数字化营销已经成为企业战略的核心,随着利用大数据进行营销推广需求的迅速普及,可能面临一系列新型的法律风险,譬如如何识别和应对“黑灰产”可能给商家带来的经济和声誉损失,如何防止过度收集和错误使用个人信息,如何防止算法歧视和信息茧房,如何确保广告内容合规等。本文旨在站在手机运营商和卡商视角,理清厘清“黑灰产”可能给其带来哪些刑事风险。
文 | 万波
网络黑灰产是大家约定俗成的称呼,法律层面并无明确定义,根据威胁猎人发布《2022年黑灰产业研究报告》[1] ,黑灰产业链整体结构可按照供需关系分为资源、服务、变现三个层级,并以此来区分产业链的上中下游:
(1) 资源层:作为上游,把控黑灰产的底层基础资源;
(2) 服务层:作为中游,整合上游资源和自身技术,为下游攻击提供各种支持;
(3) 变现层:作为下游,对业务进行攻击并最终实现利益变现。
移动运营商是手机卡的发卡单位,包括传统运营商(即电信、移动、联通、广电)和虚拟运营商(Virtual Network Operator)两大类。
其中虚拟运营商是指依靠租用传统电信运营商的通信资源开展电信业务的新型电信运营商。虚拟运营商一般拥有某种或者某几种能力(如技术能力、设备供应能力、市场能力等),在租用基础通信资源之后,根据自身主营业务优势对通信服务进行深度加工,最终以自己的品牌、自建的客户服务系统,向消费者提供通信服务。
2013 年 5 月 17 日,工信部发布了《关于开展移动通信转售业务试点工作的通告》(工信部通[2013]191 号)(“《通告》”),随通告一起下发了《移动通信转售业务试点方案 》(“《试点方案 》”)及《移动通信转售业务试点申请材料及审查说明》(“《审查说明》”)。根据《试点方案》,转售企业仅从基础电信运营商处购买相关的移动通信业务,并不实际对移动通信业务进行运营,也无需拥有无线网、核心网、传输网等移动通信网络基础设施。
2013年12月26日,工信部发放首批虚拟运营商牌照,首批获得牌照的企业确定为11家,由此拉开了虚拟运营商的产业发展大幕。
据智研咨询《2025年中国虚拟运营商产业链图谱、发展现状、企业竞争格局及前景分析》报告[2]中披露,我国的虚拟运营商分为六类(见上图),2013年后我国虚拟运营商在网用户数一度急速增长,2019年,我国虚拟运营商用户规模达到顶峰,约14489万户。然而,过快地扩张使得大量违规卡充斥在市场上,行业客户规模“水分”巨大,随着实名制等政策深入推进,虚拟运营商从粗放式规模增长到精细化质量提升转变,2020年以来我国虚拟运营商用户规模逐年下降,到2023年,全国总用户数量下降至8084万户。
2025年的3·15晚会上曝光了许多外呼公司通过虚拟运营商,购入“小号”(以16、17开头)拨打营销电话,这些号码没有实体手机卡,也无需实名认证,且能通过AI机器人24小时无休止拨打。同时,这些公司能利用打显技术,将电话伪装成本地号码,骗取用户接听。
此外,外呼系统还能通过预设关键词触发话术,让AI无限接近真人通话。曝光后,工信部连夜责令基础电信运营商关停违规线路,督促互联网平台企业全面清理违法外呼软件推广信息,并对虚拟运营商、呼叫中心企业展开核查,严厉查处违法违规企业,加大曝光力度。
而促成这些事件的其中一个核心要素就是黑手机卡(一般简称“黑卡”),现在互联网平台在用户注册时,几乎都需要用户通过手机号接收验证码进行实名认证,手机号已经成为网名的通行证,卡商在产业链的最上游,掌握核心资源黑手机卡,是整个产业链的关键节点。卡商在黑灰产业链中的位置见下图[3]:
根据威胁猎人的研究发现,目前的黑手机卡主要有三种类型:
序号 | 类型 | 特点 | 获取渠道 | 具体手法 |
1 | 猫池卡 | 手机卡掌握在卡商手中,并插在特殊的设备猫池上收发验证码 | 通过四大传统运营商的营业厅和网络渠道办理的实卡 | 一般1张身份证最多能办理3-5张;手机卡要实名认证,厅卡要本人去营业厅办理,网申卡则要在收到手机卡后人脸识别激活。 卡商冒用他人名额办卡:普通人一般只办理 1 张手机卡,卡商通过跟运营商内鬼合作的方式,冒用他人剩下的名额去申请手机卡。 卡商利用审核不严缺陷:卡商利用手机营业厅对办卡的审核较为松懈,或者营业厅有内鬼勾结,直接拿他人身份证在营业厅办卡。 卡商利用真人众包作弊:卡商会在黑产论坛、匿名社交软件等发布收卡广告,吸引真人办卡。 |
通过虚拟运营商办理的虚卡[4] | 虚卡的号段是固定的,目前11位手机号主要开通了5个号段,分别是:162、165、167、170、171,较容易被识别。 成本低,虚拟运营商为吸引用户办卡,往往采用极低的月租甚至0 月租。 门槛低,通过虚拟运营商办卡不占四大运营商的名额,仅用一张身份证,就能通过不同的虚拟运营商办理几十张卡。 | |||
利用物联网卡 | 物联网卡是运营商给物联网领域的企业使用的,用于物联网设备的通信。 卡商以较低的价格,从物联网企业手中购买其流量资源。这些物联网卡由于其价格优势,同时部分物联网卡不需要实名登记,所以一度也成为黑产的“香饽饽”。 | |||
2 | 拦截卡 | 手机卡在用户手里,但是卡商在插卡设备中提前植入了后门 | 植入后门至中低端手机 | 卡商在插卡设备中提前植入了后门,可以拦截用户手机收到的短信验证码。 拦截卡要求持有设备的正常用户未开通黑产目标线上业务,为此,拦截卡的目标主要集中在出口国外的手机、中低端手机、儿童智能手表等类设备上,因为使用这些设备的用户分别对应国外用户、老年人和小孩,他们开通黑产目标业务的可能性很低。 |
植入后门至出口国外的手机 | ||||
3 | 虚拟小号 | 通过虚拟号码实现主号隐藏,避免信息泄露 | 通过运营商办理 | 虚拟小号主要来源于运营商推出的虚拟小号服务,包括联通沃小号、移动和多号等。该功能的本意是保护个人隐私,适用于某些场景避免泄露主号,但虚拟小号业务也被卡商以“好处费”诱导他人办理并转售给自己,用于接码等作恶流程。 除了运营商,某些企业也支持类似的虚拟小号业务,比如国外的 Google Voice、国内的阿里小号,以及云厂商提供的隐私保护号码等。 这类号码要以企业身份申请,并且资质审核严格且周期长,但一旦申请成功就能一次获取上万甚至十万规模的虚拟小号,因此常被卡商恶意利用注册大量黑手机卡。 另外,云厂商提供的隐私保护号码,近年来被卡商滥用的情况愈发严重。利用云平台隐私保护通话自带的短信通知功能,卡商可以轻易编写出自动化的接码程序。 |
通过特定业务办理 |
1、有关“帮助信息网络犯罪活动罪”的法律规定
2015 年,《刑法修正案(九)》,新增帮助信息网络犯罪活动罪。
两高于2019年出台了《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》。
两高一部《关于“断卡”行动中有关法律适用问题的会议纪要》、最高检《关于办理电信网络诈骗及其关联犯罪案件有关问题的解答》中也对“帮信罪”有相关规定。
2025年7月,两高一部出台了最新的《关于办理帮助信息网络犯罪活动等刑事案件有关问题的意见》。
2、有关“侵犯公民个人信息罪”的法律规定
2009年2月28日,《刑法修正案(七)》增设了刑法第253条之一,规定了“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”。
2015年11月1日,《刑法修正案(九)》对刑法第253条之一作出修订,包括将犯罪主体的范围从“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”扩大到任何主体,并将“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”整合成“侵犯公民个人信息罪”。
2017年5月9日,两高发布了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,就侵犯公民个人信息罪的若干法律适用问题做出解释。
随后最高检又在2018年11月印发了《检察机关办理侵犯公民个人信息案件指引》。
3、关于电信网络“诈骗罪”共犯的法律规定
2016年,两高一部联合出台了《关于办理电信网络诈骗等刑事案件适用法律若干问题的意见》,对于涉“手机卡”行为,《意见》第三条和第四条分别指出了两种不同的处理方式。
第一种是以其他罪名来认定,体现在第三条,其中:第(二)款是以“侵犯公民个人信息罪”追究刑事责任的情形,第(六)款是以“拒不履行信息网络安全管理义务罪”追究刑事责任的情形,第(七)款是以“帮助信息网络犯罪活动罪”追究刑事责任的情形。
第二种是以诈骗罪共犯论处,体现于第四条第(三)款,要求是“明知他人实施电信网络诈骗犯罪”并帮助诈骗分子。
因此,总体而言,对手机运营商/手机卡商而言,对涉“黑手机卡”的行为,将主要面临被认定为“帮助信息网络犯罪活动罪”,或“侵犯公民个人信息罪”,或诈骗罪等主罪的共犯这3种刑事风险。
根据《刑法》第二百八十七条之二规定,帮助信息网络犯罪活动罪是明知他人利用信息网络实施犯罪,为其犯罪提供互联网接入、服务器托管、网络存储、通讯传输等技术支持,或者提供广告推广、支付结算等帮助,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照第一款的规定处罚。
2025年7月,两高一部出台了最新的《关于办理帮助信息网络犯罪活动等刑事案件有关问题的意见》(下称“《2025年意见》”),对帮信罪的办案标准进行了重要调整和明确,这些变化对手机运营商和卡商带来了新的合规挑战和机遇。本所律师整理了如下表格,帮读者快速了解该《意见》出台前后规定的主要差异:
对比事项 | 2025年《意见》前规定 | 2025年《意见》后规定 | 差异点 |
主观故意的认定 | 具有下列情形之一的,一般可以推定行为人明知他人利用信息网络实施犯罪,但是有相反证据的除外: (一)经监管部门告知后仍然实施有关行为的; (二)接到举报后不履行法定管理职责的; (三)交易价格或者方式明显异常的; (四)提供专门用于违法犯罪的程序、工具或者其他技术支持、帮助的; (五)频繁采用隐蔽上网、加密通信、销毁数据等措施或者使用虚假身份,逃避监管或者规避调查的; (六)为他人逃避监管或者规避调查提供技术支持、帮助的; (七)取钱人持有多张户主不同的银行卡或者多张假身份证,无法说明缘由的; (八)收购、出售、出租单位银行结算账户、非银行支付机构单位支付账户; (九)电信、银行、网络支付等行业从业人员利用履行职责或提供服务便利,非法开办并出售、出租他人手机卡、信用卡、银行账户、非银行支付账户等的; (十)跨省或多人结伙批量办理、收购、贩卖“两卡”的; (十一)出租、出售“两卡”后,收到公安机关、银行业金融机构、非银行支付机构、电信服务提供者等相关单位部门的口头或书面通知,告知其所出租、出售的“两卡”涉嫌诈骗、洗钱等违法犯罪,行为人未采取补救措施,反而继续出租、出售的; (十二)出租、出售的“两卡”因涉嫌诈骗、洗钱等违法犯罪被冻结,又帮助解冻,或者注销旧卡、办理新卡,继续出租、出售的; (十三)出租、出售的具有支付结算功能的网络账号因涉嫌诈骗、洗钱等违法犯罪被查封,又帮助解封,继续提供给他人使用的; (十四)事先串通设计应对调查的话术口径的; (十五)曾因非法交易“两卡”受过处罚或者信用惩戒、训诫谈话,又收购、出售、出租“两卡”的等。 | 新增了3种可推定“明知”的情形: (1)非法提供电话卡批量插入设备,非法提供具有改变主叫号码、虚拟拨号、互联网电话违规接入公用电信网络等功能的设备、软件,非法提供批量账号、网络地址自动切换系统、批量接收提供短信验证、语音验证的平台的; (2)因涉诈等异常情形被金融机构、电信业务经营者、互联网服务提供者采取限制、暂停服务等措施后,仍然实施有关行为的; (3)事先准备应对调查的话术口径的。 | 新增了批量注册卡号、接收验证码、隐藏电话号码的“卡池”或“接码平台”或“改号工具”的针对性规定,降低了主观意图的证明难度。 |
情节严重的认定 | (一)为三个以上对象提供帮助的; (二)支付结算金额二十万元以上的; (三)以投放广告等方式提供资金五万元以上的; (四)违法所得一万元以上的; (五)二年内曾因非法利用信息网络、帮助信息网络犯罪活动、危害计算机信息系统安全受过行政处罚,又帮助信息网络犯罪活动的; (六)被帮助对象实施的犯罪造成严重后果的; (七)收购、出售、出租信用卡、银行账户、非银行支付账户、具有支付结算功能的互联网账号密码、网络支付接口、网上银行数字证书5张(个)以上的; (八)收购、出售、出租他人手机卡、流量卡、物联网卡20张以上的。 | 新增了3种认定“其他情节严重”的情形: (1)出售、出租本人银行账户、支付账户三个以上,且账户流入资金三十万元以上的; (2)收购、出售、出租非本人银行账户、支付账户或者单位银行账户、单位支付账户,且账户流入资金三十万元以上的; (3)收购、出售、出租电话卡、物联网卡二十张以上的。 | 对电话卡而言,不再区分“他人”或“本人”,只要收购、出售、出租电话卡累计20张以上,即可入罪。 |
从严打击的情形 | 仅有原则,但缺乏具体情形指引。 | 新增了8种从严惩处的情形: (1)组织或者长期从事收购、贩卖他人银行账户、支付账户、单位银行账户、单位支付账户、电话卡、物联网卡、互联网账号等非法活动的; (2)组织、利用未成年人、在校学生、老年人、残疾人等群体实施犯罪的; (3)电信、金融、互联网等行业从业人员利用职业或者提供服务便利实施犯罪的; (4)跨境非法提供技术支持或者帮助的; (5)提供专门或者主要用于信息网络犯罪活动的技术、软件、设备的; (6)利用“深度合成”等人工智能技术实施犯罪的; (7)二年内曾因帮助信息网络犯罪活动、掩饰、隐瞒犯罪所得、犯罪所得收益等行为受过行政处罚的; (8)五年内曾因帮助信息网络犯罪活动、掩饰、隐瞒犯罪所得、犯罪所得收益等行为被判决有罪或者作相对不起诉的。 | 明确将组织性、职业性、跨境协同、利用AI技术犯罪、行业“内鬼”作为从严打击情形。 |
根据《刑法》第二百五十三条之一的规定,侵犯公民个人信息罪是指违反国家有关规定,向他人出售或者提供公民个人信息,或窃取或者以其他方法非法获取公民个人信息,且情节严重的行为。单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。
2027年5月,两高出台了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,对个信罪的办案标准进行了明确,这些变化为手机运营商和卡商带来了新的合规挑战和机遇。本所律师整理了如下表格,帮助读者快速了解该《解释》的主要内容:
事项 | 主要内容 | 差异点 |
公民个人信息的认定 | 将“公民个人信息”确定为电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。 | 将“反映特定自然人活动情况的各种信息”(如行踪轨迹)以及账号密码列入刑法保护的公民个人信息的范畴。 |
违反国家有关规定的认定 | 将“违反国家有关规定”的范围限于违反法律、行政规章、部门规章。 | 将“部门规章”首次列入刑法中“国家有关规定”的范畴。 |
非法提供公民个人信息的认定标准 | 将“通过信息网络或者其他途径发布公民个人信息”,将“合法收集的公民个人信息”未经被收集者同意就向他人提供也视为“提供公民个人信息”。 | 扩大了对外提供公民个人信息的范畴。 |
情节严重的认定 | (1)非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息四类公民个人信息;该类信息与人身、财产安全息息相关,属于高度敏感信息。因此,《解释》第五条第一款第三项将入罪标准设置为“五十条以上”,入罪门槛较低; (2)非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息;该类公民个人信息虽然在重要程度上弱于行踪轨迹信息、通信内容、征信信息、财产信息,但也与人身安全、财产安全直接相关,往往被用于“精准”诈骗等违法犯罪活动;因此,《解释》第五条第一款第四项将入罪标准设置为“五百条以上”; (3)非法获取、出售或者提供一般公民个人信息的;该类公民个人信息包括姓名、身份证号码、电话号码等一般信息,相对前两种信息而言,重要程度上略弱,实践中非法出售、提供的数量较大。因此,《解释》第五条第一款第五项设置较低的入罪标准,将非法获取、出售或者提供公民个人信息五千条以上的规定为“情节严重”; (4)非法出售、提供的信息被用于犯罪的,或知道或者应当知道他人利用公民个人信息实施犯罪,仍然向其出售、提供的,不论数量,均被认定为“情节严重”。 | 对于公民个人信息进行了分类,分别设置了“五十条以上”“五百条以上”“五千条以上”以及“零条”的入罪标准。 |
从严打击的情形 | (1)对将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人的,认定“情节严重”的数量、数额标准减半计算。 (2)对曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法获取、出售或者提供公民个人信息的,直接认定为“情节严重”。 | 对于利用职务便利获取信息和屡次实施同类违法犯罪这两类情形,单独作出规定,降低入罪门槛,进行从严打击。 |
2025年7月,两高一部出台的《关于办理帮助信息网络犯罪活动等刑事案件有关问题的意见》对帮信罪与诈骗罪等关联犯罪共犯的区分规则这一司法实践中争议较大的问题,提出更为明确的适用规则。
该《意见》规定:“为他人利用信息网络实施诈骗等犯罪收购或者组织、招募、介绍人员提供银行账户、支付账户、电话卡、物联网卡、互联网账号等,事先通谋或者形成较为稳定配合关系的,按照电信网络诈骗等信息网络犯罪的共同犯罪处罚。”
如在绥北人民法院(2021)黑8111刑初9号的判决中,可初步窥见两者之间的区别:被告张某通过为电信诈骗集团搭建网站及app,获利一百多万元,而为了逃避打击通过其妻子及妹妹等人的支付宝及银行卡进行与诈骗集团服务费用的结算。在裁判理由中,判决书写到:“被告人张某、胡某明知他人实施电信网络诈骗犯罪,仍提供技术支持,致使他人被骗数额巨大,已经构成诈骗罪……本案系共同犯罪,张某,胡某系从犯。”“被告人林某(张某之妻)、张某2(张某之妹)明知他人利用信息网络实施犯罪,仍为其犯罪提供支付结算帮助,情节严重的行为,已构成帮助信息网络犯罪活动罪。”该案中,辩护人同样提出了张某行为属于帮助行为,应适用帮信罪,同样法院也未予采纳。
随着2025年7月两高一部《关于办理帮助信息网络犯罪活动等刑事案件有关问题的意见》的出台,对于数字化营销而言,以往手机运营商和卡商某些游走在灰色地带的“捷径”和“玩法”,如非法开办并出售、出租自己的手机卡,开设猫池、接码平台,提供改号工具的刑事风险陡增。未来的数字化营销,必须重视“黑灰产”可能带来的风险及其防范。
[1]https://finance.sina.com.cn/wm/2023-03-23/doc-imymwrwx9982223.shtml
[2]https://www.chyxx.com/industry/1204116.html
[3]见王东旭:《广告与营销风控:方法与实践》,机械工业出版社,P232
[4]“虚卡”的优势满足了卡商低价、高频办理黑手机卡的需求,因此虚卡是卡商批量开卡的主要来源之一,威胁猎人2023年捕获的活跃黑手机卡类型数据显示,“虚卡”占比达66.52%。
BOSS & YOUNG
律师介绍
万波
上海邦信阳律师事务所 合伙人 📍上海
wanbo@boss-young.com
万律师主要执业方向为金融证券、金融科技、人工智能与数字经济领域,现为邦信阳人工智能与数字经济全国业务委员会主任,并任中国个人信息保护合规审计推进小组成员、上海市律师协会数据合规与网络安全专业委员会委员、上海大数据联盟成员、上海数商协会成员、上海仲裁协会数字经济与人工智能研究委员会委员、基于川渝的部省协同公路行业可信数据空间联盟理事等社会职务。具有国际云安全联盟(CSA)认证数据保护官资质,被China Business Law Journal连续评为2022年“A-List”法律精英,2023年、2024年“The Visionaries睿见领袖”,入选律新社“2024年度数据合规领域品牌之星匠心律师”,2024年度LegalOne实力之星(Stellar Accolade)。曾于2023年出版《数据与个人信息疑难问题法律指引——基于251则典型案例的分析》专著,并牵头撰写《2024人工智能与数字经济法律研究报告——银行保险篇》、《2024人工智能与数字经济法律研究报告——公共数据运营篇》等专题报告,并办理了上海首批2个“上海数据”品牌认证项目、全国交通行业数据产品挂牌及数据资产入表第一单项目、上海数据产品知识产权融资第一单项目等。
Boss & Young Since 1995
法治兴邦·知行于信·大道向阳
使 命:让律师成为法治社会的重要助推
愿 景:法治天下·诗意栖居
价值观:可靠、高效、富有创造力,守正、相与、永葆进取心
来源:邦信阳律师事务所
编辑:鱼仔
责任编辑:高兴、陈默
声明:本文仅代表作者本人观点,不得视为邦信阳律师事务所及律师出具的正式法律意见或建议。转载请注明来自“邦信阳律师事务所”公众号。如您有意就相关议题进一步交流或探讨,欢迎与我们联系,电话:+8621 23169090,邮箱:shanghai@boss-young.com
点击“阅读原文”,登录邦信阳律师事务所官网了解更多资讯。
