數據黑市交易大起底：專家估計市場規模超1500億元 “料商”稱“一切需求皆可爬”

　　“出全球數據”“無上限收數據”——言狂意妄的數據黑市“料商”，正持續受到監管的嚴厲打擊。

　　1月19日，國家發展改革委等九部門聯合發佈《關於推動平臺經濟規範健康持續發展的若干意見》，明確嚴厲打擊平臺企業超範圍收集個人資訊、超許可權調用個人資訊等違法行為。從嚴管控非必要採集數據行為，依法依規打擊黑市數據交易、大數據殺熟等數據濫用行為。

　　這是時隔一週政策再次強調打擊數據黑市——1月12日正式發佈的《“十四五”數字經濟發展規劃》提出，嚴厲打擊數據黑市交易，營造安全有序的市場環境。

　　業界專家在接受《證券日報》記者採訪時測算，我國數據黑市交易的市場規模已經超過1500億元。數據在黑市中價值幾何、如何流轉運作……《證券日報》記者通過多日深入調查，揭開數據黑市産業鏈的一角。

　　數據被明碼標價售賣

　　近年來，數據洩露事件時有發生。在監管持續打擊下，數據黑市交易行為有所收斂。近期，《證券日報》記者用業內“黑話”諸如“買料(買數據)”“料商(販賣數據的人)”等在網上搜索發現，相關QQ群、貼吧等的活躍度都有所降低，部分關鍵詞被遮罩。而此前，該類資訊可以在網上檢索獲得。

　　然而，數據黑市交易並未真正銷聲匿跡，而是轉入更“隱秘的角落”。記者通過特殊關鍵詞搜索找到了幾個相關QQ群，通過多天“蹲點”發現，有“料商”喊出了“出全球數據”“無上限收數據”的口號，甚至有從業者表示，“只要在網頁上看到的都可以批量爬”“一切需求皆可爬”。

　　例如，一位自稱“料商”的網友發消息稱，“每天更新一手固話老人資源、股民、醫療、電信網、博彩、信用卡、網貸、醫生、教師、海外留學生、海外華僑、寶媽、碩士研究生、醫護、保險單、車主、購物等數據。”為試探其數據真實性，記者以買家身份提出測試，但對方十分謹慎地表示“測試的免談”。

　　記者觀察發現，這些QQ群大多打著數據“交流”“學習”的名義，實則做著數據“黑色交易”。例如，不少群裏都會發佈“出一手精準料，長期合作”“高品質歐盟數據、美國數據，需要聯繫”等消息。同時，買方也較為活躍，可以經常看到“收無風險郵箱”“無限收信用卡數據”“大量收人臉密正”“誰能採集國際郵箱數據”等消息。

　　在多數人眼裏，數據的經濟價值難以明確量化。不過，在數據黑市裏，數據卻被“明碼標價”。比如，在某QQ群裏有人發佈消息稱，“爬外賣App商家數據的撈一個，報價為3分/條，一次性收北京地區全部外賣店舖。”

　　在記者調查過程中，一位網友小雷(化名)稱，自己可精準獲得數據資源，並主動添加記者為好友詢問是否需要。對於記者“想要北京地區媽媽群體的電話號碼數據”的需求，小雷表示，“現成的數據沒有，得現爬，0.1元/條，絕對保真。”併發來一張爬數據的網站截圖。談及是否有家庭地址數據，小雷稱，“可以有，0.3元/條”，最快兩天內可以搞定。

　　值得注意的是，除了QQ群，境外加密聊天軟體也成為數據黑市交易的聯絡平臺。例如，通訊軟體Telegram因提供用戶匿名、資訊端對端加密、聊天資訊定時銷毀、“閱後即焚”等功能，被大量“料商”所採用。

　　《證券日報》記者通過微信添加了一位“料商”小九(化名)，對方十分謹慎，一直使用暗語交流。在得知記者想幫公司買手機號做推廣後，小九發來了一個“飛機”的表情符號，而該表情指的就是Telegram。隨後，記者請國外的朋友下載Telegram與小九交流，但對方警惕性極高，仍一直使用暗語，在發現記者的朋友聽不懂暗語後，便不再回復任何資訊。

　　黑市數據從何而來？

　　黑市交易的數據到底從何而來？記者了解到，目前在網路黑産平臺流轉的數據，來源可以大概歸納為“內鬼”洩露和外部攻擊兩大方式。

　　所謂的“內鬼”洩露，即部分公司或資訊擁有者的內部人員，與不法分子勾結洩露數據，這也是目前數據洩露的主要渠道。原點安全業務拓展總監張乃乾告訴記者，“內鬼作祟”導致的數據資訊洩露可以佔到85%，這主要涉及內部管理問題。

　　廣州白雲法院于2021年4月份公佈的一起裁決，就揭露了“內鬼”洩露數據的“升級版本”。自2020年6月份起，蔣某、巫某、彭某、王某、劉某在廣州市尖彭路某公寓A1115房，由蔣某擔任老闆，向他人購買某招聘網站的賬號，由劉某、王某使用上述賬號在該網站發佈大量虛假招聘資訊收集應聘者的公民個人資訊，再由蔣某、巫某、彭某將收集的資訊販賣牟利。蔣某等人非法獲取、銷售含姓名和電話號碼的公民個人資訊數量合計42790條。

　　而外部攻擊，則是指駭客攻擊或滲透。記者在數據交易QQ群裏也注意到，不少人發佈“接滲透”的消息。對此，張乃乾表示，所謂“滲透”，是專業的網路安全術語，不法分子通過非法手段將病毒植入系統中，從而竊取數據。

　　針對駭客攻擊的手段，360數科知微實驗室安全專家對《證券日報》表示，一般駭客會通過攻擊企業的相關後臺、數據庫等獲取數據，這種方式有時也被黑産從業者稱為“爬蟲”，但並非通常意義上的“爬蟲”。此類數據價格不定，單條最高能賣到15元，不過，真假混雜，大部分為虛假或偽造資訊。

　　“當前黑市交易的短信和SDK(軟體開發工具包)數據，因資訊真實性較高、品質較好，是黑市流轉的主流數據，在黑産高品質數據類型中分別佔比67%、22%，尤其是短信類數據，在黑市最‘吃香’。”360數科知微實驗室安全專家表示，短信類數據的主要洩露源頭為各類不合規或管理不規範的代理商平臺，洩露途徑包括平臺被駭客攻擊、滲透或內部洩露等。

　　“黑市”規模估計已超1500億元

　　雖然單條數據看似價格便宜，但據《證券日報》記者了解，數據非法交易已經發展出一條成熟的産業鏈條，在數據獲取、加工、販賣、流通等各環節都擁有詳細的團隊分工和各類自動化工具，規模較為龐大。

　　據360數科知微實驗室安全專家介紹，在獲取環節，産業鏈中存在不少規模化運作的數據提供公司，主要販賣DPI、SDK、微信好友等資訊，他們擁有自己的官網，有至少5個客戶群組、1萬個以上賬號關注；在販賣環節，數據販賣商會開發專門的後臺軟體，用於各下游代理商下載相關數據。

　　正義網于2021年12月份公佈的一則消息，就揭露了這條黑色産業鏈的冰山一角。2019年，田某在通過“暗網”購買了其他駭客非法獲取的某科技公司賬戶數據庫後，不斷完善該數據庫，再通過“暗網”以加密通訊工具聯絡、比特幣結算的方式多次販賣牟利。據悉，該數據庫包含公民個人資訊6億余組。

　　公安部近期公佈的一批2021年侵犯個人資訊典型案例，也揭露了不法分子從數據獲取到出售獲利的全流程。其中一個案例顯示，犯罪嫌疑人何某利用為相關單位、企業建設資訊系統之機，非法獲取醫療、出行、快遞等公民個人資訊數十億條，搭建對外提供非法查詢服務的數據庫，通過“暗網”發佈廣告招攬客戶，出售牟取不法利益。

　　數據黑産不僅有一條自己的完整産業鏈，還常常作為其他黑産的上游。

　　“擁有身份資訊的數據是黑市買賣的目標，而數據黑市的形成主要是因為個人隱私資訊蘊藏著巨大的價值，包括個人的喜好資訊、社會關係等。”工信部資訊通信經濟專家委員會委員、中南財經政法大學數字經濟研究院執行院長盤和林在接受《證券日報》記者表示，通過對個人偏好和隱私的解讀，既可以實現精準行銷，也可以針對用戶個體進行更加精準的詐騙。

　　對於當前數據黑市的規模，觀研天下首席研究員方孫維對《證券日報》記者表示，根據統計，2017年我國數據黑市黑産人員規模就已經達到150萬人，雖然國內出臺了相關政策嚴厲打擊數據黑市，每年都有大量違法人員被抓捕，但由於進入門檻低、收入可觀，其規模仍較大，估計2021年我國數據黑市黑産人員規模接近200萬人，相關産業主要集中在我國西南地區，尤其是緬甸和我國雲南交界處。

　　“隨著近年來我國網際網路滲透率越來越高，網路流量不斷增長，尤其是以智慧手機為代表的移動網際網路數據流量保持高速增長，2021年我國移動網際網路流量已經超過2000億GB，同比增長30%以上。數據流量的不斷增長，也加速了數據黑産的規模擴張，由此估計2021年我國數據黑色交易的市場規模已經超過1500億元。”方孫維表示。

　　數據黑市交易為何屢禁不止？

　　在無錫數字經濟研究院執行院長吳琦看來，數據黑市通過“內鬼”、網路技術、駭客等多種渠道完成數據流入、進行不法交易，技術豐富、途徑多變，給執法部門的監管帶來了巨大困難。

　　實際上，打擊數據黑市交易，兩個核心問題就是個人資訊保護與數據安全。圍繞這兩個問題，我國不斷完善相關法律法規，最早可追溯至2013年的《徵信業管理條例》《電信和網際網路用戶個人資訊保護規定》，此後陸續有《中華人民共和國網路安全法》《中華人民共和國電子商務法》《App違法違規收集使用個人資訊行為認定方法》等。

　　在剛剛過去的2021年，我國相繼頒布、施行了多項相關法律法規。從年初施行的《民法典》到年底的《中華人民共和國個人資訊保護法》，其間還有《徵信業務管理辦法》《常見類型移動網際網路應用程式必要個人資訊範圍規定》《中華人民共和國數據安全法》《最高人民法院關於審理使用人臉識別技術處理個人資訊相關民事案件適用法律若干問題的規定》等數部法律法規。此外，還有《網路數據安全管理條例(徵求意見稿)》。

　　北京市京師律師事務所律師孟博對《證券日報》記者直言，非法數據交易的犯罪成本低、獲益高，是數據黑市交易屢禁不止的一個重要原因。因此，從司法角度而言，要依照《中華人民共和國刑法》相關規定，加大對非法獲取、非法提供、非法買賣公民個人資訊等犯罪行為的打擊力度，提升犯罪分子的犯罪成本，形成有效震懾。

　　業界：對合法數據需求建立渠道

　　應該如何有效防範數據洩露？360數科知微實驗室安全專家表示，“由於數據流通使用涉及多環節、多合作機構，企業需要有效落實法律相關要求，在注重自身數據安全管理的同時，也要把控好第三方合作和管理，完善數據全鏈路監控和管理體系，積極與監管機構、公安等合作，打擊治理數據黑灰産。”

　　從企業層面來説，上海申倫律師事務所律師夏海龍在接受《證券日報》記者採訪時表示，企業可制定更嚴格的數據管控制度、對涉嫌犯罪的員工及時移送司法、採取更高層級的技術保護措施等，避免數據洩露。

　　孟博表示，電信業務經營者、網際網路資訊服務提供者等應當嚴格遵守相關法律法規的規定，切實落實主體責任，對所收集的用戶資訊嚴格保密，並建立健全用戶資訊保護制度。

　　值得一提的是，多家網際網路企業已採取實際行動履行資訊保護義務。去年7月6日，阿里巴巴開放平臺發佈《依法加強消費者訂單中敏感資訊保護的公告》稱，將啟動訂單處理鏈路的消費者敏感資訊保護方案，對涉及消費者個人敏感資訊採取加密、去標識化等安全技術措施；隨後在7月9日，京東發佈《JD用戶訂單隱私安全方案》，京東商家開放平臺將對訂單中的手機號和座機號進行脫敏。

　　對於普通用戶而言，為防範平臺側的數據洩露，360數科知微實驗室安全專家建議，需要牢記密碼安全三原則：一是密碼需要包含字母、數字和符號；二是避免多賬號使用同一密碼；三是定期更換密碼。另外，為防範電信詐騙，下載App和訪問網站時要認準官方渠道，不要誤點可疑連結和不明來路的二維碼。

　　為進一步杜絕數據的黑市交易，廣東格林律師事務所合夥人封蕓律師在接受《證券日報》記者採訪時表示，從法律層面來看，首先，要加強個人法律意識。通過立法與普法的方式，樹立公民對個人資訊、數據安全等的保護意識。其次，加強對接觸、管理電子數據的第三方的監管，App、商家及相關管理部門應當合法合理的取得電子數據，減少不必要個人資訊電子數據的採集；同時，第三方有責任和義務管理好採集的電子數據，包括從技術、制度及管理等方面完善數據安全系統。此外，從政府職責來看，要持續加強相關立法、嚴格執法等。

　　盤和林則從另一個角度給出了建議，在他看來，打擊數據黑市，不僅要加強對非法數據和個人隱私資訊獲取行為的打擊，也要對合法數據需求建立渠道，並強化監管。

　　安全服務需求快速增長

　　2021年11月30日，工信部印發的《“十四五”大數據産業發展規劃》指出，“十三五”時期我國大數據産業取得了重要突破，但仍然存在一些制約因素。其中包括“安全機制不完善，數據安全産業支撐能力不足，敏感數據洩露、違法跨境數據流動等隱患依然存在”。同時，文件還明確了“十四五”時期六大任務，其中之一是“築牢數據安全保障防線”。

　　1月12日正式發佈的《“十四五”數字經濟發展規劃》進一步提出，“建立健全數據安全治理體系，研究完善行業數據安全管理政策”，同時要“進一步強化個人資訊保護，規範身份資訊、隱私資訊、生物特徵資訊的採集、傳輸和使用，加強對收集使用個人資訊的安全監管能力”。

　　有機構預計，我國數據安全市場規模有望在2023年達到97.5億元。盤和林認為，在此背景下，數據收集、數據處理(涉及清洗、打包、脫敏等)、數據使用(AI和數據分析)以及數據安全公司等，將在未來有更好的發展機遇。

　　“數據備份、加密、訪問控制、密碼等基礎數據安全産品的需求有望持續提升，相關領域上市公司或將迎來下游需求的快速增長。”方孫維表示。

　　目前A股市場上已有不少網路安全相關上市公司，包括深信服、安恒資訊、奇安信、綠盟科技、啟明星辰、美亞柏科、拓爾思等。

　　《證券日報》記者以投資者身份與美亞柏科投資者業務部門工作人員進行交流，對方表示，公司有專門聚焦數據安全研究的業務，一方面，主要佈局央企、國企、政府單位的數據安全，進行數據安全防護；另一方面，將數據安全作為重點完善的方向，著力於將大數據和人工智慧技術應用於為更多行政執法部門開展網路空間社會治理提供産品和服務。

　　安恒資訊近期也在投資者互動平臺上表示，數據安全是保障資訊技術應用穩定發展的前提和關鍵，是公司佈局的戰略方向之一，目前公司通過智慧化管理平臺，在技術層面實現了風險核查能力、數據梳理能力、數據保護能力以及數據威脅監控預警能力等四大核心能力的建設，在業務層面，實現對數據採集、傳輸、存儲、處理、交換、銷毀等全生命週期的管理。

　　吳琦建議，在數據要素市場建立健全的過程中，數據安全及數據治理公司應當抓住機會，結合政策，探索發展出一條安全可靠的數據交易機制。