隱匿在境外某平臺的“社工庫”接連被曝光后，其管理成員對此并不在意。

對方聲稱，最近因媒體報道受到的影響是“咨詢量和單子變得異常地多?！?/p>

百度副總裁謝廣軍女兒“開盒”事件引發公眾對個人信息保護的關注。3月19日，百度對外發布聲明稱，該事件的開盒信息并非源自百度，而是海外的社工庫，“一個通過非法手段收集個人隱私信息的數據庫”。

澎湃新聞影子調查隊發現，事實上，“社工庫”是一個隱秘的角落，對于大多數人來說，無法直接觸及。但一些人利用“社工庫”的數據資源，購買他人個人敏感信息，完成“開盒”。如此一來，形成了一樁樁非法販賣個人信息的交易。

此外，在“社工庫”上存儲的大量個人信息，多為幾年前甚至十幾年前的陳舊個人信息數據，其來源多為不法分子通過“撞庫”或非法交易導致的批量個人信息泄露；而精確的個人信息，則可能需要一些部門、公司的“內鬼”配合才能獲取。

澎湃新聞記者嘗試“開盒”本人，與境外某社交平臺的“社工庫”取得聯系，通過二維碼付款300元后，對方提供了記者本人的姓名、手機號、QQ號、住址等信息。記者發現，對方提供的手機號、住址都是幾年前的陳舊信息。當記者提出要查詢更多信息時，對方提出要再付款。

而在另一個被多家媒體曝光的“社工庫”上，記者通過簽到領取積分就可以免費查詢任意某個人的個人信息。記者同樣查詢本人信息發現，其提供的手機號、家庭住址等信息基本為5年前至10年前的信息。而根據該“社工庫”提供的報價單，支付80元至9700元不等的錢，聲稱可以深度查詢任何一個人更多的個人隱私信息。

一位從事網絡安全工作的人士透露，“社工庫”在外網存在已久，一般宣稱其可以查詢姓名、電話、住址、微信號、開房記錄等個人信息，實際是利用已有的多個數據庫進行比對，獲得基本個人信息后再進行交易牟利，其背后有一條非法產業鏈。

特別需要提醒的是，“開盒”行為，買賣個人信息，可能構成侵犯公民個人信息罪，需承擔刑事責任。有業內專家提醒，登錄境外網站、平臺買賣個人信息，不僅是違法行為，還可能上當被騙。

新華社

300元買到記者本人陳舊個人信息

通過關鍵詞檢索，記者近日與境外某平臺一個“社工庫”取得聯系。對方稱，姓名、電話、住址、家庭成員、銀行流水等信息都可以查詢，不同查詢內容有不同的收費標準，需先付款。

記者提供本人姓名，提出查詢本人的電話和住址。該“社工庫”稱，需先付款300元，并發來三個收款二維碼。記者掃碼支付時發現，系統提醒“本次交易存在欺詐風險”，需申請解除限制才能進行支付。解除限制后，記者成功付款300元。

約半個小時后，對方發來了記者本人的電話、QQ號和住址。該電話、QQ號、住址是“真的”， 但均為記者多年前使用過的。因居住地發生變化，記者已經換了住址。記者提出要查詢最新的家庭住址以及家庭成員信息，該社工庫要求加錢300元，隨后記者又付款了300元。

該社工庫遲遲沒有發來最新家庭地址及家庭成員信息，記者經詢問，其回復稱這些需要深度查詢，還需要加錢。為防止被騙，記者便沒再付款。

在此次交易中，記者先后通過兩個微信收款碼付款，根據微信支付記錄，其收款賬戶為“Hahaa”和“白熊”。相關頁面顯示，二者都疑似在浙江溫州平陽縣有相關門店。

其中“Hahaa”對應的微信賬號昵稱為“檸檬不萌”，其登記手機號后四位尾號是8569，手機號所在地在河南南陽；“白熊”對應的微信賬號昵稱為“淺月流歌”，其登記手機號后四位尾號是7856，手機號所在地在浙江寧波。記者撥打這兩個手機號，前一個無人接聽，后一個接聽電話是一名男子，其稱沒有收到轉賬的300元，手機號、微信號、銀行卡等也沒有借給他人使用。

那么，記者支付的這些錢去了哪里？澎湃新聞記者報警處理后，拿著警方開具的報警回執，通過微信對前述兩筆支付進行了投訴。3月24日，針對記者的投訴，騰訊平臺工作人員回復稱，經查詢，記者此前轉賬的兩筆300元，收款賬戶均為個人賬戶。至于支付頁面為何顯示是商家，可能是對方做小生意，用個人賬戶收款導致。

該工作人員表示，上述兩個收款賬戶是否存在違規行為、交易異常等，后面會去審核，并建議記者通過騰訊衛士小程序進行投訴，上傳相關證據材料，若后臺經過審核發現，其確實存在違規、詐騙等行為，會對相關賬號進行處理。

記者提出想要收款賬號的具體信息，如賬號名稱、登記人信息等，該工作人員稱，收款賬號信息等涉及個人隱私，沒法直接提供，這些可以由執法部門依法去調取。

也就是說，通過微信向他人或商戶付款后，記者無法查詢到收款賬戶的信息和資金的流向。

全家戶籍、銀行流水、人身軌跡等均被明碼標價

公開資料顯示，所謂社工庫，是指通過社會工程學的手段收集、整理個人或組織的信息數據庫，包括姓名、電話、住址、郵箱、社交賬號、戶籍信息、財務記錄等敏感數據。其數據來源多樣，如通過公開渠道獲取，也可能通過網絡釣魚、惡意軟件等方式獲取，還可能是某些平臺、網站等泄露了相關數據。

記者檢索發現，在境外網絡上，存在很多大大小小的社工庫，均聲稱可以“開盒”，進行個人信息買賣交易。

在某“社工庫”，群組內有十幾萬人，異?；钴S。該“社工庫”多采用機器人自動查詢回復，需要購買更具體的個人信息，則可以聯系他們的管理人員。記者向其管理人員提出查詢需求時，對方發來了9個微信收款二維碼，稱需付款才能查詢。

其提供的查檔價格表顯示，全家戶籍、婚姻記錄、開房記錄、銀行流水、人身軌跡、手機號定位、名下財產等都可以查詢，其中出單周期最短的為1天，最長的為1-7天，收費從幾百元到數千元不等。

為了吸引用戶，該“社工庫”還推出了優惠服務，如普通用戶每天簽到1次即可獲得查詢1次個人信息的機會，還可以通過邀請新用戶等方式，獲得更多查詢的機會。

澎湃新聞記者通過該“社工庫”查詢自己的信息發現，其能查詢到完整的身份證號碼，但所查手機號碼、家庭住址等信息較為陳舊。其提供的查詢結果中，家庭住址是5年前的，另外還查到了記者大學時期的學生證號、使用過的手機號碼等十幾年前的個人信息。

在另一個社工庫，其聲稱可以查詢微信聊天記錄，要收費3000元。一位從事網絡安全的業內人士提醒，根據平臺存儲信息的規則，外人很難查詢微信聊天記錄。在這些所謂的“社工庫”中，也存在騙子，并不一定真的能查詢所聲稱的那些信息，部分所謂的“社工庫”收費查詢的個人信息，實際上來自類似免費的非法自助查詢數據庫。

值得注意的是，買賣個人信息，或構成侵犯公民個人信息罪。根據《刑法》第二百五十三條之一的規定，違反國家有關規定，向他人出售或者提供公民個人信息，情節嚴重的，處三年以下有期徒刑或者拘役，并處或者單處罰金；情節特別嚴重的，處三年以上七年以下有期徒刑，并處罰金。違反國家有關規定，將在履行職責或者提供服務過程中獲得的公民個人信息，出售或者提供給他人的，依照前款的規定從重處罰。竊取或者以其他方法非法獲取公民個人信息的，依照第一款的規定處罰。單位犯前三款罪的，對單位判處罰金，并對其直接負責的主管人員和其他直接責任人員，依照各該款的規定處罰。

“內鬼”成為個人信息泄露的重要來源

在警務、房產、銀行等相關部門單位領域，都曾被曝光過存在“內鬼”販賣個人信息的情況。

早前與前述“社工庫”相關人員線上接觸中，對方也聲稱他們在警務、銀行等領域有內部人員協助查詢他人個人信息。

據2023年相關的普法案例信息，多地17名警務人員因非法查詢公民信息被判刑，其中主要涉及一些輔警、民警違法從公安系統內部網絡查詢公民個人信息，或是受人之托，或是賣出獲利。

其中一個案例顯示，大邑縣公安局?江派出所一級警員何某偉于2019年12月至2020年11月期間，利用其職務便利，私自使用單位配發的數字證書和移動警務終端，非法查詢車輛登記、戶籍等公民個人信息并出售給他人，獲取違法所得共計558818.28元。2022年6月，何某偉受到開除公職處分。何某偉因侵犯公民個人信息罪被判處有期徒刑三年八個月，并處罰金人民幣30萬元。

2024年1月23日，住建部通報了5起房地產中介行業侵犯公民個人信息的違法違規典型案例，包括非法對外出售公司內部業主信息、非法購買公民個人信息、私自留存業主信息開展業務等。其中，在柯某利用“房利幫”網站非法獲取、出售業主房源信息的案件中，2016年1月起，柯某開始運營“房利幫”網站并開發同名手機APP，以對外售賣二手房租售房源信息為主營業務。運營期間，柯某對網站會員上傳真實業主房源信息進行現金激勵，吸引掌握該類信息的房地產中介人員注冊會員并向網站提供信息，有償獲取了大量包含房屋門牌號碼及業主姓名、電話等非公開內容的業主房源信息，共計30余萬條，以會員套餐方式出售獲利達人民幣150余萬元。2019年12月，司法機關以侵犯公民個人信息罪判處柯某有期徒刑三年，緩刑四年，并處罰金人民幣160萬元。

而銀行“內鬼”批量出售客戶信息近些年也時有發生。2016年10月，綿陽警方最近破獲公安部掛牌督辦的“5·26侵犯公民個人信息案”，抓獲包括銀行行長在內的犯罪團伙骨干分子15人、查獲公民銀行個人信息257萬條、涉案資金230萬元，成功打掉了侵犯公民個人隱私的這一黑色產業鏈。

2021年，據湛江經開區檢察院在陽光檢務網公布的案例，2017年至2018年期間，湛江某銀行客戶經理王某非法出售其在業務活動中獲取的銀行客戶賬戶信息共31465條，客戶信息內容包括公民姓名、身份證號碼、電話號碼、銀行卡號等，這些客戶信息被相關貸款公司用于撥打電話并推銷貸款業務信息，從事不正當競爭。

另據公安部今年3月通報的10起典型案例中，個人信息泄露渠道有教培機構、法律服務公司、快遞行業等領域。

如北京海淀公安機關網安部門查明，2022年12月以來，以劉某為首的犯罪團伙制作木馬程序，組織人員入職目標教培機構，定向投放木馬程序非法控制教培機構內部計算機，竊取客戶資料等個人信息。2024年9月，北京海淀公安機關依法抓獲犯罪嫌疑人8名，指導17家受害企業清除木馬程序，有效消除個人信息泄露風險隱患。

廣東東莞公安機關網安部門查明，2022年11月以來，林某成等人成立法律服務公司，發展律師事務所及具有訴訟需求人員為客戶，通過非法渠道獲取他人個人信息牟利。2024年5月，廣東東莞公安機關依法抓獲犯罪嫌疑人21名，查處涉嫌違法的法律服務公司5家。

甘肅張掖公安機關網安部門查明，2023年2月以來，以李某飛為首的犯罪團伙勾結快遞行業工作人員，利用技術手段竊取快遞訂單相關個人信息，并出售牟利。2024年3月，甘肅張掖公安機關依法抓獲犯罪嫌疑人18名，查明涉案金額300余萬元。公安部在本案基礎上部署全國公安機關開展集群打擊，共打掉犯罪團伙12個，抓獲犯罪嫌疑人65名。

吉林長春公安機關網安部門查明，2024年1月以來，以王某明為首的犯罪團伙偽造工商營業執照，在招聘網站發布虛假招聘信息騙取求職者簡歷，并出售給電信網絡詐騙等犯罪團伙牟利。2024年6月，吉林長春公安機關依法抓獲犯罪嫌疑人27名，查獲偽造工商營業執照1000余張。

各方一起發力才能杜絕個人信息非法買賣

一位從事網絡安全的人士表示，外網的“社工庫”存在已久，一直很猖獗。早年，網絡信息數據保護能力不足，行業也不夠規范，不法分子通過網絡釣魚、“內鬼”泄密等方式獲得了大量個人數據，一些平臺的數據也被打包出售。這些數據經過拼湊、比對后，就可以形成一個人的基本信息，如個人身份信息、聯系方式、社交賬號等。因可以查詢個人信息，部分人有這樣的需求，明知道是違法行為，還是選擇付款購買，再是這些數據也可能用來進行電信詐騙、網暴等違法犯罪行為。

該人士表示，數據泄露的源頭有很多可能，如自己曾注冊過的平臺對數據保護不夠導致泄露，甚至主動打包出售了數據。由于存在太多可能，很難追蹤其源頭。隨著平臺對數據保護力度加強，個人信息數據泄露情況已經改善，因此“社工庫”查詢到的個人信息，一般都是以前的信息，因為他們所使用的數據庫很多都是以前的陳舊個人數據。

該人士還表示，“社工庫”的違法交易，多發生在境外網站、平臺，不法分子很可能身處境外，這大大增加了打擊難度。而且，購買他人信息，本身是違法行為，若發現自己被騙，金額也不是很大，很多人也不會報警。

在“社工庫”的個人信息交易中，涉及收款環節。據記者調查，多數“社工庫”采用微信收款二維碼的方式來收款。

上述人士指出，因涉及收款，就會存在收款賬號，能關聯到收款人。為了規避風險，不法分子采用了跟電信詐騙類似的套路，即用他人名義辦理了這些收款賬號，錢一到賬就馬上轉走。這背后又涉及身份證、手機號、銀行卡等買賣、盜用問題。就算公安機關去逐一排查每個收款賬號，也很難有實質性突破。

該人士表示，要根絕“社工庫”買賣個人信息的亂象，需要多管齊下、綜合治理，需要互聯網平臺、通訊運營商、銀行、公安機關等一起發力，很多都需要時間去一步步完善、規范。