揭秘|信息贩卖产业链：有黑客有内鬼 800元能买1万条

“ 本人大量求购个人理财信息，数量上不封顶，越多越好 ！”2016年5月， 安徽马鞍山市一个名为“outman”的网民 在多个QQ群里大肆求购公民个人信息，特别是马鞍山本地公民资料，内容涉及银行、保险、理财等方面。

很快一个名叫“ 云 ”的网民与“ outman ”联系上，通过一番网上沟通，便传给“outman”一个文件夹，里面竟存放着 10000条马鞍山市民的投资理财类个人信息 。

万条公民个人信息 ，何以就这样轻易在网上被陌生人交易？安徽马鞍山市含山县警方发现这一异常后，迅速展开侦查，很快锁定了买家和卖家，并由此顺藤摸瓜，一个环环相扣的公民 信息贩卖 网络浮出水面。

原来“outman”是马鞍山一家理财公司的员工，公司老板要求找路子获取马鞍山市特定人群资料，方便其拉客户。而“云”是一家国企员工，也是个人信息贩卖的中间商，他的数据来源于名为“ 专业电销 ”的网民。而“专业电销”的信息则来自一个叫伍某的专业信息批发商。

从买家“outman”到中间商“云”和“专业电销”再到批发商伍某，一条信息贩卖的三级利益链浮出水面。警方查明，这个犯罪链条共计疯狂买卖 公民个人信息达1.25亿条 。其中伍某从 800元购买10000条公民个人信息 起家，仅用一年时间，就通过非法交换、转卖等方式建立起自己的专业数据买卖网站和数据库，售卖信息动辄一次就数千万条。

这不过是贩卖公民个人信息的冰山一角。如果说含山案只暴露出信息批发商的环节，那么此后不久，公安部和安徽蚌埠警方披露了一起近 50亿条 公民信息盗贩案，则揭开了信息贩卖利益链最顶端的盖子。

公安部门侦查发现，黑客郑某某与何某某，通过应聘方式潜入互联网公司核心部门，或利用入侵国内外知名互联网公司服务器等手段，大肆窃取公民个人信息等核心数据，相互交换、出售获利。

负责侦办此案的蚌埠市公安局刑警支队支队长杨庆介绍，此案由公安部督导，安徽省公安厅指挥，涉案地区达全国 14个省市 ，抓获涉案人员 79人 ，缴获电子数据 1.4Tb ，获取 数据近50亿条 。“黑客是盗取大量个人信息的重要源头。这些被泄露的公民个人信息涉及国内知名的上市互联网公司，数据巨大，涉及面广，堪称震惊互联网信息安全的行业大事件。”

半月谈记者采访发现，犯罪团伙中 ，有人专门负责窃取公民的相关信息；有人通过技术手段对这些信息整理、建库；有人将数据出售、交换、变现。

含山县警方绘制的一张侵犯公民个人信息犯罪图显示， 信息侵犯共分四级 ， 第一级 是黑客或内鬼盗取公民个人信息； 第二级 是信息批发商，他们从黑客手中获取大量信息，并通过互相交换，像滚雪球一样不断增加自己的信息数据库； 第三级 是信息购买人或者中间商，他们从批发商那里购买各种数据，再根据需要转手卖给他人； 第四级 是信息使用者，包括业务推销、诈骗盗窃等人员，他们拿到信息后，进行电话营销，或者利用伪基站实施电信诈骗。

一位涉案黑客翁某告诉半月谈记者，通过技术入侵网站盗取公民个人信息对他这样的黑客来说并不难，少则几天多则几月，一般都会成功。至今他已经入侵网站达几百家，从未被管理员发现。在他们黑客圈子里，大家有个默契，入侵网站获取权限和信息后，都会 互相交换数据、互通有无，让盗取的公民个人信息库越来越大 。

涉案的另一名黑客郑某说，大家 最开始入侵网站是为了攀比技术 ，盗取信息后有的甚至放到网上免费供人下载。渐渐随着需求的增加、利益的驱使，开始有人 专门为了钱而去盗取信息。

据了解，大量个人 信息被黑客盗取和卖给批发商 后 ，一般要进行 三步操作 。

一是撞库 ，即黑客或信息批发商用手中掌握的A网站的用户信息去登录B网站C网站等，一旦用户是多个账号共用一个密码，那么个人网上信息便会如多米诺骨牌一样被瞬间破解； 二是洗库 ，在撞库后，黑客或信息批发商就会对获得的大量信息进行合并梳理归类，比如分理财、医疗、公务员、车险等多个种类，为下一步售卖做准备； 三是脱库 ，即售卖数据或从中拿出部分数据进行精准推送。

采访中，半月谈记者了解到，这些侵犯公民信息安全的黑客和贩卖者，往往都是 线下有正规的工作，线上通过QQ群组结识聚合成为网上好友 ，密切配合沆瀣一气的。

据悉，在侵犯个人信息案件中，涉及信息主要包括 网购数据、车主数据、保险理财类数据、学生公务员国企员工等特殊群体数据、医疗住宿出行数据 等多种类型。这些信息因出卖次数多少、包含内容多寡决定价格高低。如果是首次出卖，信息包含银行卡号等含金量高的内容，可卖到一条信息一元的高价。多次转卖，往往就以一两百元一万条的价格打包出售。

大量个人信息被侵犯带来了不堪其扰的 推销电话和短信， 还有后果严重的 电信诈骗 。

含山县公安局网安支队副大队长王非介绍，被盗取的个人信息往往被分类用于 精准推销、精准诈骗 ，比如公务员、教师、国企员工的信息往往被用来推销 大额信用卡 ；个人银行卡类信息，往往被用来推销 理财产品 ，或者用于 复制银行卡盗窃资金 ；学生信息，则用来推销教材和家教信息，或以中、高考加分为借口进行 诈骗 ；收藏品、保健品用户信息，车主信息则用来推销相应的商品或进行 专门诈骗 。

面对信息泄露，公众往往被提醒要自己小心，提高警惕，保护好自己的信息。这当然是一个重要方面。然而，在互联网高速发展的大背景下， 除非离网生活，否则仅靠公民个人自我保护，很难保证信息安全。

采访中一位采访对象说，他曾在房产公司、保险公司工作过，对于客户信息，公司虽有要求不能泄露，但实际没有有效的监管措施。

目前一些网站本身的安全防护水平不高，甚至 黑客入侵网站拿走数据后，有的网站仍浑然不觉。

显然，保障信息安全，需要各方共同发力。然而目前来看， 防控信息泄露、打击信息犯罪还存在诸多难点。

首先，对侵犯公民个人信息的定罪标准仍不明确。 信息的敏感程度、数量、获取手段、损害后果等都应当是罪刑考量的要素，而现行法律对此还未作出清晰规定，导致对犯罪人员的打击处理缺乏有力法律支撑，没有形成应有的震慑。

其次，机关、企事业单位个人数据保护责任尚未落实。 很多单位没有建立完善的信息系统安全管理制度；对于收集到的个人信息没有及时进行匿名或化名处理；一些信息存储平台的日常防护能力不足。另外，目前处理的贩卖个人信息案件中，往往只追究了“内部人员”的法律责任，对相关单位及其领导的责任很少追究。

第三，公安部门反映，侵犯公民个人信息犯罪往往通过网络，涉及全国各地 ，信息种类庞杂，造成犯罪分子追踪难、信息溯源难，对公安内部的多警协作要求日益增多，对各部门的协调配合要求也日益增多，这些都给案件侦办提出了新挑战。

然而不管怎样， 严厉打击信息犯罪，已是人民群众的共同心声。 面对新形势，必须加强上下游违法犯罪形态研究，建立起从源头到渠道、从平台到行业、从企事业单位到管理部门的综合防控体系，推进法律适用和落实执行等配套机制，切实提升犯罪成本，切实保障公民信息安全。（来源：半月谈；文/杨玉华 ，