签到1次，就可查1次他人的秘密？“社工库”到底是什么

另经多次尝试接触，某“社工库”群组管理员向南都研究员展示了两张“社工库”原始数据记录的截图。两张截图均包含个人姓名、身份证号、手机、邮箱、住址、婚姻状况等内容；其中一张还附带个人名下车辆车型、车架号、发动机号等信息；另一张则附带某知名保险企业的保单记录，包括保险产品名称、投保金额、保障期限等。

这些“社工库”掌握的个人信息为何如此详细？网络安全专家解释，黑灰产团伙会通过整合多个数据源，拼凑出个人“超级档案”。例如，先通过某些违规手段获取用户手机号码等信息，再与已泄露的数据库进行比对，实现用户与泄露数据的一一对应。今年央视3·15晚会曝光的“大数据获客软件”，就是通过不法手段海量窃取目标人群的消费习惯、手机号码等信息。或者，有些用户在不同网站使用同一套账户密码，黑灰产团伙非法获取某一网站的用户账户密码后，以这些密码尝试批量登录其他网站，进而获取该用户更多身份信息，这种方式也被称为“撞库”。

而随着近年互联网平台企业的安全防护措施不断完善，“内鬼”泄密逐渐成为数据泄露的主要途径。2023年8月，北京市高级人民法院曾就侵犯公民个人信息犯罪案件审判情况召开新闻通报会，指出买卖和交换是侵犯公民个人信息犯罪的主要手段；放眼整个犯罪链条，内部人员泄露信息是侵犯公民个人信息犯罪的主要源头。

在数个“社工库”群组中，南都研究员还发现：一些不法分子在吆喝着自己是“全网最全数据库”的同时，还在诚聘“长期合作”的“相关专业人士”。相关广告大多打出“日入过万”“快速变现”等宣传语，诱惑企业关键岗位人员加入，并宣称可一对一指导对方如何规避风险。更有团伙点名提出希望与国内某知名银行的工作人员“合作”。

不法分子在“社工库”群组招募行业“内鬼”。

“社工库”为何难治理

“社工库”的危害不局限于某一国家或某一类别人群。调查过程中，南都研究员收到多条不法分子兜售不同国家和地区个人信息的广告。从美国驾照，到印度银行贷款，再到俄罗斯税务记录，全球各地的海量敏感个人信息在黑灰产团伙之间被打包售卖和流转。

奇安信数据也显示，2024年全球公开报道的201起数据安全事件中，数据泄露事件为170起，占比高达84.6%，可确认的泄露数据超过122.7TB。

近年来，我国已出台《网络安全法》《数据安全法》《个人信息保护法》等一系列法律法规，警方和网信部门对非法贩卖个人信息利剑高悬，业界也持续完善用户数据安全的“护城墙”。

但网络安全专家也坦言，不少“社工库”内的数据经历多次流转，可谓“人手一份”，已很难追寻源头并封堵。此外，不少黑灰产团伙在境外作案，“社工库”服务器也部署在境外，跨境打击难度较大。

河南泽槿律师事务所主任付建表示，如果他人在境外侵犯境内法人、自然人信息，则涉嫌犯罪，根据我国刑法保护性原则，同样可以适用我国法律。鉴于境外信息泄露猖狂，公民可以向公安机关报案，公安机关可通过国际司法协助等途径开展调查。

侵犯个人信息案件不绝

数字化时代，个人信息保护与数据黑灰产治理是一项长期性、系统性的工程。公开数据显示，2020年至2023年，全国公安机关累计侦破侵犯公民个人信息违法犯罪案件3.6万起，抓获犯罪嫌疑人6.4万名，其中抓获电信运营商、医院、保险公司、房地产、物业、快递公司等行业“内鬼”2300余名。今年3月18日，公安部门再次通报，2024年共侦破相关案件7000余起，重拳捣毁一批个人信息交易平台，抓获一批犯罪嫌疑人，并公布依法打击侵犯公民个人信息犯罪10起典型案例。

河北维则律师事务所黄远律师表示，我国《民法典》明确规定，自然人的个人信息受法律保护，任何组织或个人不得侵害。“开盒”行为严重侵犯了他人的隐私权、名誉权等多项人格权利，根据具体情节，行为人可能面临民事赔偿、行政处罚，甚至刑事责任。

黄远律师提到，查询他人隐私而未公开，该行为本身也游走在法律边缘，也有潜在违法风险。在查询过程中，若采用了非法手段，如黑客技术、购买等，同样构成违法。此外，这种行为违背了道德伦理和网络规范，为隐私泄露埋下隐患，一旦信息被不当使用或意外泄露，将引发严重后果。他强调，隐私权是自然人享有的对其个人的、与公共利益无关的个人信息、私人活动和私有领域进行支配的一种人格权，查询他人隐私的行为属于刺探他人隐私，侵害了他人的隐私权，违反了《民法典》的相关规定。

来源:南都周刊 采写：南都研究员 李伟锋 袁炯贤

最后，物以类聚，人以群分，接触更优秀的人也可以让你成为同样的人，欢迎关注官方公号：灰产圈灰产圈:培养你的发散性思维 解密互联网骗局、实战揭秘互联网灰产案例、网赚偏门项目解析、分享网络营销引流方案。深挖内幕、曝光各类套路