1个上游端供养10个犯罪团伙

黑客的拖库、撞库举动只是整个黑产链条的一个环节。“生活中很多精准式诈骗的场景背后，都是有一整套的网络黑色产业链的团伙在相互协作，形成对用户进行各类侵害的利益链条。”朱劲松说。

朱劲松对这一链条进行了梳理：在整个产业链的上端是技术含量最高、也是最为隐蔽的群体，他们以职业黑客为主，通过挖掘漏洞、编写木马来实施入侵；

产业链的中间环节，则是一个更为庞大的进行欺诈的犯罪团伙，他们通常具备比较高的情商，能够熟练地应用社会工程学(它集合了心理学、社会心理学、组织行为学等一系列的学科，可利用人的弱点如人的本能反应、好奇心、信任、贪便宜等弱点进行攻击)的理论和知识来对用户实施具体的欺诈行为；

在整个产业链的下游，是支撑整个黑色产业链各种周边的组织。如取钱、洗钱团伙、收卡团伙、贩卖身份证团伙等。

近日，腾讯发布的《网络黑色产业链年度报告》揭示，平均一个上游端就可长期供养10个以上网络黑产犯罪团伙。

以辽宁网安部门破获的一起非法入侵韩国网站盗取韩国网民银行存款的特大团伙为例，其中就有黑帽开发制作木马、包马人进行代理木马，然后入侵韩国网站挂马，在韩国网民浏览网站时窃取网银账户密码；

在网银账号和密码得手后，网络盗窃黑产团伙便会入侵受害人网银；随后洗钱团伙跟进，将受害人存款转移至韩国银行卡，最后再由下游的取钱团伙，通过ATM机、游戏点卡、充值卡等提现。

仅半年时间，由34人组成的犯罪团伙就先后对110余家韩国网站实施入侵，盗窃韩国网民银行账号密码4000余组，涉案金额折合人民币1000余万元。

“在产业链的不同环节中，不同的团伙既独立作案，又能够在一定程度上形成相互协作的关系，就好像一群强盗在分食一条大鱼，有的团伙吃鱼头、有的团伙吃鱼身、有的团伙吃鱼尾，剩下的团伙喝鱼汤。”朱劲松如是形容黑产链条的运作。

　　个人信息界定还需明晰

腾讯发布的《网络黑色产业链年度报告》显示，随着大量网站数据库被盗取，越来越多的网络犯罪分子倾向于在掌握网民个人信息后，以冒充熟人或博取同情等精准式诈骗场景对受害人进行欺诈。

那缘何目前买卖个人信息呈泛滥之势却似乎难以规制呢？中国互联网协会信用评价中心法律顾问赵占领对法治周末记者表示，“这与目前我国法律对于个人信息的界定还不清晰有关”。

赵占领对法治周末记者表示，尽管我国刑法明确规定，窃取或者以其他方法非法获取公民个人信息，情节严重的，将被追究刑事责任，“但是对于什么是个人信息，目前规定的还比较笼统”。

2012年12月，全国人大常委会颁布了《关于加强网络信息保护的决定》，随后工信部也出台了《电信和互联网用户个人信息保护规定》，采用了列举加概括的方式指出，个人信息包括用户姓名、身份证号等能够单独或者与其他信息结合识别用户的信息。

赵占领表示，现实中黑客往往会通过拖库的方式会获得用户的一些数据，比如cookie，是用户在网络上的行为轨迹，但这些数据是不是个人信息法律上暂时还没有明确的规定，但是经过整合加工，则往往具备了识别到个人的特点。

“个人信息、个人数据、个人隐私这三者其实是不同的概念，但是法律目前未对此作出界定和厘清，这使得黑产分子在获取数据后，很难以窃取或者以其他方式获得公民个人信息罪论处的重要原因。”赵占领说。

朱劲松对此也是深有感触，他以微信号为例，很多用户都是通过手机号作为微信号的，而通过实名登记的手机号都是直接对应到个人的，那么此时微信号属不属于个人信息？

　　明确网络服务提供者责任

西安交通大学信息安全法律研究中心主任马民虎对法治周末记者表示，其实对于网络黑产上的每一个环节、每一种行为基本都能在现有法律框架下找到对应的法律进行规制。

比如法律明确规定，侵入国家事务、国防建设以外的计算机信息系统，获取系统存储、处理或者传输的数据，情节严重的将追究刑事责任。

不过，马民虎认为，“尽管法律规定了严格的惩罚责任，但是缺少如何防范的法律规定，如果不在如何防治上落实法制，只有责任规定就形同虚设”。

马民虎举例道，很多网络服务提供者在提供服务的时候不可避免地要收集用户信息，但是到底互联网平台要采取什么样的措施，履行什么样的义务，法律并没有明确规定，只是一些互联网公司在做着这方面的尝试，但个别企业的做法并没有形成行业规范，或者是形成标准。

以12306用户数据泄露为例，据媒体披露，在泄密发生后一段时间内，依照泄露出来的用户名和密码仍旧可以登录，用户并没有收到任何提醒。

“对于网络服务提供者注意义务尽到什么程度，这个界限在哪里目前还有很大的争议，毕竟任何技术都不是绝对安全的，并不是所有的用户信息泄露都是网络服务提供者存在过错，再比如在出现数据泄露多久后要告知用户等，目前法律并无明确规定。”赵占领对法治周末记者说。

记者在采访中了解到，针对这种情形，我国正在制定相应的管理标准(尚未正式颁布)，拟对网络服务提供者出现信息泄露后应承担的义务作出明确规定。

一位不愿透露姓名的业内人士对记者表示，这些义务包括：立即采取补救措施，防止信息继续泄露；24小时内告知用户，根据用户初始注册信息重新激活账户，避免造成更大的损失；24小时内报告公安机关。

“这样细致的规定有助于明确企业的责任，第一时间通知用户的规定，也有助于降低信息泄露的安全隐患。”赵占领对法治周末记者说。

针对一些网络服务提供者不履行网络安全管理义务，造成严重后果的情况，我国也计划通过立法增加其刑事责任。

公安部第三研究所研究员黄道丽对法治周末记者介绍，2014年刑法修正案(九)草案就规定，“网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务，经监管部门通知采取改正措施而拒绝执行，致使违法信息大量传播的，致使用户信息泄漏，造成严重后果的，或者致使刑事犯罪证据灭失，严重妨害司法机关依法追究犯罪的，追究刑事责任”。

“虽然此罪为结果犯，但从刑法角度强化了服务提供者的安全管理责任，不仅反映了我国立法中强化安全的新趋势和动向，也将适用于漏洞攻击导致用户信息泄露而服务提供者不作为的情况。”黄道丽对法治周末记者说。