等違法犯罪行為，并形成了多元化、產業化的非法產業體系。

目前，網絡黑色產業鏈主要具備三大特征：(1)對互聯網技術的極大依賴。以發展快速的互聯網賭博產業為例，非法分子將賭博平臺設置在專門網站和社交平臺。借助網絡平臺實施賭博行為，同時可以將支付手段由現金轉為電子支付。犯罪成本低、隱蔽性強且智能快捷。(2)已具有完整的鏈式特征，上下游分工明確、聯系密切。上游環節多為源頭性犯罪如竊取個人信息、準備系統工具等，下游多為傳統型犯罪如洗錢、詐騙、賭博等。(3)具有特定的犯罪行為，即在產業鏈中形成了以特定犯罪為目標的一系列犯罪行為的鏈式組合。

根據上文對網絡黑產犯罪的特征描述，可以看出網絡黑產主要的治理重點在于對網絡黑產上游環節犯罪即對網絡黑產供給鏈的打擊。

作為網絡黑產犯罪的核心部分，網絡黑產供給鏈正在進行逐步“優化”，并具有獨立成為特定網絡黑產類型的傾向。網絡黑產供給鏈以物料、流量、支付為三大要件。其中，物料要件代表之一是信息資源，包括人體生物特征、公民信息等；流量要件是指互聯網用戶對于網站和程序等的訪問量；支付要件是網絡黑產犯罪為牟取非法利益所建立的特殊支付通道。網絡黑產供給鏈作為各類網絡犯罪的源頭，為了形成巨大的互聯網流量，必須依靠大規模的用戶信息。因此大規模的個人信息泄露事件層出不窮，非法數據交易日益猖獗。

1.2 打擊非法數據交易的難點

(1)數據交易合法性難以界定。目前，我國尚未建立較為完善的數據立法體系，由此面臨的首要問題是數據的權益屬性不明。在數據的采集、加工、利用、交易等環節中，什么類型的參與主體可以獲得數據的權利，在理論與實踐中皆未達成共識。因此，在數據的交易過程中，數據的安全性、合法性難以保障。數據交易市場的秩序混亂為黑市數據交易留下了缺口。2021年“3.15晚會”爆光了智聯招聘等網站由于管理不當，大量個人信息泄露，流通于黑市數據交易市場。數據中間商每月數據銷售流水能達到50萬元，其中金融、教育、醫美等行業對數據需求量較大。

(2)手機軟件作為收集數據的重要工具。隨著智能手機功能的不斷優化，數據收集技術的不斷發展，手機軟件對用戶數據的收集擴大到人臉、指紋等生物信息，身份證號碼、手機號碼等個人識別信息。個人數據采集的全面性和便捷性，使得手機軟件運營方在非法數據交易市場立于不敗之地。目前，手機軟件非法收集數據主要問題是過度索權。幾乎所有手機軟件在使用前都需要用戶簽署相關隱私政策協議。協議簽署的方式為默認授權，即用戶不簽署協議則無法使用軟件，隱含“強迫”同意意味。另外，大多數軟件的隱私政策協議中存在隱私條款缺失、隱私內容不達標、未告知用戶收集個人信息的種類和用途等問題。

(3)數據爬取等技術目的的“異化”。隨著數據經濟價值的不斷攀升，越來越多的數據獲取技術被用于違法竊取數據。以數據爬取技術為例，數據爬取本來是使用者在萬維網上利用數據爬取程序預設規則來篩選、抓取所需要數據的工具。但由于數據爬取行為界定的不明確，不法分子利用數據爬取技術游走在非法數據收集的模糊地帶。對于惡意爬取行為的打擊存在著惡意爬取與“合規”爬取的邊界模糊、主觀惡性判斷模糊、爬取對象模糊等問題。除此之外，AI類技術、回退劫持等技術都具有“異化”的趨勢。“異化”的趨勢不是由于技術本身，而是利用技術進行違法犯罪的行為人，是行為人利用技術目的的“異化”。開發和使用爬蟲類新興技術的行為人，惡意使用技術侵犯他人的合法權益不僅違法了相關法律法規，更是缺乏對行業準則的認識。

在社會形態不斷變化的過程中，通過法律制定強有力的社會規范以維護社會秩序，抵制侵害始終是解決社會問題的重要方式。因此，在數據權益的歸屬尚未厘清，相關數據權法律體系尚未完善時，可以對非法數據交易的主要危害形式追根溯源，重點打擊。從上述有關網絡黑產供給鏈的要件以及數據收集合法性的闡述中，不難看出個人信息是非法數據交易的主流。因此，筆者認為在解決個人信息侵害的有效模式中探尋非法數據治理模式是可取的。

2 侵犯個人信息：非法數據交易的重要構成

2.1 個人信息、個人隱私與個人數據界定

若要展開對個人信息保護的深入研究，首先要區分個人信息、個人隱私和個人數據三個易混淆的概念。傳統定義通常將個人信息歸于個人隱私的范疇，而在網絡社會的不斷發展中，個人信息具有了信息化、數據化的特征，與個人數據概念混淆。學術界普遍認為三者在概念上屬于交叉關系。目前，“可識別性”成為個人信息區別于其他信息的重要標準，可以在此標準上更好的理解三者間的關系。個人隱私主要是指涉及個人私生活秘密的信息，而個人信息中分為涉及私生活的信息和公開的信息，“私密性”是兩者區分的標準。個人數據可分為可識別和不可識別兩部分，其中前者是主要的個人數據部分，包括了與人的生理密切相關的生物數據、敏感數據及一定的個人社交信息等。2021年11月1日《中華人民共和國個人信息保護法》（以下簡稱“《個人信息保護法》”）正式施行。其中第四條規定：“個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后的信息。”

2.2 個人信息保護受到的挑戰

(1)個人保護意識不足。《中國網民權益保護調查（2021）》的調查結果顯示，近一年來因為個人信息泄露、詐騙信息等原因，網民總體損失達到了805億。對隱蔽性較強的信息關注度不夠是重要原因。網購記錄、通話記錄、網站瀏覽痕跡等隱蔽的個人信息是算法推薦環境下對用戶進行“監視”的重要數據。調查顯示，此類數據被泄露皆在50%以上。筆者認為，個人對信息保護意識不足主要體現在以下幾個方面：1）缺乏預防個人信息泄露的風險意識。目前，社會中個人將個人信息的泄露視為常態，認為在信息普遍泄露的大環境中，自身的信息泄露不存在太大的風險。2）未正確認識到信息保護與財產保護的關系。從以往大多數的個人信息泄露引發的犯罪案件可以看出，大多數人往往是在出現個人財產損失后開始重視個人信息，而非提前預防個人信息的泄露以保護個人財產。3）維權意識薄弱。當得知個人的信息泄露或者存在泄露的風險時，不會主動維權。

(2)行業自律準則缺失。在“凈網2020”戰役中，公安部門抓獲的違法犯罪嫌疑人中有152名是電信運營商內部工作人員。過去幾年中內部人員參與信息泄露案件頻發，這類案件涉及的個人信息往往數量龐大，牽涉甚廣。除電信運營行業，軟件開發、數據挖掘等信息相關行業都存在類似的風險，有些甚至已經成為網絡黑產犯罪中的一環。行業內部人員的頻繁參與意味著行業內部準則混亂甚至缺失。前文中所提到數據爬蟲類技術的目的“異化”也體現這一問題。在我國，個人信息的合規使用很大程度上依賴于企業和內部人員的自我約束，建立行業內部的行為準則確有必要。

(3)個人信息公開階段的保護不足。疫情防控期間我國一直處于信息管理的特殊時期。在突發公共衛生事件防控中，某些個人信息的必要公開為個人信息保護帶來了新的挑戰。疫情防控期間對于確診病例信息的傳播涉及精準識別的、敏感的個人信息，包括確診人員的姓名、家庭住址等。這些信息的擴散不僅侵害了確診病例的信息權利，更是為其帶來了極大的身心傷害。個人信息侵害的直接原因是信息控制方在信息公開階段的保護不足，深層次原因在于在信息公開階段，公民、政府與社會三者之間關于信息保護的權責與關系尚未厘清。在信息公開階段，個人信息公開的范圍、程序、侵害后的救濟手段、保護權責歸屬等問題都值得深究，對此的探討也不僅限于信息控制者一方，整個社會都應當參與其中。

3 完善個人保護機制——以《個人信息保護法》為主要視角

個人信息專門法律的施行意味著公權力的強勢介入，是信息保護強有力的后盾。《個人信息保護法》的施行有利于個人信息的保護設想落到實處。將個人信息保護的權責歸屬劃分到各個環節、細分到各個主體。

(1)強調公民的知情權。《個人信息保護法》首先提出在個人信息處理的各個環節必須遵循公民自愿原則。個人信息處理的首要條件是“個人同意”。其中代表內容是“基于個人同意而進行的個人信息處理活動，個人有權撤回其同意”的規定，體現了《個人信息保護法》“私權至上”的處理規則。在此基礎上，公民對于個人信息的處理方式、程序、用途等都有權得知。公民對個人信息的知情權得到有力保障。同時，強化對公民的敏感個人信息、未成年個人信息的保護，做到對不同類型個人信息分別保護，將傷害降到最低。

(2)明確企業各項義務，責任細分到各個環節。《個人信息保護法》最大的特點是多層次、全方位地明確個人信息處理方的義務內容。1)嚴格限制信息的過度處理，要求在信息處理的各個環節必須遵循兩大基本原則，一是具有明確、合理的目的，二是在必要最小范圍內。2)強化個人信息處理者的刪除義務，并為此提供了兩個主要選擇，包括個人信息處理者主動刪除和個人有權請求刪除。最后，互聯網平臺負有保護義務。要求互聯網平臺基于“超級平臺”的特殊性，肩負起監督責任。

(3)國家保護力量為后盾。個人維權力量有限一直是以往個人信息保護的難點之一。在《個人信息保護法》中則體現了國家在此問題上強有力的解決措施，即以公權力救濟。1)建立合規的審計制度，要求第三方機構依據法律對企業進行監督，必要時國家專門機關可以進行約談或要求審計；2)確立公益訴訟制度，相關部門、組織、國家機關對于違反法律規定的國家機關和企業可以提起公益訴訟。

綜上所述，筆者將《個人信息保護法》對于個人信息的保護模式概括為多主體的協同合作保護模式。個人信息保護主要涉及到公民個人、企業、國家三方主體，因此明確各方主體的權利和義務，互相配合以保護個人信息，做到權責分明，有理有據。

4 結語

進入信息時代以后，網絡安全居于重要的戰略地位，與國家安全息息相關。而網絡黑產犯罪作為新型犯罪形態，伴隨互聯網環境和技術的發展不斷變化，同時與傳統犯罪結合，成為典型。從總體國家安全觀出發，重視對網絡黑產犯罪的打擊，同時基于溯源打擊、核心打擊的雙重要求，以網絡黑產供給鏈作為打擊核心。剖析網絡黑產供給鏈的運行結構和主要犯罪行為趨勢，將非法數據交易作為重點打擊對象。同時結合《個人信息保護法》的施行，從個人信息的保護路徑窺見有效的治理方式，關鍵在于細化到各個環節、各個主體。因此，建立多主體協同、全方位協作的保護模式，是最優策略。