圖片來源：視覺中國

俗話說，常在河邊走哪有不濕鞋。

媒體在8月20日爆出一條令人震驚的消息:一家名為三板上市公司北京瑞智華勝科技股份有限公司涉嫌非法竊取用戶個人信息30億條，這些信息被用來在各大互聯(lián)網(wǎng)平臺惡意刷粉、刷贊等網(wǎng)絡營銷行為，謀取非法利益。

用戶信息淪為網(wǎng)絡黑產(chǎn)牟利工具，暴露安全保護的脆弱性

作為用戶往往不知情，所得利益也與用戶無關(guān)，此事的驚心動魄之處在于這些被盜取的用戶信息具有真實性，是一個個真人，且規(guī)模如此之大。如果不只是被網(wǎng)絡黑產(chǎn)拿來謀取商業(yè)利益，還被拿來用來危害公共信息安全，操縱社會輿論，其后果可想而知。

那么，我們不禁要問，保護用戶隱私和信息安全，到底誰應該擔負去責任來?

客觀的說，用戶信息即會經(jīng)過多個環(huán)節(jié)流轉(zhuǎn)和存留，比如從手機、APP、網(wǎng)絡運營商、互聯(lián)網(wǎng)平臺、互聯(lián)網(wǎng)服務商，每一個環(huán)節(jié)都有責任和義務保護好用戶的信息，避免用戶數(shù)據(jù)的濫用，但是顯然不同環(huán)節(jié)所處用戶信息流轉(zhuǎn)的位置和能力不同，責任和義務也應該是不同的。

澎湃報道的這起涉及30億規(guī)模的個人信息網(wǎng)絡黑產(chǎn)案，有兩點值得我們關(guān)注：

• 一是竊取信息廣泛性***。公開信息顯示，涉案公司從全國96家互聯(lián)網(wǎng)公司的產(chǎn)品中非法獲取了用戶信息，涉及了30億條。
• 二是全國主流的互聯(lián)網(wǎng)公司無一幸免。百度、騰訊、阿里、京東等都赫然在列。

這暴露出一個嚴峻的問題：用戶信息保護上存在系統(tǒng)性的脆弱性，偌大的互聯(lián)網(wǎng)，包含巨頭在內(nèi)，在網(wǎng)絡黑產(chǎn)面前如此不堪一擊，一定是整個系統(tǒng)存在漏洞。

對抗網(wǎng)絡黑產(chǎn)，不只是需要互聯(lián)網(wǎng)平臺很努力

當用戶的信息被盜，用戶直觀的反應一般是找平臺，以至于很多互聯(lián)網(wǎng)平臺成為網(wǎng)絡黑產(chǎn)的背鍋。

比如微博、微信等常用的社交帳號被惡意關(guān)注點贊，給用戶的使用體驗造成了非常惡劣的影響，用戶***反應就是平臺失職。畢竟在用戶看來自己的賬號是與平臺直接相關(guān)的，但是靜下心來略作思考，其實我們會發(fā)現(xiàn)，在對抗網(wǎng)絡黑產(chǎn)上，互聯(lián)網(wǎng)平臺和用戶是統(tǒng)一戰(zhàn)線。

用戶對平臺的喜好和存留是平臺生存和發(fā)展的基礎(chǔ)，所以保護用戶的帳號資產(chǎn)，是平臺生死存亡的底線。

而在事實上，幾乎所有的互聯(lián)網(wǎng)平臺都將帳號信息安全作為重中之重，都配備了強大的安全團隊，平臺越大，對信息安全的重視就越高。而且互聯(lián)網(wǎng)的安全團隊在打擊網(wǎng)絡黑產(chǎn)為何互聯(lián)網(wǎng)安全護城河上具有一致的訴求，比如2018年年初阿里團隊發(fā)現(xiàn)了微信的漏洞，及時通知騰訊修補，而此次發(fā)現(xiàn)涉案公司也是與阿里安全團隊的幫助密不可分。

那么我們不禁要問：互聯(lián)網(wǎng)平臺很努力，為何網(wǎng)絡黑產(chǎn)依舊屢禁不止?

運營商、互聯(lián)網(wǎng)、國家應該建立協(xié)同的機制和能力，共同打擊網(wǎng)絡黑產(chǎn)

打擊網(wǎng)絡黑產(chǎn)，需要運營商、互聯(lián)網(wǎng)平臺、國家三位一體，從管道、平臺、監(jiān)管法律三個方面，協(xié)同合作，方能建立長效機制，尤其是電信運營商作為互聯(lián)網(wǎng)基礎(chǔ)設施，更應該承擔更大的義務和責任——做好數(shù)據(jù)的監(jiān)管。

在澎湃報道的這個案例中，我們還可以發(fā)現(xiàn)一個問題，保護用戶信息的系統(tǒng)存在脆弱性——財新在一篇報道中把涉案公司能夠如此輕而易舉的獲取30億條用戶信息歸為運營商內(nèi)鬼，雖然目前尚未有確鑿證據(jù)證明這一點，我們也不能簡單的把讓運營商為此事背鍋。

但是作為保護用戶信息更為基礎(chǔ)和底層的一環(huán)，運營商的確有責任和義務加強與上下游的安全協(xié)同，強化內(nèi)部業(yè)務的規(guī)范管理。

否則如果有人打著正規(guī)合作的幌子，從運營商的網(wǎng)絡或許各種用戶行為數(shù)據(jù)和信息，運營商就會成為最薄弱的一環(huán)。

4G時代來臨之后，流量經(jīng)營成為運營商的戰(zhàn)略選擇，在此過程中前向流量、后向流量、流量銀行等各種創(chuàng)新業(yè)務不斷涌現(xiàn)，與之相伴的還有大數(shù)據(jù)、精準營銷。

在這個過程中，一些人看到了商機開始介入流量業(yè)務，由于運營商網(wǎng)絡數(shù)據(jù)的基礎(chǔ)性，一些“有想法、有路子、懂運營商”的人就打起來用戶數(shù)據(jù)的主意：名義上跟運營商簽約，背后卻利用對運營商網(wǎng)絡和接口熟悉以及對運營商管理和運營的漏洞清洗用戶數(shù)據(jù)，這種隱蔽性往往難以察覺：

• 一是目前運營商普遍采用的代維機制，很多關(guān)鍵設備和系統(tǒng)的操作維護都是第三方廠家負責;
• 二是流量的創(chuàng)新和競爭的關(guān)注超過了對安全的關(guān)注，給披著合法外衣的網(wǎng)絡黑產(chǎn)留下了可乘之機。

由于網(wǎng)絡黑產(chǎn)在更加低層操作，普通用戶很難差距，即使個別用戶發(fā)現(xiàn)問題，由于不具有普遍性，用戶逇投訴也往往難以引起運營商的重視，或者用戶會誤以為是互聯(lián)網(wǎng)平臺的責任。

所以我們看到，在保護用戶信息上，離不開互聯(lián)網(wǎng)平臺和運營商的協(xié)同與合作。

• 一是電信運營商需要在關(guān)涉用戶信息的開放和訪問上，建立更加嚴格的安全管理制度，并在技術(shù)上與大互聯(lián)網(wǎng)平臺合作，強化安全審計和監(jiān)控，形成聯(lián)動和協(xié)作機制。
• 二是建立更加嚴格的業(yè)務邊界審核和管控機制，對掛著羊頭賣狗肉的合作方，嚴格控制業(yè)務邊界，做好日常業(yè)務監(jiān)管。
• 三是優(yōu)化關(guān)鍵設備、關(guān)鍵接口、關(guān)鍵業(yè)務的維護管理機制，更多的使用自己人或許是一個必要的選擇
• 四是電信運營商應該建立獨立的網(wǎng)絡安全團隊，從全程全網(wǎng)和全產(chǎn)業(yè)鏈的角度，構(gòu)建保護用戶信息安全、對抗網(wǎng)絡黑產(chǎn)的能力。

坦率的說，此次澎湃曝光的案件告訴我們，在安全面前，沒有人能置身事外，也不應該置身事外。作為互聯(lián)網(wǎng)的基礎(chǔ)設施，運營商對數(shù)據(jù)也有監(jiān)管職責，特別是運營商強調(diào)對流量進行多元化經(jīng)營的現(xiàn)在，這種監(jiān)管責任更不能缺失，因為個人信息涉及數(shù)億網(wǎng)民，往大里說，如果被網(wǎng)絡黑產(chǎn)不當濫用，會造成嚴重的社會后果。

當然，在國家層面，強化對行業(yè)的監(jiān)管和指導也是必不可少的，一方面要加強對互聯(lián)網(wǎng)公司的監(jiān)管，另一方面，更要強化對運營商的監(jiān)管，我相信，只有平臺安全和管道安全能夠協(xié)同好，網(wǎng)絡黑產(chǎn)將無處隱身。