记者调查“开盒”背后的个人信息非法贩卖

百度副总裁谢广军女儿“开盒”事件引发公众对个人信息保护的关注。3月19日，百度对外发布声明称，该事件的开盒信息并非源自百度，而是海外的社工库，“一个通过非法手段收集个人隐私信息的数据库”。

澎湃新闻发现，事实上，“社工库”是一个隐秘的角落，对于大多数人来说，无法直接触及。但一些人利用“社工库”的数据资源，购买他人个人敏感信息，完成“开盒”。如此一来，形成了一桩桩非法贩卖个人信息的交易。

一位从事网络安全工作的人士透露，“社工库”在外网存在已久，一般宣称其可以查询姓名、电话、住址、微信号、开房记录等个人信息，实际是利用已有的多个数据库进行比对，获得基本个人信息后再进行交易牟利，其背后有一条非法产业链。

特别需要提醒的是，“开盒”行为，买卖个人信息，可能构成侵犯公民个人信息罪，需承担刑事责任。有业内专家提醒，登录境外网站、平台买卖个人信息，不仅是违法行为，还可能上当被骗。

1、300元买到个人信息

通过关键词检索，记者近日与境外某平台一个“社工库”取得联系。对方称，姓名、电话、住址、家庭成员、银行流水等信息都可以查询，不同查询内容有不同的收费标准，需先付款。

记者提供本人姓名，提出查询本人的电话和住址。该“社工库”称，需先付款300元，并发来三个收款二维码。记者扫码支付时发现，系统提醒“本次交易存在欺诈风险”，需申请解除限制才能进行支付。解除限制后，记者成功付款300元。

约半个小时后，对方发来了记者本人的电话、QQ号和住址。该电话、QQ号、住址是“真的”，但均为记者多年前使用过的。因居住地发生变化，记者已经换了住址。记者提出要查询最新的家庭住址以及家庭成员信息，该社工库要求加钱300元，随后记者又付款了300元。

该社工库迟迟没有发来最新家庭地址及家庭成员信息，记者经询问，其回复称这些需要深度查询，还需要加钱。为防止被骗，记者便没再付款。

2、全家户籍、银行流水、人身轨迹等均被明码标价

公开资料显示，所谓社工库，是指通过社会工程学的手段收集、整理个人或组织的信息数据库，包括姓名、电话、住址、邮箱、社交账号、户籍信息、财务记录等敏感数据。其数据来源多样，如通过公开渠道获取，也可能通过网络钓鱼、恶意软件等方式获取，还可能是某些平台、网站等泄露了相关数据。

记者检索发现，在境外网络上，存在很多大大小小的社工库，均声称可以“开盒”，进行个人信息买卖交易。

在某“社工库”，群组内有十几万人，异常活跃。该“社工库”多采用机器人自动查询回复，需要购买更具体的个人信息，则可以联系他们的管理人员。记者向其管理人员提出查询需求时，对方发来了9个微信收款二维码，称需付款才能查询。

其提供的查档价格表显示，全家户籍、婚姻记录、开房记录、银行流水、人身轨迹、手机号定位、名下财产等都可以查询，其中出单周期最短的为1天，最长的为1-7天，收费从几百元到数千元不等。

为了吸引用户，该“社工库”还推出了优惠服务，如普通用户每天签到1次即可获得查询1次个人信息的机会，还可以通过邀请新用户等方式，获得更多查询的机会。

澎湃新闻记者通过该“社工库”查询自己的信息发现，其能查询到完整的身份证号码，但所查手机号码、家庭住址等信息较为陈旧。其提供的查询结果中，家庭住址是5年前的，另外还查到了记者大学时期的学生证号、使用过的手机号码等十几年前的个人信息。

在另一个社工库，其声称可以查询微信聊天记录，要收费3000元。一位从事网络安全的业内人士提醒，根据平台存储信息的规则，外人很难查询微信聊天记录。在这些所谓的“社工库”中，也存在骗子，并不一定真的能查询所声称的那些信息，部分所谓的“社工库”收费查询的个人信息，实际上来自类似免费的非法自助查询数据库。

值得注意的是，买卖个人信息，或构成侵犯公民个人信息罪。根据《刑法》第二百五十三条之一的规定，违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。窃取或者以其他方法非法获取公民个人信息的，依照第一款的规定处罚。单位犯前三款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。

3、“内鬼”成为个人信息泄露的重要来源

在警务、房产、银行等相关部门单位领域，都曾被曝光过存在“内鬼”贩卖个人信息的情况。

早前与前述“社工库”相关人员线上接触中，对方也声称他们在警务、银行等领域有内部人员协助查询他人个人信息。

据2023年相关的普法案例信息，多地17名警务人员因非法查询公民信息被判刑，其中主要涉及一些辅警、民警违法从公安系统内部网络查询公民个人信息，或是受人之托，或是卖出获利。

而银行“内鬼”批量出售客户信息近些年也时有发生。2016年10月，绵阳警方破获公安部挂牌督办的“5·26侵犯公民个人信息案”，抓获包括银行行长在内的犯罪团伙骨干分子15人、查获公民银行个人信息257万条、涉案资金230万元，成功打掉了侵犯公民个人隐私的这一黑色产业链。

另据公安部今年3月通报的10起典型案例中，个人信息泄露渠道有教培机构、法律服务公司、快递行业等领域。

4、各方一起发力才能杜绝个人信息非法买卖

一位从事网络安全的人士表示，外网的“社工库”存在已久，一直很猖獗。早年，网络信息数据保护能力不足，行业也不够规范，不法分子通过网络钓鱼、“内鬼”泄密等方式获得了大量个人数据，一些平台的数据也被打包出售。这些数据经过拼凑、比对后，就可以形成一个人的基本信息，如个人身份信息、联系方式、社交账号等。因可以查询个人信息，部分人有这样的需求，明知道是违法行为，还是选择付款购买，再是这些数据也可能用来进行电信诈骗、网暴等违法犯罪行为。

该人士表示，数据泄露的源头有很多可能，如自己曾注册过的平台对数据保护不够导致泄露，甚至主动打包出售了数据。由于存在太多可能，很难追踪其源头。随着平台对数据保护力度加强，个人信息数据泄露情况已经改善，因此“社工库”查询到的个人信息，一般都是以前的信息，因为他们所使用的数据库很多都是以前的陈旧个人数据。

该人士还表示，“社工库”的违法交易，多发生在境外网站、平台，不法分子很可能身处境外，这大大增加了打击难度。而且，购买他人信息，本身是违法行为，若发现自己被骗，金额也不是很大，很多人也不会报警。

在“社工库”的个人信息交易中，涉及收款环节。据记者调查，多数“社工库”采用微信收款二维码的方式来收款。

上述人士指出，因涉及收款，就会存在收款账号，能关联到收款人。为了规避风险，不法分子采用了跟电信诈骗类似的套路，即用他人名义办理了这些收款账号，钱一到账就马上转走。这背后又涉及身份证、手机号、银行卡等买卖、盗用问题。就算公安机关去逐一排查每个收款账号，也很难有实质性突破。

该人士表示，要根绝“社工库”买卖个人信息的乱象，需要多管齐下、综合治理，需要互联网平台、通讯运营商、银行、公安机关等一起发力，很多都需要时间去一步步完善、规范。

（据澎湃新闻）