犯罪经济学视野下网络平台数据泄露治理研究
2021-11-20郭川阳
郭川阳
(中南财经政法大学,湖北 武汉 430073)
网络平台是信息技术应用于商业社会之后的产物,①在不同语境下“网络平台”有多种不同含义,即便是在互联网环境下也没有一个统一的概念界定和类型划分。本文所称“网络平台”,既包括采全国人大常委会法制工作委员会刑法室在对《刑法修正案(九)》第二十八条作出说明时提出的“网络服务提供者”的范畴,即“通过计算机互联网、广播电视网、固定通信网、移动通信网等信息网络,向公众提供网络服务的机构和个人”,又涵盖通过互联网办公、经营,依托互联网建立、使用服务器等网络设备的机构。[1]其兴起被视为“数字革命”的三大标志性事件之一。[2]网络平台的崛起一方面“极大地改变了我们的生产和生活,它以空前的力量将人们连接在一起,为我们展示了一种更为有效的组织形式”,[3]另一方面也增大了存储于计算机系统和全球数据网络中的数据面临着的安全风险,特别是近年来,与网络平台相关的大型数据泄露事件高发频发,引起社会广泛关注。“我们生活在一个数据驱动的世界里,数据的价值无可限量,因此,数据泄露能够造成显著的影响。”[4]以网络平台数据泄露为主的网络犯罪的经济影响没有减缓,网络数据泄露的严峻态势必须加以遏制。本文尝试借鉴诺贝尔经济学奖获得者、著名经济学家加里·S·贝克尔提出的犯罪经济学理论[5],探寻一种治理涉网络平台数据泄露犯罪的“最优”决策,使数据泄露“造成的社会损失降至最小”。[6]
一、网络平台数据泄露犯罪的现状与特征
网络平台数据泄露属于侵害计算机数据和计算机系统的保密性、完整性和可用性的犯罪范畴,是典型的网络犯罪。网络平台数据之所以会成为犯罪分子垂涎的重要目标,一方面与数据本身急剧膨胀的经济价值和社会价值密切相关,互联网中产生、流转的各类数据俨然成为信息时代最重要的生产要素,被视为“数据资产”、“新兴财富”;另一方面与互联网的体系架构以及网络平台在网络社会所处地位密不可分。“网络空间首先构造了一个信息环境。它包括了数据的创建、存储及更为重要的是分享。”“对计算机目前只有三件事情可以做:窃取数据,窃取凭证和劫持资源。不幸的是,我们对信息系统的依赖意味着,一个熟练的攻击者可以通过做这些中的任何一个而造成很大的伤害。”[7]网络平台是“网络社会运作的关键单元”,“是广大社会公众进入网络社会的入口和享受各种网络服务的平台”,[8]提供整体性的平台架构和服务,互联网上的数据都通过各类网络平台构建、聚合、存储、处理和传输,“数据的集中和数据量的增大给产业链中的数据安全保护带来新的威胁,数据开始成为主要的攻击对象”,[9]犯罪分子紧紧抓住这个绝佳的机会,通过各种非授权或者是非正常授权的手段获取网络平台数据,很轻易地挖掘到一笔又一笔“数据的金矿”。据统计,自2013 年以来全球已有近150 亿条数据泄露。2017 年是一个拐点,全球数据泄露事件数量开始呈现爆发式增长。2018 年上半年,每天有超过2500 万条数据遭到入侵或泄露,也就是每秒291 条。①Varonis.2018 Data Breach Investigations Report.https://info.varonis.com/hubfs/2018%20Varonis%20Global%20Data%20Risk%20Report.pdf.金融行业、医疗保健行业、交通运输行业、教育行业、餐旅娱乐业、通信运营商网站、互联网企业都位居数据泄露榜前列。这些网络平台数据泄露给全球造成的经济损失惊人。根据IBM Security 和Ponemon Institute 发布的《2018 数据泄露损失研究》评估,2018 年全球数据泄露的平均成本为386 万美元,百万条记录可致损失4000 万美元,5000 万条记录可致损失3.5 亿美元。
本文收集了2012 年—2019 年我国发生的5 起网络平台数据泄露案件和2017—2019 年境外发生的8 起大规模网络平台数据泄露事件(其中“德国大型数据泄露事件”已被德国联邦刑警局BKA定性为犯罪),②本文采用贝克尔犯罪经济学的观点,在分析研究时将“犯罪”进行泛化,并不局限于刑法规定的犯罪,而是包括所有的违法行为。经过分析概括出如下特征。
(一)犯罪对象:以网络平台用户个人信息为主,数据量极大且绝大多数未经加密
从上表所列13 例网络平台数据泄露案件的犯罪对象属性来看,涉案的网络平台数据主要是与网络平台业务运营相关的用户个人信息。这些数据主要是用户在使用网络平台提供的各种服务时主动提供的个人信息,比如姓名、家庭住址、电子邮箱地址、电话号码、身份证号码和信用卡相关信息,当然,也有一部分信息是用户被动留下的,如“瑞智华胜数据窃取案”中恶意程序自动清洗用户流量而获取的用户cookie、访问记录等。用户个人信息泄露在域外又被称为“用户身份盗窃”,自2013年金雅拓首次开始追踪数据泄露事件至今,有关用户身份盗窃的记录占所有被盗记录的87%以上,比如2018 年发生的Facebook 和Twitter 事件,泄露的个人数据条数分别超过22 亿和3.36 亿。除了用户个人信息外,网络平台的财务数据也是泄露的大头,仅2018 年上半年泄露条数就高达3.59亿。①aronis.2018 Data Breach Investigations Report.https://info.varonis.com/hubfs/2018%20Varonis%20Global%20Data%20Risk%20Report.pdf.从安全性上来看,这些数据绝大多数未经过加密,或者仅是简单加密。国外有研究报告称,近年来网络平台泄露的数据只有不到百分之一的经过加密。Varonis 发布的《2018 年全球数据风险报告》分析发现,包括信用卡信息以及健康记录等在内的62 亿份文件中,有高达21%的文件是不受任何安全保护的开放文档,可供任何人访问。②aronis.2018 Data Breach Investigations Report.https://info.varonis.com/hubfs/2018%20Varonis%20Global%20Data%20Risk%20Report.pdf.
(二)犯罪主体:以匿名“黑客”为主,还包括一些网络平台内部工作人员
国外有关机构对网络平台数据泄露的犯罪主体组成情况进行了调查研究,得出的结论是:外部人员是数据泄露的罪魁祸首,占比75%,另外25%则是内部人员。③lare Ward,Nilesh Pritam.Cyber espionage and ransom ware attacks are on the increase warns the Verizon 2017 Data Breach Investigations Report,2017-04-27.上表所列13 例网络平台数据泄露案件所反映的完成印证了这一结论。以“黑客”为犯罪主体的案件数量达到11 起,其中匿名“黑客”作案6 起,他们攻击网络平台获取数据都是出于恶意目的。另外2 起案件则分别是由内部员工(“勾结前同事下载客户数据售卖换钱案”)或与公司有合作关系的“裙带机构”(“Facebook用户数据泄露事件”)引发的,他们故意泄露网络平台数据的犯意也是恶意的。前述国外机构调研结果还显示,内部人员造成的数据泄露事件有五成以上(56%)是出于故意,比如报复,或者是非法利用,其它情况则是由于疏忽等过失原因导致的。④aronis.2018 Data Breach Investigations Report.https://info.varonis.com/hubfs/2018%20Varonis%20Global%20Data%20Risk%20Report.pdf.
(三)犯罪方式:因不同犯罪主体而异,“黑客”主要是通过互联网发起网络攻击,内部人员更多的是违规操作窃密
前述国外有关机构对网络平台数据泄露的犯罪方式进行了调查研究,发现“黑客”通常采取“恶意手段”,这些“恶意手段”几乎包括了所有常见的网络攻击方式,比如恶意软件、WEB 攻击、拒绝服务、钓鱼和社会工程、恶意代码、勒索软件、僵尸网络。⑤onemon Institute.2017 COST OF CYBER CRIME STUDY-INEIGHTS ON THE SECURITY INVESTMENTS.https://www.accenture.com/t20171006T095146Z__w__/us-en/_acnmedia/PDF-62/Accenture-2017CostCybercrime-US-FINAL.pdf#zoom=50.上表所列11 起“黑客”作案的网络平台数据泄露案件,他们采取的手段正是一般“黑客”惯用的网络攻击方式,如“12306 数据泄露案”蒋某某、施某某使用的“撞库”攻击(属于典型的社会工程),“瑞智华胜数据窃取案”瑞智华胜使用的恶意程序攻击,“Uber大规模数据泄露事件”两名不知名“黑客”使用的非授权登录、“美国信用机构Equifax用户数据泄露事件”等6 起案件“黑客”使用的漏洞攻击。而内部人员往往以合法授权的方式非法窃取数据,这属于典型的监守自盗,或是将自身掌握的账号、密码、令牌等交由外部人员使用,非法登录授权访问网络平台的信息系统来获取数据。“勾结前同事下载客户数据售卖换钱案”龚某的犯罪方式就属于后一种,她把自己的账号、密码、Token 令牌提供给卫某某,以便卫某某非法登录公司后台系统盗取数据。
(四)犯罪结果:给网络平台和数据主体造成经济等方面的重大损失,违法者自身获取经济等方面的巨大利益
图1 网络平台数据泄露造成的犯罪结果
如上图所示,网络平台数据泄露事件会引起四种不同结果。这四种结果既有可能是单独发生,也有可能是在同一犯罪链条上前后相继发生。
一是直接侵犯数据主体的隐私权,进而造成数据主体的财产损失或者精神损失。比如“万豪喜达屋客户信息泄露事件”中的违法人利用泄露的数据伪造、盗用客户的信用卡。
二是导致网络平台遭受重大经济损失。比如“Facebook 数据泄露事件”曝光第二天(2018 年3月19 日),Facebook 股价就大跌7%,市值缩水360 多亿美元。“万豪喜达屋客户数据泄露事件”发生后,众多消费者向万豪提起诉讼,索赔金额高达125 亿美元。“Uber 大规模数据泄露事件”令Uber不得不支付1.48 亿美元给美国各州,以求事件和解。
三是违法主体自身获取经济利益、精神利益。第一种情况是犯罪主体直接销售牟利。上表案件中有4 起案件的违法人在非法获取网络平台数据后直接销售以换取金钱,比如“勾结前同事下载客户数据售卖换钱案”中犯罪嫌疑人薛某通过QQ 群寻找买家,将非法获取的客户数据出卖获利3.7万元;“华住数据泄露案”中犯罪嫌疑人刘某某在境外网站兜售泄露数据(未遂);“Saks 和Lord&Taylor 数据泄露事件”中黑客集团在暗网出售数据。第二种情况是犯罪主体向网络平台敲诈勒索。上表案件中有3 起案件的违法人利用数据泄露事件向拥有数据的网络平台进行敲诈勒索,比如“Uber大规模数据泄露事件”中Uber 公司被迫向黑客支付10 万美元以换取数据的安全;“Saks 和Lord &Taylor 数据泄露事件”中黑客警告Ticketfly 并要求其支付赎金。第三种情况是将泄露的数据作为犯罪工具继续从事其它犯罪。“瑞智华胜数据窃取案”中犯罪嫌疑人利用非法窃取的30 亿条用户数据,操控用户账号进行微博、微信、QQ、抖音等社交平台的加粉、刷量、加群、违规推广,非法获利,旗下一家公司一年营收就超过3000 万元。
四是造成一定的社会影响。上表案件中有5 起案件的违法人利用泄露的数据制造各类不良影响,其中典型的是“德国大型数据泄露事件”和“Facebook用户数据泄露事件”,前一案中违法者正是通过数据泄露发起“一次带有政治倾向的攻击,就是想让人名誉扫地”,后一案中违法者利用在Facebook 上获得的5000 万用户的个人资料数据,来创建档案、并在2016 美国总统大选期间针对这些人进行定向宣传,直接影响了大选进程。
二、网络平台数据泄露的犯罪成因分析
犯罪经济学理论的首创者是贝克尔。作为一名经济学家,贝克尔将犯罪“看作是一种重要活动或‘产业’”,认为“犯罪行为只是更为一般的理论的一部分”,“当某人从事违法行为的预期效用超过将时间及另外的资源用于从事其他活动所带来的效用时,此人便会从事违法,由此,一些人成为‘罪犯’……在于他们的利益同成本之间存在差异”。[10]易言之,理性的违法者(犯罪人)在决定是否实施犯罪行为时,都会考虑并计算犯罪的收益和成本,权衡利弊得失,并最终决定是否犯罪以及采用何种方式来实施犯罪。[11]具体来说,违法者考虑的犯罪收益主要是因犯罪而获得的利益,包括经济收益、精神收益以及其它各种利益;考虑的犯罪成本则主要包括两个方面,一方面是为确保犯罪活动圆满完成而支付的“投资性”成本,包括为实施犯罪所做的物质准备、完成犯罪的难易程度等;另一方面是由于实施犯罪行为而受到的“惩罚性”成本,比如逃避逮捕的机会、定罪可能性以及判定有罪后的惩罚等。下面按照这三个大的方面对网络平台数据泄露的犯罪成因进行详细分析。
(一)网络平台数据泄露犯罪的收益:高
信息技术的发展和普及,使得网络数据逐渐成为极为重要的生产要素之一。由于信息技术革命所带来的生产生活方式的根本性转变,以能源、资本为核心的工业时代的经济发展模式,已经开始向着以网络大数据及其控制权为核心的经济发展模式转变。在这一变革过程中,形式各异的网络数据将逐步成为生产生活的重要组成内容,并逐渐被赋予更多的经济价值。[12]特别是网络平台中大量集中存储的个人信息数据、企业财务数据,具有“含金量”非常高。正如法彦有云:有利益的地方就有犯罪人。贝卡里亚也认为,“个人之所以为自己的享乐而破坏社会契约,是因为支配其行为的是‘物质和精神世界所共有的涣散原则’。”[13]违法者选择实施网络平台数据泄露犯罪,也是出于非法获取利益的考虑。
从类型上看,这些利益至少包括:(1)经济利益。根据Verizon 发布的《2018 年数据泄露调查报告》(DBIR,2018 Data Breach Investigations Report)显示,2018 年发生的数据泄露事件,有76%都是由于违法者为了获取经济利益而制造的,①erizon.2018 Data Breach Investigations Report,11th edition.https://enterprise.verizon.com/resources/reports/DBIR_2018_Report_execsummary.pdf.这一比例较2017 年上升约两成。通过出售或者非法利用泄露网络平台数据,违法者可以获取到巨额的经济利益。(2)政治利益。违法者可以利用泄露的网络平台数据制造某些政治影响,达到一定的政治目的。最典型的就是“Facebook 用户数据泄露事件”,据《纽约时报》《卫报》等报道,从2014 年起,由两位特朗普的支持者Robert Mercer 和史蒂夫·班农(前白宫首席策略师)作为幕后人士的Cambridge Analytica,利用Facebook 的开放平台协议获取了超过5000 万用户的资料(其中大部分是美国选民),从而帮助特朗普在2016 年的大选中获胜。②《Facebook 数据泄漏事件始末,以及我们应该从中思考些什么?》,https://www.sohu.com/a/226232509_465303,2020 年12 月10 日访问。作为一款知名网络社交平台,Facebook的用户大数据能够快速关联更多用户的数据,进而被利用来分析用户们的行为模式、性格特征、价值观取向、成长经历,然后有针对性地推送信息和竞选广告,以影响美国选民在竞选中的投票。(3)精神需要。除了上述两种情况外,还有一部分违法者策划、实施网络平台数据泄露犯罪是为了情感的刺激和精神的满足,这和早期“黑客”犯罪的目的极为相似。早期的“黑客”更多的是出于技术挑战、戏谑取趣和捣乱破坏的目的而实施网络攻击行为。[14]由于网络平台数据涉及用户数量多,一旦公开影响面广,“黑客”才会利用这些数据作为威胁、泄愤的筹码。比如“CSDN 网站用户信息泄露案”的犯罪嫌疑人曾某曾在网站发帖自曝掌握CSDN 数据库,要求与该公司合作未果,才将600 余万个明文注册邮箱账号和密码在网上公开,引起网民的极大关注,正好也满足了自己从报复之心。
从难易程度上看,在全球化网络化环境下,违法者可以利用互联网等技术条件“安全快捷”地获取利益。“安全”是指出售或者非法利用网络平台数据的途径安全,通过互联网等网络交易平台,违法者既可以在不露面的情况下与对方进行数据交易,又可以与网络平台有关人员联系,实施敲诈勒索。“快捷”是指非法交易或非法利用的速度快,收益转化快。以非法交易网络平台泄露数据为例,随着“暗网”的崛起,①所谓“暗网”(Deep Web,又译“深层网络”),是与“明网”(Surface Web,又译“表层网络”)相对的互联网部分。“明网”指的是通过超链接可以被传统搜索引擎(如百度)搜索到的页面的集合;而“暗网”则是搜索引擎无法搜索到的部分,包括各种存储在数据库里的资料,还有需要注册才能浏览的论坛页面等,这个部分要比“明网”巨大得多。违法者充分利用其匿名和虚拟货币交易不受监管的特质,搭建了一个更为安全、便利的销售网络平台数据的“市场”。近年来报道的“华住数据泄露案”、“800 万条ACfun 网站用户数据泄露事件”、“1.27 亿条Ixigo、Houzz 等8 个网络平台数据泄露事件”中,违法者都是利用“暗网”发布买卖信息,进行非法交易的。这些交易使用的货币不再是现实社会流通的传统货币,而是比特币。
从大小上看,违法者能够通过网络平台数据泄露犯罪获取的利益是十分巨大的。前述案例分析已有显示。再以通过暗网销售网络平台泄露数据事件为例,“华住数据泄露案”中的数据标价为8 个比特币(约合5.6 万美元),“800 万条ACfun网站用户数据泄露事件”中的数据售价为1.2 万人民币,“1.27 亿条Ixigo、Houzz等8 个网络平台数据泄露事件”中的数据售价是2.909 比特币(约合1.45 万美元)。至于违法者通过网络平台数据泄露获取的政治利益更是惊人,比如“Facebook 用户数据泄露事件”中,Cambridge Analytica通过对非法获取的用户数据进行分析和利用,改变了美国大选的结果,帮助特朗普反败为胜,这种政治获利是无法用金钱估量的。
(二)网络平台数据泄露犯罪的“投资性”成本:低
犯罪经济学认为,在违法者考虑的犯罪成本中,有一部分是在准备和实施犯罪活动以及承担犯罪后果时,必须付出或可能付出的人力、物力、财力资源成本和时间机会成本,以及行为性成本、智能成本和心理感受成本。[15]试想,如果实施某一犯罪既容易上手又容易得手,那违法者还不趋之若鹜?从这一角度考察,违反者会毫不犹豫地选择实施网络平台数据泄露犯罪主要是以下两个方面的原因。
一方面容易上手。对于网络平台外部的“黑客”而言,实施网络平台数据泄露犯罪“易如反掌”。第一,攻击技能是“天生”的。“黑客”通常是指“对于计算机及计算机网络内部系统运作特别感兴趣并且有深入理解能力的一种人”,②FC1392,the Internet Users'Glossary,usefully amplifies this as:A person who delights in having an intimate understanding of the internal workings of a system,computers and computer networks in particular.他们往往热心于计算机技术、水平高超,能很容易地实施入侵网络平台数据库、流量分析等非法行为。第二,攻击工具和方法是现成的。比如“特洛伊木马”、邮件炸弹、网络嗅探器等黑客工具都能在互联网上免费下载或是付费购买到,还有一些专门的互联网站甚至是“黑客学校”为希望成为“黑客”的热衷者传授技术知识、提供技术支持。[16]第三,心理感受是轻松的。作为网络犯罪的一种,网络空间的虚拟性和匿名性本身也给涉案人员带来犯罪行为非常隐蔽的心理感受,[17]相比杀人、强奸、抢劫等传统暴力犯罪,心理承受的压力和罪恶感要轻很多。[18]对于网络平台内部的人员而言,实施网络平台数据泄露犯罪就是“监守自盗”。他们本是网络平台的合法授权者,按照工作职责理应掌握网络平台相关服务器的数据获取权限,但是出于报复泄愤或是图取私利的目的,他们既可以自己使用合法授权身份登录网络平台服务器,获取数据,如“Facebook用户数据泄露事件”中的Cambridge Analytica 利用“thisismydigitallife”应用获取Facebook 数据库中的用户数据;也可以将自己的合法授权身份借予他人,“伪”授权后登录网络平台服务器,获取收据,如“勾结前同事下载客户数据售卖换钱案”中的龚某将自己在该网络公司内部管理开发系统的账号、密码、Token 令牌违规提供给卫某某。
另一方面容易得手。从网络攻击窃密的角度看,第一,相对“黑客”的网络攻击技术,网络平台安全技术防护往往显得十分薄弱,“道高一尺魔高一丈”。比如“瑞智华胜数据窃取案”中,瑞智华胜将自主编写的恶意程序放在运营商内部的服务器上,自动对用户流量进行清洗,相关运营商对此却毫不知情,也没有启动任何自动防御措施。第二,部分网络平台疏于安全管理,平台存在没有及时修补的漏洞,容易被“趁虚而入”。前文表1 所列13 个案例中,有8 例都是因为网络平台存在漏洞而遭“黑客”攻击。更为严重的是,有些网络平台在明知自身存在安全漏洞的情况下,依然视而不见,不采取任何修复补救措施,造成更加严重的数据泄露结果。2018 年4 月,美国面包连锁店Panerabread旗下网站panerabread.com 泄露了3700 万用户信息。随后,安全机构KrebsOnSecurity 表示,他们在早在2017 年8 月2 日就曾发现了Panerabread 网站的漏洞,告知对方后并没有进行及时修复,造成数据持续泄露超过8 个月的严重结果。第三,网络平台中的数据都是集中存储,容易被“一网打尽”。在现有主流技术环境下,网络平台中包括许多数据库应用和应用服务器在内的应用都是直接连接到存储器上的,相关数据也是传输并集中存储在其中的。这就导致存储服务器一旦被非法入侵,里面存储和传输其中的数据就全部失去保护,可以被违法者尽收囊中。前文表1 所列案例都是这种情况。第四,部分网络平台疏于内部管理,给了违法者泄露数据的可乘之机。比如前述“Uber 大规模数据泄露事件”,Uber 在一个外部代码托管网站存储工程师在AWS 上的账号密码;“南非Dracore Data Sciences 数据泄露事件”,该企业该的GoVault 平台居然有一台完全未经保护的Web 服务器。第五,绝大多数网络平台数据未加密,一旦泄露毫无秘密可言,对用户来说就容易被“一览无余”。基于信息安全考虑,数据加密技术通常用于增强数据库内部和外部的安全性,防止数据被破译。[19]前文表1 所列案例所涉泄露的网络平台数据都没有经过加密,因此泄露即公开,违法者可以随意利用这些数据从事任何违法活动。
表1 国内外大型网络平台数据泄露事件(案件)基本情况
(续表)
除了以上因素外,大量的非法地下交易市场和专业化的分工让违法者非法获取到泄露的网络平台数据后能够很快地“零成本”销赃套现。比如暗网销售交易、电信诈骗、信用卡诈骗等各成体系、大行其道,使得违法者没有“后顾之忧”,只要泄露数据在手,完全不用考虑也不用花时间费精力在如何用数据“换钱”“逐利”上面。
(三)网络平台数据泄露犯罪的“惩罚性”成本:低
贝克尔在其《犯罪与惩罚》一文中提出,违法同逃避逮捕的机会、定罪可能性以及判定有罪后的惩罚也是存在着某种关联。这种关联可以表述为:逃避逮捕的机会越大、定罪可能性越低、判定有罪后的惩罚越轻,违法者选择违法的可能性越大。[20]也就是说,实施犯罪的“惩罚性”成本越低,比如实施犯罪后如果很容易就逃脱法律惩罚,或是只需要承担较轻的刑罚,违法者就越容易甘冒风险去实施犯罪。对比分析这三个因素不难发现,在现有刑事司法环境下,实施网络平台数据泄露犯罪的“惩罚性”成本是相对较低的。
第一,逃避逮捕的机会大。作为一种网络犯罪,网络数据泄露具有极强的隐蔽性,通常较难被发现。由于网络平台数据的易复制性,导致“盗窃”或者是“泄露”数据的行为中缺少“占有”要素,数据被盗了、泄露了,不像盗窃传统的钱包、钞票等可见有形物会发生转移,容易被发现,容易被监控。Ponemon《2018 年度数据泄露成本分析报告》显示,过去一年对于数据泄露事件的MTT(I平均识别/发现时间)是197 天,①onemon Institute.2017 COST OF CYBER CRIME STUDY-INEIGHTS ON THE SECURITY INVESTMENTS. https://www.accenture.com/t20171006T095146Z__w__/us-en/_acnmedia/PDF-62/Accenture-2017CostCybercrime-US-FINAL.pdf#zoom=50.也就是说,网络平台数据泄露事件往往需要半年甚至更长时间才能被发现,这种情况下违法者不仅能在这段很长时间里导致更多数据泄露,而且能够顺利完成后续的违法犯罪行为,最后“全身而退”。“时间是侦查计算机相关犯罪的一个重要因素”,必须采取足够迅速的侦查手段以获取网络犯罪的证据,否则就会因计算机数据“转瞬即逝”的本质特征影响案件侦查。[21]退一步说,即便网络数据泄露事件被网络平台或是有关监管机构发现了,但发动网络攻击的外部违法者是“黑客”,并且很多是故意匿名的“黑客”,他们利用计算机网络隐藏自己的身份,或者利用“跳板”技术、“僵尸网络”隐藏攻击源,用一般的侦查手段难以“追根溯源”,精准定位,违法者就可以在开放性、分散性极强的互联网络中“逃之夭夭”。前文表1 所列案例中凡是“匿名黑客”作案的,都没有逮捕到犯罪嫌疑人,因此国外这类案件都只是定性为网络平台数据泄露事件,而没有以“犯罪”论。
第二,定罪可能性偏低。在网络攻击引起的网络平台数据泄露事件中,由于互联网数据传输速度极快,人们可以轻易删除、改变或移动数据的位置;“记录文件”(log files)即使存在,也只是保存在有限的时间内;显示交流链条(chain of communication)来源和路径的“往来数据”也只是短期保存。这种紧张关系给有效的侦查造成严重的后果。在刑事追诉中,必须确认犯罪行为人,并提供其犯罪行为的确凿证据。[22]因此,在司法实践中,司法机关会因为缺少足够的证据而影响对网络平台数据泄露事件的定罪。比如表1 所列案例中的“德国大型数据泄露事件”,尽管德国联邦刑警局BKA 已将该事件定性为犯罪,多个部门已联合对该案展开调查,也抓获了一名犯罪嫌疑人,但是对于犯罪主体到底是“黑客团队”还是个人,作案目的到底是出于政治动机还是其它,犯罪方式到底是攻击某些大型数据库还是攻击个人账号并整合相关信息,都没有准确一致的定论。
第三,即便判定有罪,违法者所受的惩罚也不是很重。从我国刑法立法现状来看,网络平台数据泄露犯罪可适用的法条有:第253 条之一“侵犯公民个人信息罪”、第285 条第1 款“非法侵入计算机信息系统罪”、第2 款“非法获取计算机信息系统数据罪”。这三项罪名的量刑上限都不高,“侵犯公民个人信息罪”最高刑期为七年,“非法侵入计算机信息系统罪”最高刑期为三年,“非法获取计算机信息系统数据罪”最高刑期为七年。尽管这三款罪名都可以并处罚金,但是相对大规模网络平台数据泄露已经造成和可能造成的潜在社会危害来说,都显失衡。
三、网络平台数据泄露犯罪的防控对策
贝克尔的犯罪经济学,“研究的方法是建立违法造成的社会损失的公式,并找出使这一损失减至最低的资源支出与惩罚规模的公式”。[23]对于犯罪人来讲,犯罪是一种高风险投资,是成本分析的结果。犯罪人在实施犯罪行为以前是要充分评估其犯罪成本的,犯罪活动是犯罪人权衡犯罪的收益与犯罪的成本之后做出的选择。如果犯罪的收益大于犯罪的成本,潜在犯罪人就很有可能选择犯罪,成为现实的犯罪人。如果犯罪所付出的成本远远超过犯罪所获得的收益,潜在犯罪人就很有可能不会选择犯罪。所以,降低犯罪收益,增加犯罪成本,是减少潜在犯罪人成为现实犯罪人的最优之策。
对网络平台数据泄露犯罪而言,降低犯罪收益的难度较大。因为随着社会发展,网络平台数据的价值只会越来越大,数量只会越来越多。不能单纯寄希望于网络平台数据量减小、价值降低以达到预防和控制网络平台数据泄露犯罪的目的,因为这会在一定程度上影响网络平台正常运营。能争取做到的是在控制网络平台存储、管理数据的数量和价值基础之上,切断网络平台数据泄露后的价值“兑现”之路,降低乃至彻底消减泄露的网络平台数据价值,而这一“兑现”之路实际上反映为违法者销赃的过程,在犯罪经济学理论中属于“投资性”成本的范畴。而与降低犯罪收益较为困难相比,提高网络平台数据泄露犯罪的成本则相对容易。因为无论是“投资性”成本,还是“惩罚性”成本,都与网络平台数据自身价值无关,控制这两类成本不会对网络平台生存以及经济社会发展产生不良影响。因此,我国可以按照“适当降低犯罪收益、尽量增加犯罪成本”的原则,制定网络平台数据泄露犯罪的防控对策。
(一)适当降低犯罪收益:控制网络平台数据的再利用价值,打击下游犯罪
从上文对犯罪结果的分析来看,利用网络平台数据的价值实施后续犯罪行为才是网络平台数据泄露真正造成社会危害的主要原因,真正体现违法者的主观恶性。因此,应当切断网络平台数据泄露的后续延伸,防止数据价值“兑现”,从而降低违法者能够通过网络平台数据泄露犯罪获取的收益,让其即使非法获取到网络平台数据,也仅仅只是一堆含金量极地甚至根本无法再利用的数据而已,最终产生犯罪收益太低、“犯不着”去实施犯罪的认识,起到积极预防网络平台数据泄露犯罪的作用。基于上述考虑,建议从以下两个方面着手来降低网络平台数据泄露犯罪的收益。
一方面需要控制网络平台数据的再利用价值。通过要求网络平台履行一定的数据保护义务,减小网络平台获取并管理用户数据的数量,防止其无限度地获取用户数据。这样即便发生数据泄露事件,因为数据关联主体的数量和价值都不大,就尽可能地降低了数据泄露的影响范围和危害程度,犯罪收益自然也就随之降低。我国《网络安全法》第四章“网络信息安全”对网络运营者的用户个人信息的保密、收集、使用义务作出了较为明确的规定,应当严格遵守。除此之外,建议适当参考欧盟General Data Protection Regulation(GDPR),进一步强调网络平台个人数据的收集、处理规则,①DPR 第6 条规定,只有符合以下条件之一,收集、处理个人数据的行为才是合法的:用户为了一个或者多个明确目的,同意处理其个人数据;为了履行用户与企业之间的合同必须处理其个人数据,或者为了基于用户请求而签订合同必须处理其个人数据;处理行为对于企业遵守其所负担的法律义务是必要的;处理个人数据是为了保护该用户或者其他自然人的重大利益;处理个人数据是为了公共利益;处理行为对于企业或者第三方所追求的合法利益目的是必要的,除非该利益屈从于需要保护其个人数据的自然人的利益或者基本权利和自由,尤其是当其是儿童时。此外,对于表征人种或者种族起源、政治意见、宗教或者哲学信仰、商会会员、基因、生物特征、健康状况、性生活等事项的特殊类别的个人数据(个人敏感数据),除非获得用户明确同意,或者具有其他正当理由,否则禁止收集、处理上述个人数据。增加通过设计以默认方式保护数据的义务(参考GDPR 第25 条)和通知受到实质性影响的用户的个人数据泄露的通知义务(参考GDPR 第34 条)。增加前一义务意在通过“假名化”等方式保护数据,确保个人信息不被归属到一个已被识别或者可被识别的自然人;增加后一义务意在及时通知相关用户已经发生数据泄露,可以提醒用户及时修改某些个人关键数据,比如银行卡密码。
另一方面要严厉打击下游犯罪。在难易程度上,打击冒头的下游犯罪远比打击隐藏深、发现难的网络平台数据泄露犯罪要容易得多,无论是违法者利用网络平台数据泄露敲诈勒索网络平台,还是进行非法传播、非法销售、信用卡诈骗、电信诈骗等,这些都是“面上”的犯罪,看得见、抓得着,易侦察、易追诉、易定罪、易处罚。建议司法机关加大对涉及网络平台数据相关犯罪的打击力度,这些犯罪主要包括:利用网络平台数据对网络平台实施的敲诈勒索罪;故意传播网络平台数据构成的侮辱罪;非法销售网络平台数据构成的侵犯公民个人信息罪;非法使用网络平台数据构成的盗窃罪、诈骗罪、信用卡诈骗罪。值得重点关注的是对暗网非法交易网络平台数据犯罪的打击。前文分析了暗网作为违法者进行网络平台泄露数据非法交易的原因及其危害,由于暗网服务器都在境外,涉及交易双方也在全球分布,建议采取国际合作的方式打击地下黑市、震慑暗网数据非法交易。[24]
(二)提高犯罪的“投资性”成本:强化网络平台数据保护责任,打击上游犯罪
无论采用哪种行为方式,要使网络平台数据泄露,都必须突破网络平台技术或者管理方面的安全保护屏障,这就需要违法者为实施犯罪付出相应的“投资性”成本。如果让网络平台的安全保护屏障“加固”,同时不让违法者轻易得到攻破屏障的技术方法或者是授权,更不能如“探囊取物”般轻易导致数据泄露,在这种“彼长此消”的对比中,违法者无法利用自身掌握的或是能够获取的技能、手段成功实施犯罪,产生不了数据泄露的结果,徒劳无功“不能犯”,自然就不再策划实施犯罪“不想犯”。
首先要切实强化网络平台的数据保护责任。网络平台数据的实际控制和管理者是网络平台,理应承担数据保护的责任,做好具体工作,让违法者既无法通过外部网络攻击的方式制造网络平台数据泄露事件,又难以在内部实施违规操作使网络平台数据泄露。按照现有法律法规并借鉴域外有关立法规定,提出如下两点建议。
第一,要求网络平台落实数据保护措施。按照《网络安全法》和《信息安全等级保护管理办法》等现有法律法规并借鉴域外有关立法规定,建议网络平台从管理和技术两个维度加强对网络平台内存储、处理、传输的数据的保护。管理方面,基本原则是要落实信息安全等级保护制度,要制定网络平台内部安全管理制度和操作规程,落实网络安全保护责任,重点加强对网络平台所属各应用系统、数据库使用、管理人员的教育和管理,增强合规意识。技术方面,重点采取防火墙、病毒查杀等技术措施,防范计算机病毒和网络攻击、网络侵入等危害网络安全的外部行为,以及身份鉴别、访问控制等技术措施,防范非授权获取登录、非授权访问数据等危害数据安全的内部行为;同时采取数据传输加密、数据存储加密、数据完整性鉴别和密钥管理技术,提高网络平台和数据的安全性和保密性,防止数据被外部非授权获取后破译;建议还要积极采用安全分析、UEBA、安全编排与自动化(SOA)、机器学习等新兴技术,最终实现低投入、高回报的安全技术投资效益。①onemon Institute.2017 COST OF CYBER CRIME STUDY-INEIGHTS ON THE SECURITY INVESTMENTS. https://www.accenture.com/t20171006T095146Z__w__/us-en/_acnmedia/PDF-62/Accenture-2017CostCybercrime-US-FINAL.pdf#zoom=50.
第二,加重网络平台数据泄露的法律责任。通过加重网络平台因数据泄露而承担的法律责任,威慑、警示、引导、教育网络平台遵守有关规定。对因拒不履行法律、行政法规规定的信息网络安全管理义务,致使用户数据泄露,构成犯罪的,应当依照刑法第286 条之一“拒不履行网络安全管理义务罪”的规定对网络平台进行相应处罚。对因调查取证存在困难无法证明相关犯罪事实的,可以依照《网络安全法》第59 条对出现数据泄露事件的网络平台进行行政处罚。但是鉴于当前网络平台在经济社会中的重要地位,建议借鉴GDPR 的立法经验,提高网络平台违规的经济处罚标准,①DPR 第83 条规定,对于违反GDPR 的行为,严重违规者将被处以最高达2000 万欧元或该企业全球年营业额的4%(以两者较高者为准)的行政罚款;一般违规者将被处以最高达1000 万欧元或该企业全球年营业额的2%(以两者较高者为准)的行政罚款。以便更好起到威慑和警示力度,提高网络平台对履行网络安全保护义务必要性和紧迫性的认识。
同时要坚决打击网络平台数据泄露上游犯罪。网络平台数据泄露的上游犯罪是指为危害网络平台数据安全犯罪行为提供用于破坏计算机信息系统功能、入侵计算机信息系统的程序、工具或者技术帮助的行为。如前文分析的,这类行为极大降低了网络平台数据泄露的难度,因此,应当坚决打击这类犯罪行为:一是充分利用刑法第285 条第3 款“提供侵入、非法控制计算机信息系统的程序、工具罪”和第287 条之二“帮助网络犯罪活动罪”,严厉打击提供黑客工具、传授黑客技术、租借“僵尸网络”、出售网络漏洞信息等违法犯罪行为。二是加强网络治理,及时清理黑客网站、论坛、群组以及发布的相关信息。
(三)提高犯罪的“惩罚性”成本:增强网络平台数据泄露监测预警和有关部门的技术侦查能力
提高犯罪“惩罚性”成本的目的是为了让违法者不敢冒被逮捕和定罪的风险去实施违法行为。违法者一旦认识到其实施违法行为后越是容易被迅速逮捕,越是容易按照司法程序定罪处罚,那么他就不会冒这个风险,从而放弃实施犯罪。至于犯罪后所受刑罚的严厉程度对违法者违法行为的影响,贝克尔认为,在既有刑法立法前提下,“人们认为违法行为对定罪可能性变化的反应比对惩罚的反应更为敏感”,“定罪可能性比罪行惩罚更有威慑力”。[25]综上,建议从该事件能否被及时发现(逃避追捕)和犯罪证据能否被有效获取两方面入手来提高网络平台数据泄露的犯罪“惩罚性”成本,让违法者不敢选择实施犯罪。具体提出如下两点建议。
一是提高网络平台的监测预警能力,及时发现网络平台数据泄露事件。网络平台对数据泄露的发生具有第一时间感知和发现的能力,从技术实现上考虑,主要是要增强网络平台的入侵检测能力。入侵检测是“对企图入侵、正在进行的入侵或已经发生的入侵进行识别的过程”,[26]通过从网络平台的若干关键点收集信息并进行分析,能够及时准确地中发现网络平台中的内部人员违规操作和针对平台的外部网络攻击。建议落实网络安全态势感知监测预警措施,建设网络安全防护管理平台,对网络运行状态、网络流量、用户行为、网络安全案事件等进行动态监测分析,并与同级公安机关对接,按照规定向同级公安机关报送网络安全监测预警信息,报告网络安全事件。②年6 月公安部公布的《网络安全等级保护条例(征求意见稿)》第24 条、第30 条对第三级以上网络运营者应当履行的网络安全态势感知监测预警义务提出了明确要求。
二是提高公安等部门的技术侦查能力,及时锁定犯罪对象,有效获取犯罪证据,便于实施对违法者的逮捕、起诉。此外,基于网络平台的技术能力和协助公安部门侦破案件的需要,有必要强化网络平台的协助调查义务。建议要求网络平台在处置网络安全事件的同时应当保护好现场,记录并留存相关数据信息并对公安机关依法进行案件调查提供支持和协助。
