一條被盜取的身份證信息在黑市交易值多少錢?答案可能是0.5元到20元不等；而一條學歷信息的價格，則可能會在1元到50元不等。如果盜取的個人信息達50億條，將會給黑產分子帶去多大的利益誘惑，又會給用戶的安全帶來多大的隱患呢?

　　3月8日晚間，公安部刑偵局在其官方微博發(fā)布了一則重磅信息，稱公安部統(tǒng)一指揮14個省、直轄市公安機關，徹底摧毀一個通過入侵互聯(lián)網公司服務器、竊取出售公民個人信息的犯罪團伙，共抓獲犯罪嫌疑人96名，查獲各類被竊公民個人信息50億條。

　　50億條個人信息遭竊取販賣

　　2016年9月，公安部刑偵局在工作中發(fā)現，有一個犯罪團伙潛入國內多家互聯(lián)網公司的服務器，盜取了大量的公民個人信息，公安部遂部署安徽省蚌埠市公安局成立9·27專案組偵辦此案。

　　今年1月，經過4個多月的偵查，警方共抓獲犯罪嫌疑人96名，初步查獲涉及物流、醫(yī)療、社交、銀行等各類公民個人信息50億條。

　　據警方披露，該犯罪團伙以韓某亮、翁某、鄭某鵬為核心，其中翁某、鄭某鵬主要通過入侵社交、游戲、視頻直播等各類公司的服務器，非法獲取用戶賬號、密碼、身份證、物流地址等信息;韓某亮則通過多種方式將其這些用戶信息變現。韓某亮的變現手法包括變賣游戲裝備、販賣網絡虛擬貨幣；出售給黑廣播、偽基站或者電信詐騙的犯罪團伙;設立游戲賭博網站：即通過入侵其他賭博網站的服務器竊取用戶個人信息，進行精準化推廣，然后將其他賭博網站的客戶引流到自己成立的游戲賭博網站上來。據辦案民警介紹，除了黑客入侵、內部竊取外，為獲得數據，該團伙涉案人員之間還相互交換、買賣數據，互為補充。同時，韓某亮經營的游戲網站有人注冊后，韓某亮還會把注冊信息提供給翁某等人，擴大數據庫。此番運作將用戶置身于巨大的風險中，而作為犯罪團伙核心的韓某亮則獲益匪淺。據公安部刑偵局披露，在近一年多的時間里，韓某亮不僅成立了多家公司，還購置了高檔汽車和多處房產，先后獲利數百萬元。

　　此前有媒體報道，該團伙中的韓某鵬是京東網絡安全部員工，泄漏50億條公民信息是監(jiān)守自盜。對此，京東方面3月10日發(fā)布官方聲明稱，“經了解，鄭某鵬在加入京東之前曾在國內多家知名互聯(lián)網公司工作，其長期與盜賣個人信息的犯罪團伙合作，將從所供職公司盜取的個人信息數據進行交換，并通過各種方式在互聯(lián)網上販賣”。至于該案破獲的50億條公民信息中，是否包含京東方面的相關信息，3月13日，京東相關負責人在接受法治周末記者采訪時表示，目前該案還在審理中，具體細節(jié)還有待查證。

　　2014年12月至2015年1月，京東電商也曾出現過一波用戶訂單信息大范圍泄露現象。事后經證實，發(fā)生在該時段的用戶信息泄漏事件，系京東3名內部員工所為。后來，這3名員工被北京市大興區(qū)人民法院以非法獲取公民個人信息罪判處有期徒刑，并處罰金。

　　“用產業(yè)鏈對抗產業(yè)鏈”

　　近年來，互聯(lián)網公司用戶信息泄漏事件頻發(fā)，并非京東一家中招。2015年5月，蘇寧易購也出現用戶訂單信息大范圍泄露事件，致使很多用戶被騙;2016年3月，唯品會也被媒體曝出，其平臺用戶訂單信息在一些QQ群被肆意買賣。

　　3月10日，在騰訊舉辦的《如何對個人信息販賣說NO》沙龍上，騰訊安全管理部專家何欣介紹，目前，個人信息買賣已經形成分工明確、非常結構化的黑色產業(yè)鏈：信息泄露——傳播交易——應用獲利。公安部此次破獲的案件也證實了這一點。據警方介紹，在這個由96人組成的犯罪團伙中，“有人專門負責竊取公民個人信息，有人通過技術手段把這些公民個人信息整理建成數據庫，還有一部分人把這些整理建庫完的數據直接拿出來使用，有出售的、有交換的……形成一個黑色產業(yè)鏈”。

　　何欣表示，由于個人信息販賣已經形成產業(yè)鏈，要進行打擊對抗，也需要借助整個互聯(lián)網行業(yè)的力量，“用產業(yè)鏈來對抗產業(yè)鏈”。

　　對于一些黑產分子利用QQ平臺傳播販賣個人信息的現象，何欣介紹，騰訊采取了兩種方式予以打擊：第一種是安全策略，即通過研究從事個人信息販賣的犯罪分子的行為模式特征，使用一些關鍵字詞去對群組的資料、頭像和間接等公開資料進行核查。何欣透露，從2016年年初到現在，騰訊已經查處涉及個人信息販賣的QQ群4700多個，關停了相關QQ賬號3500多個。另外一個途徑便是舉報，近期騰訊上線了侵犯公民個人信息的舉報標簽，期望通過此舉更快、更有效地處理收到的舉報信息，更快地核查、打擊黑產分子。

　　不過，這些舉措并不能將利用社交軟件進行傳播、交易用戶個人信息的黑產分子一網打盡。何欣表示，一方面，從事個人信息販賣者會不斷變換關鍵詞，甚至采用一些特別隱諱的名稱，使得主動打擊變得更加困難;另一方面，排查關鍵詞只能用于公開的場景，而很多黑產分子會通過隱私的交流環(huán)節(jié)來販賣個人信息，這就使得技術手段和人工核查都難以覆蓋。IDF互聯(lián)網威脅情報實驗室聯(lián)合創(chuàng)始人萬濤對法治周末記者表示，犯罪分子在從事黑產時，可能會通過QQ等即時通訊工具、各種支付方式進行溝通聯(lián)絡洗錢，而目前互聯(lián)網企業(yè)在打擊黑產時受困于諸多“忌諱”和限制，多“各掃門前雪”，也使得打擊的線索無法匯聚。

　　何欣建議，要打擊黑產需要整個產業(yè)聯(lián)合起來，共同打造安全生態(tài)圈。而此案就是騰訊與京東在聯(lián)合打擊信息安全地下黑色產業(yè)鏈的日常行動中發(fā)現的線索，并及時向警方進行了提供。

　　萬濤也建議，政府牽頭成立專業(yè)組織，建立跨地區(qū)、跨部門、跨行業(yè)的配套機制和保障措施，讓互聯(lián)網企業(yè)間的安全團隊可以合法地分享線索信息，協(xié)同發(fā)力，提升打擊黑產的力度。

　　須借鑒“最小采集理念”

　　除了用產業(yè)協(xié)作對抗黑產外，何欣認為，還需要加強源頭的保護，“因為我們發(fā)現很多犯罪分子會直接入侵到不同的機構網站，盜取大量的公民個人信息，所有在源頭上掌握公民個人信息的機構，都應該加強自身的安全防護能力”。在該案中，犯罪團伙中的翁某、韓某鵬就是采取技術手段，入侵多家互聯(lián)網機構的網站，盜取了大量的用戶信息。

　　公安部第三研究所網絡安全法律研究中心主任黃道麗在接受法治周末記者采訪時表示，2012年出臺的《全國人大常委會關于加強網絡信息保護的決定》，第一次從法律層面規(guī)定了網絡服務提供者保障個人信息安全的技術措施和補救措施義務;2016年11月7日通過的網絡安全法進一步強化了這一要求，并增加了告知用戶和向主管部門報告的義務。黃道麗表示，雖然網絡安全法自2017年6月1日起正式施行，實質上，我國相關法律法規(guī)中對相關主體實施技術措施的安全保護職責早有詳盡規(guī)定，如《計算機信息網絡國際聯(lián)網安全保護管理辦法》(公安部令33號)、《互聯(lián)網安全保護技術措施規(guī)定》(公安部令82號)等?！按舜纹偏@的50億條個人信息買賣案件，犯罪嫌疑人主要通過入侵信息系統(tǒng)的方式獲取的個人信息，但是被牽涉企業(yè)是否采取了技術措施和其他必要措施確保用戶的個人信息安全;在企業(yè)已知悉所存儲、處理的信息已發(fā)生泄露和丟失的情況下，是否采取了合理的補救措施，防止信息繼續(xù)泄露，是否及時告知用戶以避免造成更大的損失，都是關注的焦點。”黃道麗說。

　　2015年8月通過的刑法修正案(九)新增了拒不履行網絡安全管理義務罪，網絡服務提供者不履行法律、行政法規(guī)規(guī)定的信息網絡安全管理義務，經監(jiān)管部門通知采取改正措施而拒不改正，致使用戶信息泄露，造成嚴重后果的，單位不僅將被判處罰金，直接負責的主管人員和其他直接責任人也將會被追究刑事責任。黃道麗認為，這一條款從刑法角度上強化了網絡服務提供者的安全管理責任，在這樣的法律背景下，互聯(lián)網企業(yè)必須更加重視用戶個人信息的防護。

　　中國社科院法學研究所研究員、國家信息化專家咨詢委員會委員周漢華則認為，在大數據時代，無論是公權力機構，還是互聯(lián)網企業(yè)，在網絡信息安全方面最好的防護便是“不該要的別要，如果采集過多，自然會增加防護的負擔”。周漢華介紹，目前發(fā)達國家已經普遍采納了“最小采集理念”，這值得我國反思。

　　北京律師張新年一直關注互聯(lián)網企業(yè)的用戶信息保護狀況，鑒于很多公民個人信息泄漏事件多是“內鬼”所為，他在接受記者采訪時表示，互聯(lián)網企業(yè)不僅要完善網站系統(tǒng)，從技術層面上保障數據信息安全，也要重視人員管理，加強對涉密員工法律意識培訓的力度，防止他們鋌而走險。