隐匿在境外某平台的“社工库”接连被曝光后，其管理成员对此并不在意。

对方声称，最近因媒体报道受到的影响是“咨询量和单子变得异常地多。”

百度副总裁谢广军女儿“开盒”事件引发公众对个人信息保护的关注。3月19日，百度对外发布声明称，该事件的开盒信息并非源自百度，而是海外的社工库，“一个通过非法手段收集个人隐私信息的数据库”。

澎湃新闻影子调查队发现，事实上，“社工库”是一个隐秘的角落，对于大多数人来说，无法直接触及。但一些人利用“社工库”的数据资源，购买他人个人敏感信息，完成“开盒”。如此一来，形成了一桩桩非法贩卖个人信息的交易。

此外，在“社工库”上存储的大量个人信息，多为几年前甚至十几年前的陈旧个人信息数据，其来源多为不法分子通过“撞库”或非法交易导致的批量个人信息泄露；而精确的个人信息，则可能需要一些部门、公司的“内鬼”配合才能获取。

澎湃新闻记者尝试“开盒”本人，与境外某社交平台的“社工库”取得联系，通过二维码付款300元后，对方提供了记者本人的姓名、手机号、QQ号、住址等信息。记者发现，对方提供的手机号、住址都是几年前的陈旧信息。当记者提出要查询更多信息时，对方提出要再付款。

而在另一个被多家媒体曝光的“社工库”上，记者通过签到领取积分就可以免费查询任意某个人的个人信息。记者同样查询本人信息发现，其提供的手机号、家庭住址等信息基本为5年前至10年前的信息。而根据该“社工库”提供的报价单，支付80元至9700元不等的钱，声称可以深度查询任何一个人更多的个人隐私信息。

一位从事网络安全工作的人士透露，“社工库”在外网存在已久，一般宣称其可以查询姓名、电话、住址、微信号、开房记录等个人信息，实际是利用已有的多个数据库进行比对，获得基本个人信息后再进行交易牟利，其背后有一条非法产业链。

特别需要提醒的是，“开盒”行为，买卖个人信息，可能构成侵犯公民个人信息罪，需承担刑事责任。有业内专家提醒，登录境外网站、平台买卖个人信息，不仅是违法行为，还可能上当被骗。

新华社

300元买到记者本人陈旧个人信息

通过关键词检索，记者近日与境外某平台一个“社工库”取得联系。对方称，姓名、电话、住址、家庭成员、银行流水等信息都可以查询，不同查询内容有不同的收费标准，需先付款。

记者提供本人姓名，提出查询本人的电话和住址。该“社工库”称，需先付款300元，并发来三个收款二维码。记者扫码支付时发现，系统提醒“本次交易存在欺诈风险”，需申请解除限制才能进行支付。解除限制后，记者成功付款300元。

约半个小时后，对方发来了记者本人的电话、QQ号和住址。该电话、QQ号、住址是“真的”， 但均为记者多年前使用过的。因居住地发生变化，记者已经换了住址。记者提出要查询最新的家庭住址以及家庭成员信息，该社工库要求加钱300元，随后记者又付款了300元。

该社工库迟迟没有发来最新家庭地址及家庭成员信息，记者经询问，其回复称这些需要深度查询，还需要加钱。为防止被骗，记者便没再付款。

在此次交易中，记者先后通过两个微信收款码付款，根据微信支付记录，其收款账户为“Hahaa”和“白熊”。相关页面显示，二者都疑似在浙江温州平阳县有相关门店。

其中“Hahaa”对应的微信账号昵称为“柠檬不萌”，其登记手机号后四位尾号是8569，手机号所在地在河南南阳；“白熊”对应的微信账号昵称为“浅月流歌”，其登记手机号后四位尾号是7856，手机号所在地在浙江宁波。记者拨打这两个手机号，前一个无人接听，后一个接听电话是一名男子，其称没有收到转账的300元，手机号、微信号、银行卡等也没有借给他人使用。

那么，记者支付的这些钱去了哪里？澎湃新闻记者报警处理后，拿着警方开具的报警回执，通过微信对前述两笔支付进行了投诉。3月24日，针对记者的投诉，腾讯平台工作人员回复称，经查询，记者此前转账的两笔300元，收款账户均为个人账户。至于支付页面为何显示是商家，可能是对方做小生意，用个人账户收款导致。

该工作人员表示，上述两个收款账户是否存在违规行为、交易异常等，后面会去审核，并建议记者通过腾讯卫士小程序进行投诉，上传相关证据材料，若后台经过审核发现，其确实存在违规、诈骗等行为，会对相关账号进行处理。

记者提出想要收款账号的具体信息，如账号名称、登记人信息等，该工作人员称，收款账号信息等涉及个人隐私，没法直接提供，这些可以由执法部门依法去调取。

也就是说，通过微信向他人或商户付款后，记者无法查询到收款账户的信息和资金的流向。

全家户籍、银行流水、人身轨迹等均被明码标价

公开资料显示，所谓社工库，是指通过社会工程学的手段收集、整理个人或组织的信息数据库，包括姓名、电话、住址、邮箱、社交账号、户籍信息、财务记录等敏感数据。其数据来源多样，如通过公开渠道获取，也可能通过网络钓鱼、恶意软件等方式获取，还可能是某些平台、网站等泄露了相关数据。

记者检索发现，在境外网络上，存在很多大大小小的社工库，均声称可以“开盒”，进行个人信息买卖交易。

在某“社工库”，群组内有十几万人，异常活跃。该“社工库”多采用机器人自动查询回复，需要购买更具体的个人信息，则可以联系他们的管理人员。记者向其管理人员提出查询需求时，对方发来了9个微信收款二维码，称需付款才能查询。

其提供的查档价格表显示，全家户籍、婚姻记录、开房记录、银行流水、人身轨迹、手机号定位、名下财产等都可以查询，其中出单周期最短的为1天，最长的为1-7天，收费从几百元到数千元不等。

为了吸引用户，该“社工库”还推出了优惠服务，如普通用户每天签到1次即可获得查询1次个人信息的机会，还可以通过邀请新用户等方式，获得更多查询的机会。

澎湃新闻记者通过该“社工库”查询自己的信息发现，其能查询到完整的身份证号码，但所查手机号码、家庭住址等信息较为陈旧。其提供的查询结果中，家庭住址是5年前的，另外还查到了记者大学时期的学生证号、使用过的手机号码等十几年前的个人信息。

在另一个社工库，其声称可以查询微信聊天记录，要收费3000元。一位从事网络安全的业内人士提醒，根据平台存储信息的规则，外人很难查询微信聊天记录。在这些所谓的“社工库”中，也存在骗子，并不一定真的能查询所声称的那些信息，部分所谓的“社工库”收费查询的个人信息，实际上来自类似免费的非法自助查询数据库。

值得注意的是，买卖个人信息，或构成侵犯公民个人信息罪。根据《刑法》第二百五十三条之一的规定，违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。窃取或者以其他方法非法获取公民个人信息的，依照第一款的规定处罚。单位犯前三款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。

“内鬼”成为个人信息泄露的重要来源

在警务、房产、银行等相关部门单位领域，都曾被曝光过存在“内鬼”贩卖个人信息的情况。

早前与前述“社工库”相关人员线上接触中，对方也声称他们在警务、银行等领域有内部人员协助查询他人个人信息。

据2023年相关的普法案例信息，多地17名警务人员因非法查询公民信息被判刑，其中主要涉及一些辅警、民警违法从公安系统内部网络查询公民个人信息，或是受人之托，或是卖出获利。

其中一个案例显示，大邑县公安局䢺江派出所一级警员何某伟于2019年12月至2020年11月期间，利用其职务便利，私自使用单位配发的数字证书和移动警务终端，非法查询车辆登记、户籍等公民个人信息并出售给他人，获取违法所得共计558818.28元。2022年6月，何某伟受到开除公职处分。何某伟因侵犯公民个人信息罪被判处有期徒刑三年八个月，并处罚金人民币30万元。

2024年1月23日，住建部通报了5起房地产中介行业侵犯公民个人信息的违法违规典型案例，包括非法对外出售公司内部业主信息、非法购买公民个人信息、私自留存业主信息开展业务等。其中，在柯某利用“房利帮”网站非法获取、出售业主房源信息的案件中，2016年1月起，柯某开始运营“房利帮”网站并开发同名手机APP，以对外售卖二手房租售房源信息为主营业务。运营期间，柯某对网站会员上传真实业主房源信息进行现金激励，吸引掌握该类信息的房地产中介人员注册会员并向网站提供信息，有偿获取了大量包含房屋门牌号码及业主姓名、电话等非公开内容的业主房源信息，共计30余万条，以会员套餐方式出售获利达人民币150余万元。2019年12月，司法机关以侵犯公民个人信息罪判处柯某有期徒刑三年，缓刑四年，并处罚金人民币160万元。

而银行“内鬼”批量出售客户信息近些年也时有发生。2016年10月，绵阳警方最近破获公安部挂牌督办的“5·26侵犯公民个人信息案”，抓获包括银行行长在内的犯罪团伙骨干分子15人、查获公民银行个人信息257万条、涉案资金230万元，成功打掉了侵犯公民个人隐私的这一黑色产业链。

2021年，据湛江经开区检察院在阳光检务网公布的案例，2017年至2018年期间，湛江某银行客户经理王某非法出售其在业务活动中获取的银行客户账户信息共31465条，客户信息内容包括公民姓名、身份证号码、电话号码、银行卡号等，这些客户信息被相关贷款公司用于拨打电话并推销贷款业务信息，从事不正当竞争。

另据公安部今年3月通报的10起典型案例中，个人信息泄露渠道有教培机构、法律服务公司、快递行业等领域。

如北京海淀公安机关网安部门查明，2022年12月以来，以刘某为首的犯罪团伙制作木马程序，组织人员入职目标教培机构，定向投放木马程序非法控制教培机构内部计算机，窃取客户资料等个人信息。2024年9月，北京海淀公安机关依法抓获犯罪嫌疑人8名，指导17家受害企业清除木马程序，有效消除个人信息泄露风险隐患。

广东东莞公安机关网安部门查明，2022年11月以来，林某成等人成立法律服务公司，发展律师事务所及具有诉讼需求人员为客户，通过非法渠道获取他人个人信息牟利。2024年5月，广东东莞公安机关依法抓获犯罪嫌疑人21名，查处涉嫌违法的法律服务公司5家。

甘肃张掖公安机关网安部门查明，2023年2月以来，以李某飞为首的犯罪团伙勾结快递行业工作人员，利用技术手段窃取快递订单相关个人信息，并出售牟利。2024年3月，甘肃张掖公安机关依法抓获犯罪嫌疑人18名，查明涉案金额300余万元。公安部在本案基础上部署全国公安机关开展集群打击，共打掉犯罪团伙12个，抓获犯罪嫌疑人65名。

吉林长春公安机关网安部门查明，2024年1月以来，以王某明为首的犯罪团伙伪造工商营业执照，在招聘网站发布虚假招聘信息骗取求职者简历，并出售给电信网络诈骗等犯罪团伙牟利。2024年6月，吉林长春公安机关依法抓获犯罪嫌疑人27名，查获伪造工商营业执照1000余张。

各方一起发力才能杜绝个人信息非法买卖

一位从事网络安全的人士表示，外网的“社工库”存在已久，一直很猖獗。早年，网络信息数据保护能力不足，行业也不够规范，不法分子通过网络钓鱼、“内鬼”泄密等方式获得了大量个人数据，一些平台的数据也被打包出售。这些数据经过拼凑、比对后，就可以形成一个人的基本信息，如个人身份信息、联系方式、社交账号等。因可以查询个人信息，部分人有这样的需求，明知道是违法行为，还是选择付款购买，再是这些数据也可能用来进行电信诈骗、网暴等违法犯罪行为。

该人士表示，数据泄露的源头有很多可能，如自己曾注册过的平台对数据保护不够导致泄露，甚至主动打包出售了数据。由于存在太多可能，很难追踪其源头。随着平台对数据保护力度加强，个人信息数据泄露情况已经改善，因此“社工库”查询到的个人信息，一般都是以前的信息，因为他们所使用的数据库很多都是以前的陈旧个人数据。

该人士还表示，“社工库”的违法交易，多发生在境外网站、平台，不法分子很可能身处境外，这大大增加了打击难度。而且，购买他人信息，本身是违法行为，若发现自己被骗，金额也不是很大，很多人也不会报警。

在“社工库”的个人信息交易中，涉及收款环节。据记者调查，多数“社工库”采用微信收款二维码的方式来收款。

上述人士指出，因涉及收款，就会存在收款账号，能关联到收款人。为了规避风险，不法分子采用了跟电信诈骗类似的套路，即用他人名义办理了这些收款账号，钱一到账就马上转走。这背后又涉及身份证、手机号、银行卡等买卖、盗用问题。就算公安机关去逐一排查每个收款账号，也很难有实质性突破。

该人士表示，要根绝“社工库”买卖个人信息的乱象，需要多管齐下、综合治理，需要互联网平台、通讯运营商、银行、公安机关等一起发力，很多都需要时间去一步步完善、规范。

澎湃新闻 影子调查队