文章总结： 本文解释了暗网情报业务的合规路径，指出只有像HIBP那样将原始数据清洗为无害的安全情报、提供数据删除服务、援引合法利益条款、与执法机构合作且不以盈利为目的，才能合法存活。在国内，除警方依法调取外，任何获取公民个人信息的行为均属违法，因此作者业务坚守不碰国内数据、只服务体制内客户、技术隔离、非盈利等底线，确保合规。 综合评分： 65 文章分类： 政策法规,数据安全,网络安全,其他

对广告3背后法条的简单解释

原创

bigeye_sec bigeye_sec

大眼睛网络安全

2026年2月24日 17:23 山东

对广告3背后法条的简单解释

没想到还有对这个好奇的,拿出来简单说一说,

不止广告3业务,我们这三年推出的其他业务,都是正常的、可以大大方方拿出来开展的.

下面详细说说缘由.

关于暗网业务的合规问题,全世界也只有HIBP一人趟出了路子,后面的人无非是学的像不像而已,抛开有证照的大厂(对的,这个行当是可以申请到证照的),其他的如果和HIBP不像的话,那么全都是违法的.

HIBP的先决条件是这样的:

1. 可以在背后碰原始情报,但是露在表面的一定是”无害”的,只能是”我监测到某个邮箱密码泄露了”这种,服务器只能存k-Anonymity数学指纹,绝对不能出现原始数据.
2. HIBP和fbi、cia有合作,这个合作作为一个背书存在.
3. 援引GDPR第6条第1款:legitmate interests,通俗的说吧,HIBP给自己的生意做了一个道义上的升华:”我搞暗网这坨事是为了网络安全是为了教育民众是为了预防欺诈”.
4. HIBP提供数据删除服务,用户如果发现自己的信息泄露了,可以申请在网站中删除这些数据.
5. 其他国家的信息保护法案基本上也会有类似”处理个人数据若是为了确保网络和信息安全balabala”这种条款,此类条款就是一个松字决.
6. 最后,也是最重要的一条—“好撒马利亚人”,这个圣经的故事指的是”不顾隔阂无私帮助陌生人的善心人或见义勇为者”,如果没有这最后1条,那么其实上面5条都是无用的, 这条通俗的说就是: 可以在暗网进行工作,但是不能盈利.

综上6个全部集齐之后,HIBP才存活了下来,缺一不可.

这也是为什么HIBP从来没有在美国因为”持有盗窃物品”这个罪名遭到逮捕.

一句话总结就是:任何人都可以从暗网捞取情报,但是得把这些情报数据清洗成合法的”安全情报”,而且只能告诉受害者本人,而且这个工作还得是义务劳动,而且要还倒贴资金尽到对受害者用户的通知义务.

上面这个Scenario到了国内之后更为严峻,

最高法最高检司法解释明确规定:”违反国家有关规定,通过购买、收受、交换等方式获取公民个人信息,属于非法获取公民个人信息,构成侵犯公民个人信息罪”

这个是判实刑的.

在国内只有警察叔叔依据数据安全法35条开具调取通知书之后才能合法提取数据,除此之外,任何实体对数据的掌握都是违法的.

注意小编在这里用的定语:”任何”— 除了警察叔叔,其他的都是违法的.

律师行不行?有没有可能转一道? 法条有没有留个空子? 这个我们创业之前也研究过,律师也不行,律师沾这个也得进去.

就算是上面说的老美那边有拿到证照的和律师合作也不行,律师只能碰”报告结论”,除了”结论”碰其他的就是违法.

我们再递进一步,我们不止要在暗网下载数据,我们还要在暗网勾搭各个国家手中有情报数据的小黑阔们,还要让他们为我所用,让他们为我们进入各个闸口掏东西?

可行吗?

不可行,这个行为连HIBP也是黑的,老美那边表面建议在暗网开展情报活动前要向当地联邦执法机构报备,防止误伤”自己人”.

但是其实,我们研究了,这个根本就不是建议,只要碰了,就是完球.

一切与卖家沟通询价索取样本谈判的行为都是”招揽促成犯罪活动”,都是违法的.

懂行的看到这里应该就明白是怎么回事了.

为什么我们设计的业务是正常的,可以大大方方开展的.

其实这两年发的公众号文章中也是有痕迹的,广告1中也有有说明为什么要”善的”.

下面这些文字看着单薄其实头脑风暴了很久的结果:

1. 再也不能出国了.全球100多个国家,只要不出国,那么就注意不要违法国内的相关法条就行了.
2. 如何不违反国内相关法条? 坚决不碰国内数据. (有些时候一些不怀好意的客户会诱导你碰这个,千万不能上当.)
3. 只选择体质内的客户,坚决不能和个人合作(体质内的通过公司转一道算他们自己违规算例外),这个就是为什么我们收钱之前必须先看看牌牌的原因了,没有牌牌我们是不收钱的.

上面三条怎么保证实施的顺畅?

一句话:不给客户惹麻烦.

• 安全方面的投入要舍得花钱,不能为了省钱导致被溯,不能给客户惹麻烦.
• 技术能力要强,业务能力要过硬,确保将暗网假情报无关情报尽量筛出去,不能给客户增加负担.
• 牢牢守住底线,与业务无关的事情,坚决不干,坚决不触碰任何违反国内相关法律法规的事情.
• 讲道德品质,每一个客户的资源都要隔离,说隔离就是真隔离,不能用客户A的东西给客户B办事.
• 君子之交淡如水,自觉做好隔离带,任何情况下,止步于我们团队自己.

反过来呢?

其实按照上述规划,再有情况也只在客户处了,比如客户被逮(俗称落马)牵连到我们,这种情况下怎么办?

• 我们与客户只有业务往来关系,没有线下私人交往,机位能看见的只有工作信息.
• 我们收费很低,不是暴利行业,那些天天忙得要死,顿顿吃泡面的纪委根本看不上这仨瓜俩枣.
• 最重要的,我们的服务没有”试用”,这个是不可想象的,在网络安全这个行当,特别是面对体质内客户如果没有试用那么能够合作的可能性是极其渺茫的, 但是就是因为我们没有”试用”,这样筛选出来的客户,都是在大领导面前能够有说得上话的,也就是我们筛选出来的客户都是水平高的,他们是靠和领导的良好关系靠自己的业务水平促成的合作.

退一万步说,就算被牵连,只要对着业务审视,我们的行为也是为人民服务,一个利国利民的行为,也不会被逼到跳楼保家人.

还有没有极端情况?

有的.

比如在国内被自己人摁了,比如被cia上门摁头了.

前者前几年听说比较常见,一些不懂业务的为了KPI瞎办案,这几年已经很少了.

后者如果真遇上,那其实也无有可法,就当牺牲了吧—从工作的角度也当得起牺牲这两个字,就算实打实讲功劳,小编这20年的工作真被cia摁了,也当得起牺牲这两个字.

在暗网这个渠道刨食,筹划到最后,基本上就是上面这个唯一解了.

算无遗策不敢说,有限智力范围内,对我们来首已经是算无可算了.

供各位参考.

供好奇的小伙伴参考.

供想做文章的小伙伴参考.

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：大眼睛网络安全 bigeyesec bigeyesec《对广告3背后法条的简单解释》