文│北京航空航天大学 裴炜 张桂贤

在百年变局叠加世纪疫情、数字革命方兴未艾、世界因俄乌冲突等进入动荡变革期的时代背景下,2022 年全球网络犯罪仍然处于高发态势。伴随 Web 3.0 技术体系支撑下的新场景、新产业和新生态的发展,网络犯罪市场的规模越发扩大化和成熟化,已经形成了庞大的网络犯罪生态系统。传统犯罪普遍借由新兴网络技术与空间进入网络犯罪的范围并占绝大多数,同时,数据威胁型犯罪等新类型网络犯罪开始滋生、变异并快速更迭,这些情况均对网络犯罪治理提出新的更大挑战。梳理总结 2022 年全球网络犯罪的总体态势,可以为提升网络犯罪治理能力,探索新时代网络空间命运共同体理念下的网络犯罪治理新路径,提供参考。

一、2022 年全球网络犯罪总体态势

2022 年,在新冠肺炎疫情推动下的社会整体数字化转型过程中,新技术的发展始终为犯罪分子提供新的攻击载体,网络攻击成本不断降低,攻击方式更加多样,各犯罪领域之间呈现出相互融合、相互支撑的发展态势。

一是远程办公的常态化助推网络犯罪高发。全球 IT 研究与顾问咨询公司高德纳(Gartner)发布的《2022 年网络安全的八大趋势》(The Top 8 Security and Risk Trends for 2022)提到,向混合(或远程)办公的转变是一个持久的趋势,超过 75% 的知识工作者期待未来的混合办公环境。中国互联网络信息中心于 2022 年 8 月 31 日发布的第 50 次《中国互联网络发展状况统计报告》显示,截至 2022 年 6 月,我国在线办公用户规模达 4.61 亿,占网民整体的 43.8%,远程在线办公逐渐成为各个行业的常规状态之一。事实上,在新冠肺炎疫情持续的背景下,全球科技巨头如亚马逊、谷歌、微软,已经开始将远程办公常态化。全球民宿短租公寓预订平台爱彼迎(Airbnb)于 2022 年 4 月28 日宣布,其员工可不降薪永久远程办公。然而,这一态势也使远程办公成为网络犯罪的重点攻击目标之一,而主要原因就在于远程办公的如下特征。一是网络暴露面的增加,即作为远程办公支撑的开放公网访问或使用 VPN 打通远程网络通道,均在更大范围上暴露了传统办公系统的安全漏洞。二是接入网络的人员、设备、系统的多样性呈指数型增加,进一步造成身份和权限管理混乱,为犯罪分子侵入办公系统提供了便利。三是数据流动复杂性骤增,企业业务数据在复杂的人员、设备、系统之间频繁流动并出现混同,数据泄露和滥用风险大幅增加。

二是恶意网络攻击严重威胁全球网络安全。根据国际刑警组织于 2022 年 10 月 19 日发布的《2022 年全球犯罪趋势报告》(2022 Interpol Global Crime Trend Summary Report),勒索软件、网络钓鱼和在线诈骗位列当前全球五大犯罪威胁之列,同时,超过 70% 的受访者预计,勒索软件和网络钓鱼攻击等犯罪数量在未来三到五年内或将显著增加。一方面,勒索软件即服务(RaaS)的犯罪商业模式不断发展,勒索攻击的技术门槛进一步降低;同时,攻击对象越来越针对能源、医疗、电信、铁路等关键基础设施,尤其伴随新冠肺炎疫情的持续影响及地缘政治的紧张关系,关键基础设施面临的网络安全形势日趋严峻。另一方面,网络钓鱼逐渐由电子邮件网络转向多种平台,通过社交媒体进行假冒诈骗、信用卡欺诈等暗网威胁、商业电子邮件泄露(BEC)攻击、混合钓鱼攻击等其他重要的网络钓鱼趋势进一步显现并加强。据反钓鱼工作组(the Anti-Phishing Working Group)于 2022 年 9 月 20 日发布的《2022 年第二季度网络钓鱼活动趋势报告》(Phishing Activity Trends Report: 2nd Quarter2022),网络钓鱼攻击次数于 2022 年第二季度达到 1097811 次,创下历史新纪录。此外,基于上述犯罪活动所形成的数字身份信任问题愈发凸显,犯罪分子通过窃取用户详细个人信息,或者模仿用户的特征及行为进而冒充用户,欺骗认证系统以便登录用户设备实施网络犯罪;或者利用暗网市场泄露、交易窃取或合成的虚拟身份获取非法利益,这进一步助长了网络犯罪的规模和范围。

三是数字货币等虚拟财产促使相关网络犯罪蔓延。2022 年,随着移动货币交易和金融数字化快速发展,网络犯罪分子越来越多地依靠具有去中心化和匿名性特征的加密货币等数字洗钱工具掩藏、隐匿非法收益和资金转移,并加速了金融犯罪即服务的出现。2022 年也是全球非同质化代币(NFT)行业高速发展时期,数字藏品、社交头像、身份识别、权益凭证、品牌所独有的知识产权(IP)、金融游戏化(GameFi)道具等相关数字资产成为网络钓鱼、勒索、诈骗以及其他攻击的目标。2022 年 2 月,全球最大的 NFT 交易平台 OpenSea 遭受黑客攻击,价值超过 170 万美元的 NFT 被盗。2022 年 8 月 24 日,区块链分析公司 ELLiptic 发布的《非同质化代币和金融犯罪》(NFTs and Financial Crime)报告显示,自 2021 年 7 月至 2022 年 7 月,价值超 1 亿美元的 NFT 被盗,其中,2022 年 7 月,超 4600 个 NFT 被盗,该数据创历史最高纪录。该报告还显示,基于 NFT 的平台正被犯罪分子用作洗钱工具。在缺乏必要的监管环境的情况下,数字资产已经成为网络犯罪的新灾区。

二、2022 年国际层面应对网络犯罪新措施

面对网络犯罪新形势,2022 年,多个国家和地区通过颁布网络安全战略、不断完善立法等方式予以积极应对。根据欧洲理事会网络犯罪项目办公室(C-PROC)于 2022 年 2 月发布的《全球网络犯罪立法状况(2013-2022)》(The Global State of Cybercrime Legislation 2013-2022)报告,截至 2022 年 1 月,约 94% 的联合国成员国已经进行了立法改革,围绕网络犯罪制定了专门立法。2022 年,联合国网络犯罪公约起草工作进一步向前推进,公约的基本框架已经搭建完毕。

在宏观政策层面,许多国家和地区在 2022 年制定了网络安全与犯罪治理总体战略。根据欧洲刑警组织于 2021 年 4 月 12 日发布的《2021 年欧盟严重和有组织犯罪威胁评估报告》(European Union Serious and Organised Crime Threat Assessment 2021),欧洲理事会于 2021 年 5 月 12 日确立了 2022 年至 2025 年通过欧洲多学科打击犯罪威胁平台(European Multidisciplinary Platform Against Criminal Threats)打击严重和有组织犯罪方面的十个优先事项,其中,包括高风险的犯罪网络、网络攻击、儿童性剥削、在线欺诈等金融犯罪等内容。在此基础上,欧洲议会于 2022 年 11 月 10 日批准《关于在欧盟范围内采取高水平网络安全措施的指令》(Directive on Measures for a High Common Level of Cybersecurity across the Union),提升公共和私营部门间的网络安全风险和事件的管理与合作,强化关键供应链的风险评估,确保供应链网络安全等。欧盟还于 2022 年 3 月 22 日和 2022 年 9 月 15 日先后发布《关于制定欧盟各机构、机关、办公室和办事处高度共同水平的网络安全措施的条例》提案(Proposal for a Regulation Laying Down Measures for a High Common Level of Cybersecurity at the Institutions, Bodies, Offices and Agencies of the Union)和《网络弹性法案》(Cyber Resilience Act)提案。前者通过要求相关机构建立内部网络安全风险管理、治理和控制框架,划定网络安全基线,进行网络安全成熟度评估,以及制定网络安全计划等方式,增强欧盟相关机构抵御网络威胁和事件的响应能力;后者旨在数字产品全生命周期中引入强制性网络安全标准,构建统一的网络安全框架。英国政府于 2022 年 1 月 25 日正式发布《国家网络安全战略 2022—2030》(Government Cyber Security Strategy:2022-2030)。该战略提出,到 2025 年,英国政府关键职能部门要显著增强抵御网络攻击的能力;到 2030 年,各政府部门均需具备抵御已知的网络漏洞和攻击方法的能力。美国总统拜登于 2022 年 5 月 5 日签署《优化网络犯罪度量法》(Better Cybercrime Metrics Act),从网络犯罪分类、网络犯罪报告、全国犯罪被害调查、网络犯罪指标研究四个方面出发,提升网络犯罪数据可见性、提高网络犯罪打击有效性。美国司法部还于 2022 年 7 月发布《2022-2026 年战略计划》(FYs 2022-2026 Strategic Plan),将打击勒索软件攻击、加强网络安全和打击网络犯罪作为维护国家安全战略目标的优先事项。加拿大政府于 2022 年 6 月 16 日公布《2022 年数字宪章实施法案》(The Digital Charter Implementation Act 2022),引入三项主要立法:一是《消费者隐私保护法》(Consumer Privacy Protection Act),加强数据隐私框架,保护消费者的隐私信息;二是《个人信息和数据保护法庭法》(Personal Information and Data Protection Tribunal Act),设立专门针对隐私和数据保护的法庭;三是《人工智能和数据法》(Artificial Intelligence and Data Act),规范人工智能系统发展,减少相关的损害风险和歧视输出风险。荷兰内阁也于 2022 年 10 月 10 日发布《2022-2028 年国家网络安全战略》(Nederlandse Cybersecuritystrategie 2022-2028)和《2022-2023年配套行动计划》(Actieplan Nederlandse Cybersecuritystrategie 2022-2023),通过提高政府、企业和民间社会组织的数字弹性,提供安全、创新的数字产品和服务等措施应对网络犯罪威胁。

在宏观政策指引下,2022 年,全球网络犯罪治理的重点主要集中于以下三个方面。

一是增强关键基础设施安全。美国参议院于 2022 年 3 月 1 日通过《2022 年加强美国网络安全法案》(Strengthening American Cybersecurity Act of 2022)。该法案由《2022 年联邦信息安全现代化法案》(Federal Information Security Modernization Act of 2022)、《2022 年关键基础设施网络事件报告法案》(Cyber Incident Reporting for Critical Infrastructure Act of 2022)和《2022 年联邦安全云改进和就业法案》(Federal Secure Cloud Improvement and Jobs Act of 2022)三项网络安全法案组成,其中,法案赋予关键基础设施运营者网络攻击报告义务,要求关键基础设施运营者在有合理依据认定发生网络事件后的 72 小时内,以及因勒索攻击支付赎金后的 24 小时内,向国土安全部报告。美国国土安全部还于 2022 年 10 月 27 日宣布新的网络安全绩效目标(the Cybersecurity Performance Goals),概述了关键基础设施所有者可以采取的最高优先级基线措施,保护自身免受网络威胁。澳大利亚议会于 2022 年 4 月 2 日正式施行《2022 年安全立法修正案(关键基础设施保护)法案》(Security Legislation Amendment(Critical Infrastructure Protection)Act 2022),为关键基础设施的运营商引入风险管理计划,加强关键基础设施运营商的网络安全义务。

二是加强个人信息保护。新加坡个人数据保护委员会(PDPC)于 2022 年 7 月 18 日发布《区块链设计中的个人数据保护注意事项指南》(Guide on Personal Data Protection Considerations for Blockchain Design),通过阐明在部署区块链应用程序时如何遵守本国的《个人数据保护法》(Personal Data Protection Act)确保相关企业和组织在区块链运用中对客户个人数据进行更负责任的管理。英国信息专员办公室(ICO)于 2022 年 9 月 7 日发布的《匿名化、假名化和隐私增强技术指南(草案)》(Draft Anonymisation,Pseudonymisation and Privacy Enhancing Technologies Guidance)的第五章指出,通过借助隐私增强技术,实施稳健的匿名化或假名化数据处理措施,遵守数据使用的最小化原则,最大限度提升数据安全。美国白宫于 2022 年 9 月 15 日发布《关于确保外国投资委员会考虑不断演变的国家安全风险的行政令》(Executive Order on Ensuring Robust Consideration of Evolving National Security Risks by the Committee on Foreign Investment in the United States),要求审查外国投资中威胁国家安全的网络安全风险,其中包括对美国公民敏感数据的风险审查。印度尼西亚于 2022 年 9 月 20 日通过《个人数据保护法案》(Personal Data Protection),对发生数据泄露的公司最高可处以年收入 2% 的行政罚款。加拿大隐私专员办公室(OPC)于 2022 年 9 月 20 日发布《确保加拿大数字身份生态系统隐私和透明度》(Ensuring the Right to Privacy and Transparency in the Digital Identity Ecosystem in Canada),通过建设并监管数字身份生态系统,进一步提升个人信息的安全性,增强公众对数字身份的信任性。此外,针对儿童在线隐私保护的相关立法数量也不断增加。2022 年 5 月 11 日,欧盟委员会发布关于制定预防和打击儿童性虐待的规则提案(Proposal fora regulation laying down rules to prevent and combat child sexual abuse),旨在建立明确且统一的预防和打击儿童性虐待的法律框架,全面应对线下和线上日益增长的儿童性虐待威胁。针对此提案,欧洲数据保护委员会(EDPB)和欧洲数据保护监督局(EDPS)于 2022 年 7 月 29 日通过《关于预防和打击<在线儿童信息性虐待的法规提案>的联合意见》(EDPB-EDPS Joint Opinion on the Proposal fora Regulation Laying down Rules to Prevent and Combat Child Sexual Abuse)。意见指出,前述提案缺乏关键要素的法律明确性等,并据此提出改进意见,进一步补充规定预防和打击儿童性虐待的规则。值得注意的是,欧盟委员会于 2022 年 10 月 18 日通过的 2023 年工作计划(Commission Work Programme 2023)提出,将修订打击儿童性虐待指令,加强对儿童性虐待犯罪的预防、调查和起诉,线上线下支持和保护儿童受害者。2022 年 9 月 16 日,美国加州州长签署儿童网络安全法案《加州适龄设计规范法》(The California Age-Appropriate Design Code Act),要求在线平台考虑儿童用户的最大利益,网站和应用程序限制某些功能,并默认保护儿童身心健康和福祉的隐私和安全设置,这项法律适用于 18 岁以下用户可能使用的诸多数字产品,包括社交网络、游戏平台、联网玩具、语音助手和智能学习工具等。

三是加强大型互联网企业的犯罪防治义务。2022 年 7 月 5 日,欧洲议会通过《数字服务法》(Digital Services Act)和《数字市场法》(Digital Markets Act),加强对在欧盟经营的大型门户网站、社交媒体公司、大型平台的监管责任。2022 年 6 月 14 日,加拿大政府发布《关于网络安全并修改电子通信法和其他相关法的法案》(An Act respecting cyber security, amending the Telecommunications Act and making consequential amendments to other Acts),强制要求对加拿大国家安全或公共安全至关重要的服务和系统及负责保护这些服务和系统的运营商采取措施应对已识别的网络安全威胁或漏洞,报告达到或超过特定阈值的网络事件。

三、对网络犯罪治理的展望

可以预见的是,未来网络犯罪仍将继续迭代升级、治理难度将持续提升。网络安全风险投资公司Cybersecurity Ventures 于 2022 年 10 月发布《2022年官方网络犯罪报告》(2022 Official Cybercrime Report),指出未来五年全球网络犯罪造成的损失将以每年 15% 的速度增长,到 2025 年达到 10.5 万亿美元,如果以国家的经济体量衡量,那么网络犯罪将是仅次于美国和中国的世界第三大经济体。基于此背景,各国应当秉持网络空间命运共同体理念,从规则制定、国际合作、多元协同、能力建设方面聚焦网络犯罪治理工作。

一是在规则制定层面,应当继续推进网络犯罪全球性公约的起草工作。2019 年 12 月 28 日,联合国正式批准了由中国、俄罗斯等国牵头起草的决议,并于 2020 年建立特设专家委员会,联合国际力量“打击为犯罪目的使用信息通信技术”,启动联合国框架下打击此类犯罪的国际公约的起草工作。该项公约旨在强化国际合作,在联合国人权保障规范体系的基础上,提升网络空间犯罪治理的整体效能。2023 年是公约起草的关键年,我国在继续推进公约制定的同时,积极全面开展国内法与公约的对接工作,确保未来公约有关规定在我国刑事司法体系的快速、平稳转化和落地。

二是在国际合作层面,应当有效协调现有的合作机制,构建全新的惩治网络犯罪全球协同治理机制。2022 年 9 月 12 日,欧盟数据保护委员会(EDPB)发布《关于欧洲警察合作守则的 03/2022 号声明》(Statement 03/2022 on the European Police Cooperation Code),明确提出警察合作是成员国之间安全的“关键因素”。目前,国家间已经开辟了一系列应对网络犯罪的合作渠道。2022 年 7 月 13 日,新加坡个人资料保护委员会与中国香港个人资料私隐专员公署签订并更新了谅解备忘录,旨在保持两者现有的联系以及就保障个人资料扩大合作范围和加强紧密合作。2022 年 8 月 10 日,美国-墨西哥网络问题工作组(the U.S.-Mexico Working Group on Cyber Issues)召开了自美墨安全、公共卫生和安全社区二百周年框架建立以来的首次双边网络对话并发布联合声明,建议加强在技术协助、信息共享、事件响应管理、勒索软件、执法和调查、公私伙伴关系以及关键基础设施保护等方面的合作。2022 年 8 月 17 日,澳大利亚宣布加入全球跨境隐私规则论坛(the Global Cross-Border Privacy Rules Forum),鼓励经济体之间的互操作性和合作,努力弥合数据保护和隐私框架的差异,并期望通过数据的安全流动促进全球贸易。2022 年 9 月 23 日,美日印澳四国于纽约举行四方外长会议并就勒索软件发布联合声明,将互相协助抵御针对关键基础设施的恶意网络活动,建设开放、安全、稳定、无障碍、和平的网络空间。2022 年 10 日 3 日,美英两国签署的《为打击严重犯罪而访问电子数据的协议》(Agreement on Access to Electronic Data for the Purpose of Countering Serious Crime)正式生效,进一步提升两国间向网络信息业者取证的效率。这些合作均在加强网络犯罪治理的国际协同方面发挥了积极作用。

三是在多元治理层面,应当继续推进公私主体间的协同配合。执法部门与相关公共和私营部门行为者之间的集体努力对预防、侦查、调查和打击网络犯罪至关重要。大型互联网公司和执法机关合作共同打击网络犯罪,逐渐成为一种普遍做法并取得一定成效,例如罗马尼亚网络安全公司比特梵德(Bitdefender)与欧洲刑警组织、苏黎世执法部门以及欧洲网络犯罪中心与卡巴斯基等企业联合建立的“拒绝勒索”国际合作项目(No More Ransom Project)开展合作,针对勒索软件 LockerGoga 提供免费解密器,应对勒索软件攻击。各国应当继续强化政府部门与网络服务提供者等私主体之间的密切合作,加强网络信息业者的协助执法义务。应当注意的是,现有规则体系在不断从多个维度强化网络信息业者等第三方主体参与社会治理义务的同时,并未就其可能形成的价值和义务冲突予以足够关注。未来,应当更加关注网络信息业者等私主体履行协助执法义务的可行性与合比例性。

四是在能力建设层面,应当持续加强有关执法部门迅速探查并应对网络犯罪风险的能力。网络犯罪的快速蔓延意味着各国有必要投入资源开展能力建设,通过信息交流、人员培训等活动,更好地融合、提升执法部门、产业以及智库等多方主体的业务认识和实务技能。对此,联合国秘书处于 2022 年 5 月发布了《关于在刑事司法中加强使用数字证据和打击网络犯罪,包括利用互联网在非法活动中虐待和剥削未成年人的专题讨论指南》(Guide for the Thematic Discussion on Strengthening the Use of Digital Evidence in Criminal Justice and Countering Cybercrime, including the Abuse and Exploitation of Minors in Illegal Activities with the Use of the Internet),着重从加强刑事司法机关的能力建设方面提升数字证据在打击网络犯罪的关键作用。同时,国际刑警组织也呼吁成员国通过利用国际刑警组织提供的工具、平台和区域行动服务台,在区域和全球范围内与国际刑警及其合作伙伴和其他受影响成员国加强合作,共同支持国际刑警的能力建设举措和项目,缩小成员国之间有效打击网络犯罪的能力差距。基于此,2022 年 10月 21 日,国际刑警组织推出了专门为全球警察执法而设计的元宇宙,尝试为全球执法部门提供沉浸式在线培训课程。上述探索均有助于提升刑事司法机关打击网络犯罪的能力,从而推动网络犯罪的有效治理。

(本文刊登于《中国信息安全》杂志2022年第12期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。