假如您公司的数据在暗网上出售，您是否应该买回来？

有一天，我接到一家大型金融机构的内部法律顾问莎拉*的电话。她告诉我：“我们的[信息安全]团队在做例行搜索时发现了一份在暗网上出售的员工密码的列表。业务人员想把它买回来。我们应该做什么？我们应该自己买吗？有什么坏处吗？”

我经常接到这样的电话，简短的回答是，在大多数情况下，法律和声誉风险远远超过购买数据的好处。网络罪犯经常使用暗网——犯罪和非法活动的中心——出售他们通过撞库攻击、网络钓鱼攻击、黑客攻击甚至公司内部人员泄露的未经授权访问的公司数据。

法律和声誉风险包括：

它推高了您公司数据的价格，并使您成为了目标。

如果您购买了您公司的数据，这不仅会使数据本身变得更加昂贵——您还可能获得愿意支付费用的公司的声誉，从而使您成为未来网络勒索和赎金攻击的更理想的目标。

即使网络犯罪分子不知道您的公司是购买者，他们仍会注意到数据正在出售。如果他们确实知道您的公司是买家，他们可能会在自己的圈子中宣传这一点，使您的公司处于进一步的声誉风险之中。

您不知道您从这些数据中得到了什么。

从暗网购买数据本质上是有风险的，因为您总是从不值得信任的人那里购买数据——威胁行为者或从黑客那里非法购买数据的人。数据中可能包含恶意代码和/或包含可能为网络犯罪分子提供未经授权访问公司系统的特洛伊木马程序。

这些数据可能包含来自其他公司的机密或内部信息。

卖家可能将您公司的数据与其他来源的数据结合起来提供，包括您的竞争对手或商业伙伴。您不会知道这一点，直到它太晚了。然后，这些数据的所有者可能会声称您的公司违反了保密协议或其他法律（盗用商业秘密或更糟的是，收到被盗财产）。

您的购买可能会触发通知义务并增加监管风险。

购买数据可以为您提供数据已被泄露的证据，这将触发向消费者和监管机构报告的要求，使您面临诉讼和执法行动的风险。在最好的情况下，您会被置于一个困难的境地，即确定是否触发了监管通知，或者冒着监管机构后来会声称它应该被通知的风险。

您的购买甚至可能违反美国的制裁。

由于很难确定卖家的身份，如果威胁行为者与受制裁国家有关联，购买数据可能会使您的公司承担违反美国财政部规定的责任。美国财政部外国资产控制办公室 (“OFAC”) 对向威胁行为者付款的企业采取执法行动，因为这些付款构成了违反美国制裁的行为。

即使您使用第三方采购商，您的公司仍然可能有风险。

然后，第三方服务将可以访问您公司的客户、供应商和员工数据，从而使这些数据面临额外的风险。而且，您可能仍要承担指导付款的责任。

您可能会被数据泄露的个人起诉。

您可能有法律义务通知个人您在暗网上发现了他们的数据。这些人可能会指责您的公司没有妥善保护他们的数据，也许会不公平地认为入侵的是公司的系统或公司的错误。这可能导致业务损失和可能的诉讼。

这些信息可能仍然存在于暗网上并被出售。

鉴于您正在与网络犯罪分子或其同伙打交道，因此无法保证购买会导致数据得到完全保护。卖方可能没有掌握或控制您被盗数据的所有副本，因此无法阻止进一步的销售或传播。或者他们自己可能继续将您的数据卖给别人。

出于上述许多相同的原因，从暗网购买与您公司业务无关的数据是不可取的。您的公司将面临接收被盗信息甚至竞争对手的商业秘密的风险，从而造成法律和声誉上的双重风险。在任何情况下，这都是不可取的。

我们认识到，在某些情况下，贵公司可能仍会考虑从暗网上购买信息。这些购买应该是非常罕见的，并且要格外小心。在这些情况下，还应进行OFAC分析，以降低您从受制裁国家或个人购买数据的风险。