2022年全球網絡犯罪態勢、應對與展望
在百年變局疊加世紀疫情、數字革命方興未艾、世界因俄烏沖突等進入動蕩變革期的時代背景下,2022 年全球網絡犯罪仍然處于高發態勢。伴隨 Web 3.0 技術體系支撐下的新場景、新產業和新生態的發展,網絡犯罪市場的規模越發擴大化和成熟化,已經形成了龐大的網絡犯罪生態系統。傳統犯罪普遍借由新興網絡技術與空間進入網絡犯罪的范圍并占絕大多數,同時,數據威脅型犯罪等新類型網絡犯罪開始滋生、變異并快速更迭,這些情況均對網絡犯罪治理提出新的更大挑戰。梳理總結 2022 年全球網絡犯罪的總體態勢,可以為提升網絡犯罪治理能力,探索新時代網絡空間命運共同體理念下的網絡犯罪治理新路徑,提供參考。
一、2022 年全球網絡犯罪總體態勢
2022 年,在新冠肺炎疫情推動下的社會整體數字化轉型過程中,新技術的發展始終為犯罪分子提供新的攻擊載體,網絡攻擊成本不斷降低,攻擊方式更加多樣,各犯罪領域之間呈現出相互融合、相互支撐的發展態勢。
一是遠程辦公的常態化助推網絡犯罪高發。全球 IT 研究與顧問咨詢公司高德納(Gartner)發布的《2022 年網絡安全的八大趨勢》(The Top 8 Security and Risk Trends for 2022)提到,向混合(或遠程)辦公的轉變是一個持久的趨勢,超過 75% 的知識工作者期待未來的混合辦公環境。中國互聯網絡信息中心于 2022 年 8 月 31 日發布的第 50 次《中國互聯網絡發展狀況統計報告》顯示,截至 2022 年 6 月,我國在線辦公用戶規模達 4.61 億,占網民整體的 43.8%,遠程在線辦公逐漸成為各個行業的常規狀態之一。事實上,在新冠肺炎疫情持續的背景下,全球科技巨頭如亞馬遜、谷歌、微軟,已經開始將遠程辦公常態化。全球民宿短租公寓預訂平臺愛彼迎(Airbnb)于 2022 年 4 月28 日宣布,其員工可不降薪永久遠程辦公。然而,這一態勢也使遠程辦公成為網絡犯罪的重點攻擊目標之一,而主要原因就在于遠程辦公的如下特征。一是網絡暴露面的增加,即作為遠程辦公支撐的開放公網訪問或使用 VPN 打通遠程網絡通道,均在更大范圍上暴露了傳統辦公系統的安全漏洞。二是接入網絡的人員、設備、系統的多樣性呈指數型增加,進一步造成身份和權限管理混亂,為犯罪分子侵入辦公系統提供了便利。三是數據流動復雜性驟增,企業業務數據在復雜的人員、設備、系統之間頻繁流動并出現混同,數據泄露和濫用風險大幅增加。
二是惡意網絡攻擊嚴重威脅全球網絡安全。根據國際刑警組織于 2022 年 10 月 19 日發布的《2022 年全球犯罪趨勢報告》(2022 Interpol Global Crime Trend Summary Report),勒索軟件、網絡釣魚和在線詐騙位列當前全球五大犯罪威脅之列,同時,超過 70% 的受訪者預計,勒索軟件和網絡釣魚攻擊等犯罪數量在未來三到五年內或將顯著增加。一方面,勒索軟件即服務(RaaS)的犯罪商業模式不斷發展,勒索攻擊的技術門檻進一步降低;同時,攻擊對象越來越針對能源、醫療、電信、鐵路等關鍵基礎設施,尤其伴隨新冠肺炎疫情的持續影響及地緣政治的緊張關系,關鍵基礎設施面臨的網絡安全形勢日趨嚴峻。另一方面,網絡釣魚逐漸由電子郵件網絡轉向多種平臺,通過社交媒體進行假冒詐騙、信用卡欺詐等暗網威脅、商業電子郵件泄露(BEC)攻擊、混合釣魚攻擊等其他重要的網絡釣魚趨勢進一步顯現并加強。據反釣魚工作組(the Anti-Phishing Working Group)于 2022 年 9 月 20 日發布的《2022 年第二季度網絡釣魚活動趨勢報告》(Phishing Activity Trends Report: 2nd Quarter2022),網絡釣魚攻擊次數于 2022 年第二季度達到 1097811 次,創下歷史新紀錄。此外,基于上述犯罪活動所形成的數字身份信任問題愈發凸顯,犯罪分子通過竊取用戶詳細個人信息,或者模仿用戶的特征及行為進而冒充用戶,欺騙認證系統以便登錄用戶設備實施網絡犯罪;或者利用暗網市場泄露、交易竊取或合成的虛擬身份獲取非法利益,這進一步助長了網絡犯罪的規模和范圍。
三是數字貨幣等虛擬財產促使相關網絡犯罪蔓延。2022 年,隨著移動貨幣交易和金融數字化快速發展,網絡犯罪分子越來越多地依靠具有去中心化和匿名性特征的加密貨幣等數字洗錢工具掩藏、隱匿非法收益和資金轉移,并加速了金融犯罪即服務的出現。2022 年也是全球非同質化代幣(NFT)行業高速發展時期,數字藏品、社交頭像、身份識別、權益憑證、品牌所獨有的知識產權(IP)、金融游戲化(GameFi)道具等相關數字資產成為網絡釣魚、勒索、詐騙以及其他攻擊的目標。2022 年 2 月,全球最大的 NFT 交易平臺 OpenSea 遭受黑客攻擊,價值超過 170 萬美元的 NFT 被盜。2022 年 8 月 24 日,區塊鏈分析公司 ELLiptic 發布的《非同質化代幣和金融犯罪》(NFTs and Financial Crime)報告顯示,自 2021 年 7 月至 2022 年 7 月,價值超 1 億美元的 NFT 被盜,其中,2022 年 7 月,超 4600 個 NFT 被盜,該數據創歷史最高紀錄。該報告還顯示,基于 NFT 的平臺正被犯罪分子用作洗錢工具。在缺乏必要的監管環境的情況下,數字資產已經成為網絡犯罪的新災區。
二、2022 年國際層面應對網絡犯罪新措施
面對網絡犯罪新形勢,2022 年,多個國家和地區通過頒布網絡安全戰略、不斷完善立法等方式予以積極應對。根據歐洲理事會網絡犯罪項目辦公室(C-PROC)于 2022 年 2 月發布的《全球網絡犯罪立法狀況(2013-2022)》(The Global State of Cybercrime Legislation 2013-2022)報告,截至 2022 年 1 月,約 94% 的聯合國成員國已經進行了立法改革,圍繞網絡犯罪制定了專門立法。2022 年,聯合國網絡犯罪公約起草工作進一步向前推進,公約的基本框架已經搭建完畢。
在宏觀政策層面,許多國家和地區在 2022 年制定了網絡安全與犯罪治理總體戰略。根據歐洲刑警組織于 2021 年 4 月 12 日發布的《2021 年歐盟嚴重和有組織犯罪威脅評估報告》(European Union Serious and Organised Crime Threat Assessment 2021),歐洲理事會于 2021 年 5 月 12 日確立了 2022 年至 2025 年通過歐洲多學科打擊犯罪威脅平臺(European Multidisciplinary Platform Against Criminal Threats)打擊嚴重和有組織犯罪方面的十個優先事項,其中,包括高風險的犯罪網絡、網絡攻擊、兒童性剝削、在線欺詐等金融犯罪等內容。在此基礎上,歐洲議會于 2022 年 11 月 10 日批準《關于在歐盟范圍內采取高水平網絡安全措施的指令》(Directive on Measures for a High Common Level of Cybersecurity across the Union),提升公共和私營部門間的網絡安全風險和事件的管理與合作,強化關鍵供應鏈的風險評估,確保供應鏈網絡安全等。歐盟還于 2022 年 3 月 22 日和 2022 年 9 月 15 日先后發布《關于制定歐盟各機構、機關、辦公室和辦事處高度共同水平的網絡安全措施的條例》提案(Proposal for a Regulation Laying Down Measures for a High Common Level of Cybersecurity at the Institutions, Bodies, Offices and Agencies of the Union)和《網絡彈性法案》(Cyber Resilience Act)提案。前者通過要求相關機構建立內部網絡安全風險管理、治理和控制框架,劃定網絡安全基線,進行網絡安全成熟度評估,以及制定網絡安全計劃等方式,增強歐盟相關機構抵御網絡威脅和事件的響應能力;后者旨在數字產品全生命周期中引入強制性網絡安全標準,構建統一的網絡安全框架。英國政府于 2022 年 1 月 25 日正式發布《國家網絡安全戰略 2022—2030》(Government Cyber Security Strategy:2022-2030)。該戰略提出,到 2025 年,英國政府關鍵職能部門要顯著增強抵御網絡攻擊的能力;到 2030 年,各政府部門均需具備抵御已知的網絡漏洞和攻擊方法的能力。美國總統拜登于 2022 年 5 月 5 日簽署《優化網絡犯罪度量法》(Better Cybercrime Metrics Act),從網絡犯罪分類、網絡犯罪報告、全國犯罪被害調查、網絡犯罪指標研究四個方面出發,提升網絡犯罪數據可見性、提高網絡犯罪打擊有效性。美國司法部還于 2022 年 7 月發布《2022-2026 年戰略計劃》(FYs 2022-2026 Strategic Plan),將打擊勒索軟件攻擊、加強網絡安全和打擊網絡犯罪作為維護國家安全戰略目標的優先事項。加拿大政府于 2022 年 6 月 16 日公布《2022 年數字憲章實施法案》(The Digital Charter Implementation Act 2022),引入三項主要立法:一是《消費者隱私保護法》(Consumer Privacy Protection Act),加強數據隱私框架,保護消費者的隱私信息;二是《個人信息和數據保護法庭法》(Personal Information and Data Protection Tribunal Act),設立專門針對隱私和數據保護的法庭;三是《人工智能和數據法》(Artificial Intelligence and Data Act),規范人工智能系統發展,減少相關的損害風險和歧視輸出風險。荷蘭內閣也于 2022 年 10 月 10 日發布《2022-2028 年國家網絡安全戰略》(Nederlandse Cybersecuritystrategie 2022-2028)和《2022-2023年配套行動計劃》(Actieplan Nederlandse Cybersecuritystrategie 2022-2023),通過提高政府、企業和民間社會組織的數字彈性,提供安全、創新的數字產品和服務等措施應對網絡犯罪威脅。
在宏觀政策指引下,2022 年,全球網絡犯罪治理的重點主要集中于以下三個方面。
一是增強關鍵基礎設施安全。美國參議院于 2022 年 3 月 1 日通過《2022 年加強美國網絡安全法案》(Strengthening American Cybersecurity Act of 2022)。該法案由《2022 年聯邦信息安全現代化法案》(Federal Information Security Modernization Act of 2022)、《2022 年關鍵基礎設施網絡事件報告法案》(Cyber Incident Reporting for Critical Infrastructure Act of 2022)和《2022 年聯邦安全云改進和就業法案》(Federal Secure Cloud Improvement and Jobs Act of 2022)三項網絡安全法案組成,其中,法案賦予關鍵基礎設施運營者網絡攻擊報告義務,要求關鍵基礎設施運營者在有合理依據認定發生網絡事件后的 72 小時內,以及因勒索攻擊支付贖金后的 24 小時內,向國土安全部報告。美國國土安全部還于 2022 年 10 月 27 日宣布新的網絡安全績效目標(the Cybersecurity Performance Goals),概述了關鍵基礎設施所有者可以采取的最高優先級基線措施,保護自身免受網絡威脅。澳大利亞議會于 2022 年 4 月 2 日正式施行《2022 年安全立法修正案(關鍵基礎設施保護)法案》(Security Legislation Amendment(Critical Infrastructure Protection)Act 2022),為關鍵基礎設施的運營商引入風險管理計劃,加強關鍵基礎設施運營商的網絡安全義務。
二是加強個人信息保護。新加坡個人數據保護委員會(PDPC)于 2022 年 7 月 18 日發布《區塊鏈設計中的個人數據保護注意事項指南》(Guide on Personal Data Protection Considerations for Blockchain Design),通過闡明在部署區塊鏈應用程序時如何遵守本國的《個人數據保護法》(Personal Data Protection Act)確保相關企業和組織在區塊鏈運用中對客戶個人數據進行更負責任的管理。英國信息專員辦公室(ICO)于 2022 年 9 月 7 日發布的《匿名化、假名化和隱私增強技術指南(草案)》(Draft Anonymisation,Pseudonymisation and Privacy Enhancing Technologies Guidance)的第五章指出,通過借助隱私增強技術,實施穩健的匿名化或假名化數據處理措施,遵守數據使用的最小化原則,最大限度提升數據安全。美國白宮于 2022 年 9 月 15 日發布《關于確保外國投資委員會考慮不斷演變的國家安全風險的行政令》(Executive Order on Ensuring Robust Consideration of Evolving National Security Risks by the Committee on Foreign Investment in the United States),要求審查外國投資中威脅國家安全的網絡安全風險,其中包括對美國公民敏感數據的風險審查。印度尼西亞于 2022 年 9 月 20 日通過《個人數據保護法案》(Personal Data Protection),對發生數據泄露的公司最高可處以年收入 2% 的行政罰款。加拿大隱私專員辦公室(OPC)于 2022 年 9 月 20 日發布《確保加拿大數字身份生態系統隱私和透明度》(Ensuring the Right to Privacy and Transparency in the Digital Identity Ecosystem in Canada),通過建設并監管數字身份生態系統,進一步提升個人信息的安全性,增強公眾對數字身份的信任性。此外,針對兒童在線隱私保護的相關立法數量也不斷增加。2022 年 5 月 11 日,歐盟委員會發布關于制定預防和打擊兒童性虐待的規則提案(Proposal fora regulation laying down rules to prevent and combat child sexual abuse),旨在建立明確且統一的預防和打擊兒童性虐待的法律框架,全面應對線下和線上日益增長的兒童性虐待威脅。針對此提案,歐洲數據保護委員會(EDPB)和歐洲數據保護監督局(EDPS)于 2022 年 7 月 29 日通過《關于預防和打擊<在線兒童信息性虐待的法規提案>的聯合意見》(EDPB-EDPS Joint Opinion on the Proposal fora Regulation Laying down Rules to Prevent and Combat Child Sexual Abuse)。意見指出,前述提案缺乏關鍵要素的法律明確性等,并據此提出改進意見,進一步補充規定預防和打擊兒童性虐待的規則。值得注意的是,歐盟委員會于 2022 年 10 月 18 日通過的 2023 年工作計劃(Commission Work Programme 2023)提出,將修訂打擊兒童性虐待指令,加強對兒童性虐待犯罪的預防、調查和起訴,線上線下支持和保護兒童受害者。2022 年 9 月 16 日,美國加州州長簽署兒童網絡安全法案《加州適齡設計規范法》(The California Age-Appropriate Design Code Act),要求在線平臺考慮兒童用戶的最大利益,網站和應用程序限制某些功能,并默認保護兒童身心健康和福祉的隱私和安全設置,這項法律適用于 18 歲以下用戶可能使用的諸多數字產品,包括社交網絡、游戲平臺、聯網玩具、語音助手和智能學習工具等。
三是加強大型互聯網企業的犯罪防治義務。2022 年 7 月 5 日,歐洲議會通過《數字服務法》(Digital Services Act)和《數字市場法》(Digital Markets Act),加強對在歐盟經營的大型門戶網站、社交媒體公司、大型平臺的監管責任。2022 年 6 月 14 日,加拿大政府發布《關于網絡安全并修改電子通信法和其他相關法的法案》(An Act respecting cyber security, amending the Telecommunications Act and making consequential amendments to other Acts),強制要求對加拿大國家安全或公共安全至關重要的服務和系統及負責保護這些服務和系統的運營商采取措施應對已識別的網絡安全威脅或漏洞,報告達到或超過特定閾值的網絡事件。
三、對網絡犯罪治理的展望
可以預見的是,未來網絡犯罪仍將繼續迭代升級、治理難度將持續提升。網絡安全風險投資公司Cybersecurity Ventures 于 2022 年 10 月發布《2022年官方網絡犯罪報告》(2022 Official Cybercrime Report),指出未來五年全球網絡犯罪造成的損失將以每年 15% 的速度增長,到 2025 年達到 10.5 萬億美元,如果以國家的經濟體量衡量,那么網絡犯罪將是僅次于美國和中國的世界第三大經濟體。基于此背景,各國應當秉持網絡空間命運共同體理念,從規則制定、國際合作、多元協同、能力建設方面聚焦網絡犯罪治理工作。
一是在規則制定層面,應當繼續推進網絡犯罪全球性公約的起草工作。2019 年 12 月 28 日,聯合國正式批準了由中國、俄羅斯等國牽頭起草的決議,并于 2020 年建立特設專家委員會,聯合國際力量“打擊為犯罪目的使用信息通信技術”,啟動聯合國框架下打擊此類犯罪的國際公約的起草工作。該項公約旨在強化國際合作,在聯合國人權保障規范體系的基礎上,提升網絡空間犯罪治理的整體效能。2023 年是公約起草的關鍵年,我國在繼續推進公約制定的同時,積極全面開展國內法與公約的對接工作,確保未來公約有關規定在我國刑事司法體系的快速、平穩轉化和落地。
二是在國際合作層面,應當有效協調現有的合作機制,構建全新的懲治網絡犯罪全球協同治理機制。2022 年 9 月 12 日,歐盟數據保護委員會(EDPB)發布《關于歐洲警察合作守則的 03/2022 號聲明》(Statement 03/2022 on the European Police Cooperation Code),明確提出警察合作是成員國之間安全的“關鍵因素”。目前,國家間已經開辟了一系列應對網絡犯罪的合作渠道。2022 年 7 月 13 日,新加坡個人資料保護委員會與中國香港個人資料私隱專員公署簽訂并更新了諒解備忘錄,旨在保持兩者現有的聯系以及就保障個人資料擴大合作范圍和加強緊密合作。2022 年 8 月 10 日,美國-墨西哥網絡問題工作組(the U.S.-Mexico Working Group on Cyber Issues)召開了自美墨安全、公共衛生和安全社區二百周年框架建立以來的首次雙邊網絡對話并發布聯合聲明,建議加強在技術協助、信息共享、事件響應管理、勒索軟件、執法和調查、公私伙伴關系以及關鍵基礎設施保護等方面的合作。2022 年 8 月 17 日,澳大利亞宣布加入全球跨境隱私規則論壇(the Global Cross-Border Privacy Rules Forum),鼓勵經濟體之間的互操作性和合作,努力彌合數據保護和隱私框架的差異,并期望通過數據的安全流動促進全球貿易。2022 年 9 月 23 日,美日印澳四國于紐約舉行四方外長會議并就勒索軟件發布聯合聲明,將互相協助抵御針對關鍵基礎設施的惡意網絡活動,建設開放、安全、穩定、無障礙、和平的網絡空間。2022 年 10 日 3 日,美英兩國簽署的《為打擊嚴重犯罪而訪問電子數據的協議》(Agreement on Access to Electronic Data for the Purpose of Countering Serious Crime)正式生效,進一步提升兩國間向網絡信息業者取證的效率。這些合作均在加強網絡犯罪治理的國際協同方面發揮了積極作用。
三是在多元治理層面,應當繼續推進公私主體間的協同配合。執法部門與相關公共和私營部門行為者之間的集體努力對預防、偵查、調查和打擊網絡犯罪至關重要。大型互聯網公司和執法機關合作共同打擊網絡犯罪,逐漸成為一種普遍做法并取得一定成效,例如羅馬尼亞網絡安全公司比特梵德(Bitdefender)與歐洲刑警組織、蘇黎世執法部門以及歐洲網絡犯罪中心與卡巴斯基等企業聯合建立的“拒絕勒索”國際合作項目(No More Ransom Project)開展合作,針對勒索軟件 LockerGoga 提供免費解密器,應對勒索軟件攻擊。各國應當繼續強化政府部門與網絡服務提供者等私主體之間的密切合作,加強網絡信息業者的協助執法義務。應當注意的是,現有規則體系在不斷從多個維度強化網絡信息業者等第三方主體參與社會治理義務的同時,并未就其可能形成的價值和義務沖突予以足夠關注。未來,應當更加關注網絡信息業者等私主體履行協助執法義務的可行性與合比例性。
四是在能力建設層面,應當持續加強有關執法部門迅速探查并應對網絡犯罪風險的能力。網絡犯罪的快速蔓延意味著各國有必要投入資源開展能力建設,通過信息交流、人員培訓等活動,更好地融合、提升執法部門、產業以及智庫等多方主體的業務認識和實務技能。對此,聯合國秘書處于 2022 年 5 月發布了《關于在刑事司法中加強使用數字證據和打擊網絡犯罪,包括利用互聯網在非法活動中虐待和剝削未成年人的專題討論指南》(Guide for the Thematic Discussion on Strengthening the Use of Digital Evidence in Criminal Justice and Countering Cybercrime, including the Abuse and Exploitation of Minors in Illegal Activities with the Use of the Internet),著重從加強刑事司法機關的能力建設方面提升數字證據在打擊網絡犯罪的關鍵作用。同時,國際刑警組織也呼吁成員國通過利用國際刑警組織提供的工具、平臺和區域行動服務臺,在區域和全球范圍內與國際刑警及其合作伙伴和其他受影響成員國加強合作,共同支持國際刑警的能力建設舉措和項目,縮小成員國之間有效打擊網絡犯罪的能力差距。基于此,2022 年 10月 21 日,國際刑警組織推出了專門為全球警察執法而設計的元宇宙,嘗試為全球執法部門提供沉浸式在線培訓課程。上述探索均有助于提升刑事司法機關打擊網絡犯罪的能力,從而推動網絡犯罪的有效治理。
