“内鬼”泄露倒卖个人隐私 50元查户口 400元查全家

12月12日，周海媚工作室宣布周海媚因病去世。当晚，记载了周海媚个人资料、就诊时间等相关信息的电子病历截图被医院工作人员流出。

“人肉开盒”，是指违法者通过各种手段获取他人的个人信息，如姓名、住址、电话、照片、身份证号码等，将这些信息毫无保留地公开在网络上，甚至进行电话骚扰、网暴攻击、恐吓威胁等违法行为，给受害者造成巨大的精神压力和伤害。

从明星到普通人都遭遇被“开盒”的困扰。很多公民的个人信息从各种渠道被泄露，在不法分子的手中，大量的公民个人信息存储在多个能供人随时查询的数据库中，可供查询的信息五花八门，“50元可查单人户口，400元查全家，500元查外卖地址、开房记录，2000元能通过手机号查定位……”这些信息是如何被泄露的?“开盒”背后藏着什么样的黑色产业链?

日前，中央网信办在全国范围内启动的“清朗·网络戾气整治”专项行动，围绕社交、短视频、直播等重点平台类型，集中整治“网络厕所”“开盒挂人”行为；借社会热点事件恶意诋毁、造谣攻击；污名化特定群体、煽动地域对立；斗狠PK等低俗不良直播行为；有组织地恶意辱骂举报他人；编造网络黑话、恶意造梗等行为。

01 现象

“人肉开盒”愈演愈烈 早期主要涉及明星

各类“人肉开盒”风波近几年愈演愈烈。2022年以来，微博平台共发布泄露隐私相关社区公告40余篇。微博方面有关人士介绍，微博平台涉及“人肉开盒”的情况主要有以下几种情况:一是境外网站的“人肉开盒”，网传多起提到“人肉开盒”的舆情事件，微博站内所传的图片、信息均原发于某境外社交通信平台，该平台长期存在泄露他人隐私等问题。

例如，2023年5月，美食领域网红杰克辣条“处刑式虐猫”，拍摄虐猫视频并上传至网络贩卖，该事件引发人们对“处刑式虐猫”的关注。随后，有网传截图显示，曾针对网络热传的虐猫事件发声、表态反对“处刑式虐待动物”的多位明星，如张馨予、赵露思、王一博等，其身份证、手机号、社保卡等个人信息遭到曝光。今年9月，主持人杨迪发文称自己被“开盒”，个人信息遭到泄露，很多人打来骚扰电话，让他不得已换了手机号。

长年追星的林西说，“人肉开盒”早期主要涉及明星，一些年龄较小的粉丝看到自己喜欢的明星被人说了“坏话”，就会跟风去人肉、网暴这些人。再到后来，这种开盒的饭圈行为蔓延到视频UP博主、小众艺人等网红群体，甚至是普通人。在一些事件中，有评论观点不一致的普通网友也会被开盒，“开盒者”截图投稿，对其进行批判，评论区纷纷附和，夹杂着大量辱骂言论。

普通人也成为受害者 被“开盒”令她崩溃

“人肉开盒”首先是给受害者带来了连绵不绝的骚扰和各种恐吓威胁，有一部分受害者除了受到威胁和恐吓，还会被敲诈勒索。有些受害者因为“人肉开盒”，职业生涯大受影响。

目前，普通人也正在成为“人肉开盒”的受害者。

今年7月，大学生金萌(网名)被“开盒”了。恐吓电话和短信，猛烈地砸向金萌的手机:微博、微信难以正常使用，刚刚清空未读消息，不到1分钟又显示出“999 ”条。

骚扰信息像一片片雪花飞来，砸在金萌身上，如同遭遇一场巨大的雪崩，压得她快要窒息了。

金萌的信息，是在境外某个软件的群聊中被泄露“开盒”，导致她本人受到猛烈骚扰。

“我不知道自己做错了什么。”回想起被“开盒”的场面，金萌仍觉后怕。

热心公益的金萌，时常救助流浪猫狗。今年4月，她与一群同样关心流浪小动物的伙伴，发现网络上有人兜售虐猫短视频。她们随即向网信办、公安部门举报，之后对方账号被封，并受到了属地公安机关的治安处罚。

因为此事，一群潜伏在网络角落里的虐猫“爱好者”，开始发动各种力量，“开盒”了包括金萌在内的小动物保护志愿者、支持公安行动的网络博主甚至是一些发微博支持其行动的明星，他们的身份证号、家庭住址、联系方式等都被在网上曝光。许多带着脏字的侮辱谩骂蜂拥而至:如果不给“赎金”，他们就会再度直播虐猫，甚至扬言要去金萌家楼下闹事。

一位骚扰者良心发现，告诉了她“开盒者”所在的境外社交软件上的群组。于是，金萌下载软件，加入了该群组。由于该软件能够回溯聊天记录，她看到了自己信息被公开的全过程:不仅有身份证号、家庭住址、联系方式，甚至还有她身份证上的照片，公开的信息下方，充斥着不怀好意的揣测与恶评。那一瞬间，她几乎陷入崩溃状态。

02 揭秘

大量隐私信息存“社工库” 500元查外卖地址、开房记录

“我确实没办法阻止他们(不法分子)获取我的个人信息。”因为专注揭露网络诈骗套路，从去年3月起，自媒体博主川烈(网名)就一直遭遇被“开盒”的困扰，他和家人长期受到不明身份人士的骚扰，“有人不断打电话发短信，我爸妈、妹妹、妹夫都受到影响，甚至还找到了我妹夫的爸妈。”

今年7月，川烈决心深挖“开盒”背后的“黑色产业链”。经过一番探究，他发现，很多公民的个人信息从各种渠道被泄露。“‘开盒’是一环接一环的。”川烈表示，在不法分子的手中，大量的公民个人信息存储在多个能供人随时查询的数据库中，这些库被通称为“社工库”:只要拥有被“开”者的社交账号，便可以对应获得其手机号，进而查询到其身份证号，看到其身份证上的照片，甚至了解到其家庭关系，“没有什么技术含量”。

在多个“社工库”群组中，可以看到可供查询的信息五花八门，“50元可查单人户口，400元查全家，500元查外卖地址、开房记录，2000元能通过手机号查定位……”

这些信息从何而来?在8月10日公安部举行的新闻发布会上，公安部网络安全保卫局警务技术二级总监黄小苏表示，犯罪分子获取个人信息数据主要有“骗取信息、盗窃信息、内鬼泄露、非法采集、倒卖信息、变造信息”等6种手法。

黄小苏表示，“内鬼泄露”指的是利用职务便利非法泄露公民个人信息，如运营商、快递、汽车4S店、房地产等企事业单位内部工作人员泄露公民个人信息。

一名自称在某运营商当过电话客服的“社工库”运营者称，当时他虽然只是基层员工，但掌握着很高的后台系统权限，“什么都能查到”。有“社工库”运营者称，“内鬼”已成为其“供货”的主力，“只要在各系统内部有人，这些信息不愁查不到”。

在不少“社工库”群组中出现了奇特的现象:一些不法分子一边吆喝着自己是“全网最全数据库”，一边又诚聘“长期合作”的“相关专业人士”，堂而皇之地写着:“为升级客户查询体验，现寻以下渠道查询人员:快递内部人员、银行内部人员、有公安查询权限的人。”群组中，诸如此类的招聘广告比比皆是，不少标注着“合作安全，无忧赚钱”。

在今年8月公安部发布的打击侵犯公民个人信息犯罪十大典型案例中，能看到“内鬼”的身影。

今年3月，上海闵行公安机关在侦办一起网络诈骗案时发现，犯罪嫌疑人准确掌握受害人的网购记录、物流信息等公民个人信息。经查，彭某等人在境外网站发现有人有偿求购物流信息，随即与该人联系获取木马程序，并应聘为快递公司员工，利用职务工作便利在快递公司业务计算机内植入木马程序，其上线人员通过木马程序获取大量快递信息，并利用上述信息进一步实施电信网络诈骗。今年5月，上海公安机关开展集中收网，抓获采取相似手法窃取公民个人信息的犯罪嫌疑人8名。

03 律师说法

“人肉开盒”隐藏诸多法律风险

在川烈潜伏群组的几个月内，他不仅收集到了不法分子恐吓自己的证据，也通过手机号码、收款码、网络IP地址等信息，定位到幕后主使的真实身份。之后，他向有关部门提交了证据。

北京康达律师事务所合伙人韩骁分析，“人肉开盒”行为涉及民事、行政和刑事等多方面法律责任。《中华人民共和国民法典》规定，自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。人格权受到侵害的，受害人有权依照本法和其他法律的规定请求行为人承担民事责任。

“‘人肉开盒’将他人的隐私信息随意公开披露，是一种侵犯隐私权的行为，需要承担一定的民事责任”。韩骁指出，根据治安管理处罚法规定，公然侮辱他人或者捏造事实诽谤他人、多次发送淫秽、侮辱、恐吓或者其他信息，干扰他人正常生活、散布他人隐私等，将面临被罚款、行政拘留的行政处罚。此外，网络服务提供者若不采取相关措施，也可能承担责任。

今年9月，最高人民法院、最高人民检察院、公安部联合发布关于依法惩治网络暴力违法犯罪的指导意见，其中规定:组织“人肉搜索”，违法收集并向不特定多数人发布公民个人信息，情节严重，符合刑法第二百五十三条之一规定的，以侵犯公民个人信息罪定罪处罚。

韩骁表示，对于公民的网络谩骂攻击，还可能会构成侮辱罪、寻衅滋事罪，如果进一步获取钱财，则可能会构成敲诈勒索罪等财产犯罪。

“整治、拒绝‘人肉开盒’，需要全社会共同关注和参与。”韩骁强调，对“开盒”者进行教育改造十分重要，监管部门和司法机关应加强监管力度，建立健全完善的监管机制和惩罚制度，及时采取措施，打击恶意攻击、骚扰等行为，形成威慑作用。除了运用司法手段追究法律责任，还要依靠社会组织等力量进行教育改造，作为公民也应该积极参与到网络治理中来，“提高自身法律素质和网络安全意识，拒绝恶意攻击和骚扰等行为，共同营造一个安全、文明、和谐的网络环境”。

哔哩哔哩表示，自2022年中央网信办部署开展“清朗·网络暴力专项治理行动”以来，社区陆续上线了“一键防骚扰”“弹幕优选”“陌生人私信防护”等产品功能，并建立了与有关部门的沟通机制，通过加强技术能力以及内外部合作，持续完善社区治理网络暴力的手段。

“拒绝网暴，不要让受到伤害的人求助无门。”金萌和川烈表示，他们对网络戾气的反击，会持续下去。

04 案例

泄露周海媚病历照 医院工作人员被行拘

12月12日，周海媚工作室宣布周海媚因病去世，当晚，记载了周海媚个人资料、就诊时间等相关信息的电子病历截图流出。

顺义公安分局14日上午通报，经查，12月11日，符某某(男，36岁)利用其在顺义区某医院工作的便利，出于炫耀目的，将一名病患的个人病历拍照发至微信群，导致信息扩散，造成恶劣社会影响。目前，顺义公安分局已将符某某依法行政拘留。

周海媚早年就曾罹患红斑狼疮并一直处于治疗过程中。据报道，13日晚，2名涉嫌泄露病历者被移交警方，其中一人为医院职工，另一人为该职工的朋友。如经调查，严重违反医师职业道德、医学伦理规范的，可能被吊销医师执业证书或者责令停止非法执业活动；个人泄露周海媚病历，同样要受到法律制裁，医院也可能要承担管理不善责任。

内部公职人员滥用权力 非法获取公民信息获刑三年

近年来一些地方披露了公职人员非法获取公民个人信息的案例。例如2022年7月，成都市纪委监委通报10起“十大领域”典型案例，其中之一为大邑县公安局䢺江派出所一级警员何某非法获取并出售公民个人信息问题。

2019年12月至2020年11月期间，何某利用其职务便利，私自使用单位配发的数字证书和移动警务终端，非法查询车辆登记、户籍等公民个人信息出售给他人，获取违法所得共计558818.28元。2022年6月，何某受到开除公职处分。何某因侵犯公民个人信息罪被判处有期徒刑三年八个月，并处罚金人民币30万元。

05 专家探讨

防止“人肉开盒” 需个人企业政府三方协力保障

资深人工智能专家郭涛表示，“人肉开盒”这类信息泄露通常是通过以下渠道和平台产生的，一是社交媒体平台，用户在这些平台上分享个人信息时可能没有意识到风险，或者没有采取足够的安全措施。二是电子商务平台和物流公司，这些平台上的某些商家或工作人员会收集用户的个人信息，并在未经授权的情况下泄露给第三方。三是数据泄露事件，当一个组织或企业的数据被黑客攻击或内部人员泄露时，用户的个人信息可能会被暴露。四是恶意软件和钓鱼攻击，黑客通过发送恶意链接或伪装成合法网站来诱骗用户输入个人信息，从而获取用户的敏感数据。要实现人肉开盒，黑客通常需要掌握一定的技术手段，包括但不限于社会工程学等；网络钓鱼:发送伪装成合法网站的电子邮件或短信，诱使用户点击链接并泄露个人信息；暴力破解:尝试各种可能的密码组合，直到找到正确的密码；SQL注入:利用网站程序中的漏洞插入恶意代码，从而获取敏感信息。

从技术角度来看，网络安全专家田际云认为，个人隐私信息泄露的环节很多，包括网站、App、政务等平台，网购、快递、酒店、培训、学校、保险、出行以及汽车、房屋等交易管理部门等。收集储存个人信息的平台、调用使用信息的应用都可能造成信息泄露。但技术是人为落地实施的。个体和组织是否部署或使用相关技术?个体和组织是否依照技术要求来使用?都是需要持续观察的。

通信高级工程师袁博分析说，要防止“人肉开盒”，需要个人、企业、政府三方协力保障。首先，个人作为数据所有者应该注重保护个人隐私，提升个人隐私的保护意识，对自身和家人的敏感信息要保证足够的警惕。企业作为数据处理者应该尊重相关的隐私保护要求，从技术上可以在内部对用户的手机号等敏感信息脱敏，防止敏感信息被泄露。此外做好敏感信息的权限控制和泄露可溯源；另外从制度上也需要内部加强员工的信息安全教育，培养员工“伸手必被捉”的基础意识，避免在内部贩卖个人隐私的行为发生。政府应该从立法上加强对持有大量个人数据的平台企业的监管，从政策和法律上提升非法“人肉开盒”的打击力度，对泄露个人隐私的个人和企业从严从重惩罚。

整合:黄亚岚 来源:中国青年报、央视网、第一财经、红星新闻、环球网