腾云下午茶 | 对个人信息贩卖如何说NO？

微信邦

谈到网络黑产，他们说，网络黑产违法成本低、惩处难、收益高，是全球灾难和时代之痛；

谈到个人信息泄露，他们说，市场上有34%的移动应用要求不必要的数据权限去挖掘用户数据；

3月10日下午，在腾讯互联网与社会研究中心组织的“个人信息贩卖如何说NO”研讨会上，中国社科院法学研究所研究员周汉华、上海金融与法律研究院研究员傅蔚冈、益云社会创新中心& IDF互联网威胁情报实验室联合创始人万涛等专家学者一起，深入讨论如何做好打击网络黑产贩卖个人信息问题。

会上，专家学者们给互联网行业提出了几点建议：

1

要抓源头、分管道来整治网络黑产。无论是商业公司还是政府，收集数据要遵循和落实最小收集原则；

2

立法不严、执法不力和实名制大面积存在造成大面积的个人信息泄露和贩卖，单靠腾讯或任何一家商业公司无法独立解决；

3

建议将个人信息安全纳入人格权，从立法上加大惩处力度，进行责任分层，让政府、行业、公司、社会各级主体都负起责任，协力维护信息安全；

4

要有章法地寻求管制思路上的突破，打击去中心化的网络黑产时也要去中心化，进行网络统一化的评估，建立高效汇集报案渠道数据的机制；

5

腾讯要将打击个人信息泄露的隐患与风险摆在企业发展战略的关键位置，加大与警方的合作，打击qq群个人信息贩卖；

专家学者们还提出了更多的问题和思考角度：网络实名制到底是打击网络黑产的良方，还是制造了更多不必要的个人信息？消费者为了获得便利服务是否必须让渡个人隐私？

以下是研讨会嘉宾发言集锦，经 腾云 整理。

万涛

益云（公益互联网）社会创新中心 & IDF互联网威胁情报实验室联合创始人

网络黑产至少有十年以上的历史。过去互联网跟人们的财富关联还不紧密，网络黑产对财产安全的影响比较小，随着第三方支付、互联网金融的兴起，线上线下结合程度提高了，互联网用户的线上行为与其财产安全、人身安全的关联越来越紧密。如今，网络黑产呈现出了去中心化的趋势，他们只以利益为驱动力，无组织，运作更加灵活，作案模式更加多样。面对网络黑产“与时俱进”的“业务创新”和网络的无边界性，打击网络黑产的安全部门仍遵循传统的划区分管的思路，在操作上比较被动，容易错过时机，线索的汇聚过于滞后。打击网络黑产的第一个问题就是如何进行网络统一化评估，建立高效汇聚报案渠道数据的机制，避免由于数据汇聚滞后带来的执法滞后。

此外，由于网络的无边界性，黑产活动的线索分布零散，如无各数据平台的安全协同或难有效打击网络黑产。政府应该牵头，从行业自律或建立配套的法律机制，实现互联网厂商的安全团队之间的线索信息共享和安全协同，减少安全团队对安全协同的风险规避行为。而且，数据汇聚不仅仅是要将数据叠加起来去破案，还应该从预防上入手，利用大数据对受害人和受害场景进行画像，明确易感人群和场景，在后期做有针对性的安全推送提醒等安全措施。

安全是一个与数据紧密关联的领域，在打击网络犯罪上我们应利用好大数据的优势。

      周汉华

中国社科院法学研究所研究员、国家信息化专家咨询委员会委员  

中国的个人信息泄露是一个严重的问题，规模远超发达国家，但是用户对这个问题的感知程度却远远低于发达国家。这是因为我们的互联网渗透率比发达国家要低，互联网应用要滞后一点。在西方的互联网渗透率高，同时用户的不安全感也高，因此使用电子商务和进行网络社会交往的程度要低于我国。由此可以推论，网络安全问题作为网络发展的基础性工作，会影响到网络社会和数字经济的进一步发展，甚至形成阻碍作用。

大数据时代数据并不是越大越好、越多越好。大数据最好的防护是遵循最小采集的理念，不该要的别要，减少个人数据在市场主体或公信力主体处的汇聚，以免增加用户的不安全感。数据自决是发达国家处理数据安全问题的一个共识，即我的数据应该由我来控制。公信力主体和市场主体要反思自己业务的需求，要保存多少、多久用户的信息，这些信息与业务有多大关联、经济价值有多大。要明白，数据采集的多了，给用户增加了麻烦，给自己也增加了安全负担。

吴闯

中央电视台社会新闻部政法部制片人

公安部建立专案组、网安局、刑侦局，并不是解决个人信息贩卖的唯一解决方案。立法再严，也需要执法到位才能立而有效。

个人信息黑产有交易闭环，卖方、买方和诈骗人员，还有提供数据的一方。我们要让他们拿不到数据，让闭环出现缺口，让他们卖数据的成本和风险增加，那么黑产作案的人会相应减少。

对于腾讯提倡协力打击个人信息贩卖，建议有三：一是腾讯要将打击个人信息泄露的隐患和风险摆在企业发展战略的关键位置，全力去做；二是从技术上可以用更好的实名制方式，让骗子无法心存侥幸，以为可以匿名做坏事，在安全技术突破上应该走在骗子的前面。三是跟警方、舆论监督的配合，互联网公司要拿出情怀和胸襟来，进一步加大加强和警方的合作。

傅蔚冈

上海金融与法律研究院研究员

取消大规模的实名制应该成为解决网络安全问题的一个选项。现在的许多问题都是由实名制带来的，我们应该反思实名制是否必要，权衡利弊。无论是市场主体还是公信力主体都要坚持最少原则，限制采集的信息量，减少泄露风险。尤其是身份信息，它的辨识度高而且含信息量大，一旦泄露会给用户带来巨大的潜在消极影响。因此我们应该严格限制对实名制带来的公民身份信息的使用。

实名制大面积存在带来的个人信息泄露问题，是一家商业公司是解决不了的。政府应该在法律法规上重新规划实名制的应用，并对实名制应用的场所进行更加严格的管理和限制，权衡集体安全和公民隐私。如果对实名制和身份信息的使用进行有效的管理和限制，消费者在面临的对便利和安全的需求的平衡和选择时也可以少点忧虑。

洪波

互联网评论人

在拒绝个人信息贩卖问题上，腾讯或任何一家商业公司都无法独力解决。这个问题还是要靠好的制度的有效执行和社会的共同合力。因为一家商业公司的优先级是产品体验，而不是利用他们产品或平台犯罪的人。查处和打击网络犯罪既不在他们的职责范围之内，也不在他们的能力范围之内。一家商业公司能做的是，积极配合协助公检法，提供有效信息线索尽快破案。将电信诈骗、网络诈骗归罪于电信运营商或互联网公司是只见森林不见树木的做法。电信、网络诈骗的泛滥是宏观环境的问题，比如在别的国家或地区的诈骗案没有中国大陆这么多，他们的立法环境和执法环境是能有效遏制诈骗行为的。然而，在中国大陆的立法环境和执法都不到位的情况下，咎责技术公司或运营公司并不合理。

石强

纪录片《互联网时代》总导演

网络黑产既是全球灾难也是时代之痛，它带给我们的挑战是巨大的。

网络黑产违法成本低，惩处难，前所未见。因为网络黑产只需要一根网线，一个手机，可以跟全球的其他不法分子一起分工协作犯罪，加上违法后果也低，就是判几年，所以案件层出不穷。公安的侦查工作所需要调用的人力和资源成本却远远高于这些团队，有心无力。

个人信息安全的边界变得很模糊。现在人们越来越依赖智能手机，未来可能还会有智能家居、基因图谱等等高科技产品，它们基本能获悉我们的一切。这就是所谓的要享受更好的服务，就必须要出让更多的隐私；

而中国在关于个人信息安全方面的立法滞后。在大多数国际立法上个人信息是作为人基本权利被保护的，而我国的《个人信息保护法》虽然在 2004 年就已经完成草案了，但从此却就没有任何的消息。国内人们要求删除自己网上的个人信息很难，有时候连修改都不可以。

人们对网络犯罪的治理方法的讨论有很多。有人提议过实施网络管理实名制，但韩国试过实名制，最终还是放弃了。腾讯到了今天，也需要承担起更多的社会责任，同时希望互联网协会，包括互联网发展基金，都能够有所作为。政府角色，企业角色，行业角色，公共角色在打击网络黑产、维护信息安全方面应该四位一体，反攻协作。

沈浩

中国传媒大学新闻学院教授 / 博士

我们谈个人信息贩卖的时候要明确所指的是个人数据还是个人信息。像市场行业常常需要用客户数据进行调研，从商业的角度来讲，商家希望获得我们消费者更多的信息，从而提供个性化服务，这既是现在大数据存在的价值，也是消费者所喜欢的。但是另一方面，从消费者的立场看，他们希望自己的消费行为是纯个人行为，不希望被曝光。但这又和个性化服务的需求形成悖论。

不过现在的信息诈骗也讲究个性化，它们叫做精准诈骗。精准诈骗通常是团伙作案，甚至全村总动员，他们还掌握了技术，先是向互联网采集个人信息，再用电脑控制几千部手机来进行机械作案，可以说是道高一尺，魔高一丈。

我觉得，一方面相关部门应该加大力度去惩处这类案件，另一方面，个人也要努力。提高警惕性，同时，积极标注诈骗电话，防止更多人受骗。

马旗戟

国家广告研究院研究员

首先，社会在发展，发展的过程中会碰到很多问题，但问题多不表示社会没有在进步。而我觉得这十几年探索以来，国家无论是在个人信息保护法，还是个人信息的传递列入民法总则上面，总体是在进步的。立法是集中性的立法，但仅聚焦立法是不够的，还要进行责任分层。在个人信息安全方面，不但国家相关的部门、部委和相关的司法机构等有管理责任，相关的互联网公司乃至参与到互联网整个社会经济行为各级主体都要负起责任的。

然后，个人的身份证信息不是有害信息，但它可以被有害使用，所以信息的生产、交易流通和使用，和有形产品在市场当中链条的范式是完全不同的。我们现阶段个人信息泄露的最大问题在交易流通环节，而不是生产环节，有害信息不像有形商品被缴获就没了，它只要存在就会无法杜绝。从某种程度上讲，互联网所有的终端和平台，都需要被全面监控，才能很好地解决信息泄露问题。

还有就是管治思路上需要更有章法。大部分人研究这类问题都缺乏理论检验和实际操作，其实个人信息保护上有很多原则，比如安全与责任原则、处理原则、主体收益原则等等，要有章法地寻求管制思路上的突破。

最后一点就是标准和规则问题，这个不是单凭平台或者个人可以解决的。所以有时候媒体和公众确实对腾讯苛求了。

胡延平

DCCI互联网数据中心创始人

我觉得现在个人信息安全的现状可以用“四个程度”来概括：个人信息的窃取，已经到了令人发指的程度；个人信息的泄露，已经到了丧心病狂的程度；个人信息的保护，有关部门现在是麻木不仁的程度；个人信息的问题，在媒体中基本上是无动于衷的程度。

要整治这个问题，一是抓源头，二是封管道。第一是源头，现在最大的源头就是每个人拿的手机里面装着的的若干个应用。

34.5%的移动应用要求不必要的权限去挖掘你的隐私数据。要记住，灰色地带是黑色地带的温床，一定要从源头上打击网络黑产，让它们有所收敛。第二是管道，互联网本身就是管道。在这个状况下，用人工智能的方法也好，用大数据的方法也好，整治互联网的方法有的是，大数据和人工智能都可以，且基本的法律都有。最重要的是执行力，能执行的赶快执行，每一款互联网产品该处理的去处理，把标准定好然后去操作。随后才是第三点针对具体的一例又一例的案件，去抓，去处理。