网络黑灰产有多大威胁?这个问题恐怕没有绝对准确的答案,但可以肯定的是其规模已经不小。据国家网信办发布的《数字中国建设发展报告(2017年)》显示,2014年至2017年,大数据产业持续高速增长,预计2020年中国大数据市场产值将超万亿。另一方面,据南都大数据研究院等机构发布的《2018网络黑灰产治理研究报告》估算,2017年我国网络安全产业规模为450多亿元,而黑灰产已达近千亿元规模。在信息诈骗等许多网络黑灰产行为中,用户的个人信息泄露是源头之一。
随着大数据应用的快速普及,传统的社会问题向互联网延伸,网络问题社会化,社会问题网络化;网上网下的问题交织,网络安全问题不但发生着新的变化,也已经成为了大数据时代互联网发展的瓶颈。数据的增长从未停歇,但运用数据分析客户和挖掘潜在客户,前提是要保护用户隐私,而如何保护用户隐私已成为互联网科技公司一块心病。
大数据崛起背后:网络黑灰产已近千亿规模
随着技术手段的迭代更新,网络黑灰产呈现出从论坛、网站向社交群组聚集,向国外等地转移的特点。此外,作案手段不断翻新变化,令人防不胜防。据人民网报道,浙江义乌的一个小商家的老板刚刚上班,查看前一天的监控视频发现,凌晨有人翻墙入室,但奇怪的是,店内并没有什么物品失窃。再仔细查看一遍视频,才发现这名偷偷潜入的神秘人操作了店内的电脑就走了。
对于这种情况,商家也很疑惑,不知是否算是入室盗窃案,因此也就没有报警。但没过多长时间,这位小商家的交易记录和订单数据就出现在了“网络黑市”里。原来,神秘人在这位小商家的电脑上插入了一个经过改造的U盘“Bad USB”,里面装有可以封闭执行的木马病毒,将其拷贝到电脑后,神秘人可以远程控制这台电脑,从而获取商家的交易记录和大量的用户真实信息,甚至影响资金安全。
《2018网络黑灰产治理研究报告》指出,2017年我国网络安全产业规模为450多亿元,而黑灰产已达近千亿元规模。网络黑灰产新趋势越来越多样化,以信息诈骗为主的黑灰产业链逐渐向境外转移;黑产从业人员沟通圈子扩展到更多即时通信工具、平台等,给监管治理带来巨大挑战。另据阿里安全归零实验室统计,2017年4月至12月共监测到信息诈骗数十万起,案发资金损失过亿元,涉及受害人员数万人,信息诈骗案件居高不下,规模化不断升级。2018年,活跃的专业技术黑灰产平台多达数百个。
厘清数据与个人隐私的界限
在信息诈骗等许多网络黑灰产行为中,用户的个人信息是源头之一。中国信息通信研究院在今年1月发布的《电信和互联网用户权益保护白皮书》中提到,该院2017年上半年的调查数据显示,电信和互联网用户的个人信息安全感知评分为6.5分,与2013年相比几乎没有提升。影响个人信息安全感知的最主要因素包括个人信息泄露、过度收集个人信息、未经同意收集使用,其中近80%的用户认为隐私泄露严重,超过50%的用户认为应用软件“偷偷收集个人信息”。
据《山西日报》报道,网络精准营销渐成“黑灰产业”,年产值可达千亿元。很多从业者利用大数据进行精确推送,甚至实施诱导消费,坑骗消费者。有数据显示,目前手机APP越界获取个人信息已成为网络诈骗的主要源头,高达96.6%的安卓应用会获取用户手机隐私权限,而iOS应用的这一数据也高达69.3%。
单一的个人信息泄露会直接影响到个人隐私、社会交往和经济利益;局部性、群体性的个人信息泄露有可能导致网络犯罪和社会问题;而大规模的个人信息泄露则会引起公众恐慌,危及社会稳定;敏感的、跨境的个人信息泄露更会关乎国家发展和安全利益。大数据时代个人隐私安全困局亟待破解。“大数据与个人隐私界限必须尽快厘清。”业内人士建议,国家相关部门应该制定规定,对APP能够获取用户哪些数据做出规定,而不是让APP公司要求个人用户做出选择。大数据这座金矿必须充分利用使用与挖掘开采,不能造成大数据资源的闲置和浪费,同时,使用以后关键在于要保护好被采集数据者的数据信息以及隐私。
协同治理不能模糊责任
近年来频频发生的企业数据和个人信息泄露事件说明,一方面很多企业在技术和管理层面仍然不能达到法律法规的要求,对数据泄露仍然存在规避责任的侥幸心理,没有切实履行作为个人信息控制者、网络运营者的义务;另一方面也说明对个人信息泄露事件的责任主体的监管和惩罚力度不到位,纵容了企业的侥幸心理。
网络安全和个人信息保护需要企业和政府的共同努力来构造,制定完善规则,并且贯彻执行,这肯定是首先要考虑的。无论是监管机构还是具体企业,都要真正行动起来。业内专家认为,目前个人隐私的保护主要是国家立法,企业自律和个人防护三位一体。从国家层面来看,中国去年生效的《网络安全法》是一个基本法、总框架,关于数据的跨境流动、数据基础设施的保护等法律都在制定中。国家要加大对企业的处罚力度,让企业为自己的行为付出代价。此外,还要加强个人网络安全意识的培养,我国个人网络安全的教育普遍缺乏。
360公司董事长兼CEO周鸿祎也表示,个人信息保护是网络安全法等法律的重点议题,但在具体执行中还需要更多细则。尤其是针对掌握了大量用户数据的互联网公司,他建议制度层面可以针对这类企业在如何处理、转卖、交换用户数据等方面作出更加详细的规定,对企业收集、保存用户数据也应作出相应规定,保证涉隐私数据不能明文存放,而是加密存储,以避免被人轻易利用。
