上亿组个人信息被明码标价 独家披露“开盒”黑产链条细节

2025年4月，《法治在线》栏目对北京市海淀区检察机关办理的一起网络开盒案件进行了报道。一名配音演员小雨，因粉丝间的矛盾成为网络开盒的受害者。她的姓名、住址、身份证号等隐私信息被曝光在网上，随之而来的是无休止的电话轰炸和骚扰。

经查，实施“开盒”的是赵某和成某某，他们二人在境外聊天软件上建立群组，发布了包括小雨在内的3000余组公民个人信息，并混合侮辱谩骂文案，总查看量高达1000万余次。

2025年3月19日，北京市海淀区人民法院作出判决，被告人赵某、成某某犯非法利用信息网络罪均被判处有期徒刑1年6个月，罚金人民币1万元。

• 境外网站建群组 明码标价出售个人信息

赵某和成某某的案件已经审结，但是办案人员发现，在境外网站上的一些群组里，仍有大量公民个人信息被开盒，明码标价进行出售。

检察官发现，这些群组已经成为公开叫卖公民个人信息的黑市，一旦国内有什么热点新闻事件出现，群组里就会有人发出“某新闻事件中的人员户籍已出”“某企业总裁全家出道”这样信息，而下面紧接着的，就有“支持开盒”、咨询问价的评论。

由于这些群组都建在境外，里面的人经常会肆无忌惮像推销商品一样给开盒打广告，并详细列出能够开盒的项目。而这些项目涉及的内容更是触目惊心，包括全家户籍、就医信息、开房记录、微信好友、名下车房信息、快递地址、银行流水等等，几乎囊括了一个人的全部隐私。

• 两年2人非法获取9亿组个人信息

2025年5月，在节目播出一个月后，警方将五名涉嫌网络“开盒”的犯罪嫌疑人抓获。

经查，2023年至2025年间，犯罪嫌疑人林某武等人非法获取大量公民个人信息，后以虚拟货币收款等方式出售牟利。其中林某武非法获取公民个人信息数据6亿余组，王某康非法获取公民个人信息数据3亿余组。他们搭建的社工库网站中，公民个人信息数据共计1.7亿余组，网站访问人次超过10万次。

9亿余组公民个人信息在境外的社工库中被明码标价、随意查询。海量个人信息是从哪来？随着调查深入，一条分工明确、环环相扣的黑色产业链条浮出水面。

办案检察官介绍，整个案件中的5个犯罪嫌疑人其实的年龄都是普遍较低的，其中有4名犯罪嫌疑人在作案时年龄都不到20岁。

起初，林某武是因为自己惨遭“开盒”，为了报复那些伤害他的人，一头扎进网络去学习这项技术。 他不仅掌握了“开盒”的犯罪手法，还发现这是一条生财之道。

在学习开盒手段的过程中，林某武结识了王某康。王某康手中掌握着大量公民个人信息，且拥有非法获取信息的渠道。数据有了，还差搭建社工库的技术支持，于是他们又找到了王某。

• 通过引流 诱导他人购买“开盒服务” 

林某武、王某康、王某三人不仅搭建了专门用于非法查询的社工库网站，还设立了多个通讯群组。在这些群组中，他们公然发布侵犯他人隐私、谩骂侮辱等违法信息，甚至通过引流手段，诱导他人购买“开盒服务”以牟取非法利益。在这个过程中，他们还结识了同样从事非法获取公民个人信息活动的刘某彪和孙某恒，几人勾结形成了一条开盒犯罪的黑色产业链。

2026年3月20日，北京市海淀区人民法院对林某武、王某康等五名被告人依法作出判决，认定其行为构成侵犯公民个人信息罪及非法利用信息网络罪。其中，主犯林某武被判处有期徒刑七年，并处罚金七万元；其余四人分别被判处有期徒刑五年六个月至三年二个月不等，并处相应罚金。

这9亿余组数据是如何泄露出？在数字时代，个人信息该如何保护？

专家指出，这些数据的泄露，往往源于两条黑色链条：一是外部的“黑客入侵”，二是内部的“监守自盗”。

北京工业大学网络空间安全学院院长 杨震：大家经常听到的一个词叫“撞库”，通过撞库或通过这一个黑客的一些行为和动作，破解了一些数据库，造成了直接泄露。第二，可能有一些内部人士也是出于牟利的原因出卖了一些个人信息或相关信息。

• 打包出售十余万组客户信息 快递客服获刑

在利益的驱使下，一些人经不住诱惑，利用职务之便将数据非法外泄。

1. 2023年，上海某快递公司客服人员利用后台权限，将十余万组客户信息打包出售，最终因侵犯公民个人信息罪获刑；
2. 2025年3月至5月，河北唐山的两名辅警为谋取利益，盗用派出所副所长的公安网数字证书，通过聊天软件为不法分子提供公民个人信息，牟利超11.7万元。

• 保护个人信息 不断织密法律保护网

近年来，我国已经构建起一套日益严密、不断健全的法律保护网。

2009年，《中华人民共和国刑法修正案（七）》首次将窃取、非法提供公民个人信息的行为入刑。

2017年《中华人民共和国网络安全法》施行，首次在法律层面明确了网络运营者收集、使用个人信息必须遵循合法、正当、必要的原则。

2021年11月1日，《中华人民共和国个人信息保护法》正式实施。它与《中华人民共和国民法典》《中华人民共和国数据安全法》共同搭建起了我国个人信息保护的系统性法律框架。

• 明确责任主体 数据处理者须承担保护义务

法律不仅筑牢了制度的底线，更明确了责任主体。在数字时代，掌握海量数据的平台被称为“个人信息处理者”。

个人信息保护法第五十一条明确规定：个人信息处理者应当根据个人信息的处理目的、处理方式等，采取必要措施保障个人信息的安全。这意味着，从数据的收集源头，到存储的服务器，再到传输和提供的环节，处理者都必须承担起全生命周期的保护义务。

为了确保法规能够落地见效，我国法律也为违规的个人信息处理者准备了严厉的“惩罚清单”。

北京师范大学法学院副教授 吴沈括：按照个人信息保护法规定，最高可以达到罚款5000万元人民币，或者上一年度营业额的5%。并且在这里面我们还有一个特殊责任机制，就是高管的从业禁止的要求，禁止特定人员在一段时期内从事这个相应的高管这个角色，这也是世界范围内唯一的制度设计，是非常严厉的一个处罚方式。

法学专家认为，这样的惩罚机制提高了违法违规的成本，要求数据处理者必须时刻紧绷安全这根弦，切实履行主体责任。

法律的防护网已经越织越牢，在林某武等人的这起“开盒”案中，几名主犯已经为自己的行为付出了沉重的代价。对于那些掌握着海量数据处理者来说，违法成本的提高，也将倒逼他们将个人信息保护置于商业利益之上。而对于我们每个人来说，也要警惕那些生活中无意识的信息泄露。

• 百元出售肖像权 个人信息泄露风险高

近日，湖南长沙一家文化传媒公司对外招募AI短剧肖像授权人，应聘者只需要提供几张本人照片及身份信息，签下肖像权使用授权书后就能收到100元的费用。

100元出售自己的脸，这笔买卖暗藏着各种风险。专家表示，我们的很多个人信息，就是在这样有意无意地过程中泄露出去的。

北京工业大学网络空间安全学院院长 杨震：人脸信息是关键的人的生物特征。我们只有10个指纹，1张脸2个虹膜，人们可以换密码、换账户，但换不了脸了。所以一旦泄露以后，它的这个危害特别大。

• 国家网络身份认证 为个人信息穿上防弹衣

而面对复杂的网络环境，仅靠个人的“单打独斗”显然不够。2025年7月15日，公安部、国家网信办等6部门联合公布的《国家网络身份认证公共服务管理办法》正式施行。每个人都可以重新申请“网络身份证”。

网络身份证就像是国家给我们在网上办了一张“电子身份证”。以前我们注册软件时，得把真实的姓名、身份证号这些个人信息直接交给平台；现在有了“网络身份证”，我们只需要出示这个经过国家认证的网络身份证，就可以注册登录，无需再透露自己的个人信息。

• 织密个人信息防护网 需提升全社会认知

从记者的随机采访情况看，许多人都没听过国家网络身份认证这项服务，但听过了内容和原理之后，都表现出了兴趣和认可。对此，专家认为，要真正织密这张个人信息的防护网，除了技术的不断迭代，更需要全社会认知的提升和应用的推广。

北京工业大学网络空间安全学院院长 杨震：如果一个软件和一个工具不被大家使用，不被推广使用，只能在有限的软件和工具上使用，那它的意义就不大了，所以这个软件一定要更加普及，更加易用，这样才能更加好用。

“网络身份证”，如同为个人信息穿上了一层防弹衣，但还需要更多的人来了解和使用它。除此之外，我们也可以养成一些良好的用网习惯，来保护我们自己的信息。

• 为不同平台设置独立的高强度密码，避免“一套密码走天下”；
• 在个人新媒体账号里，不随意晒出包含个人信息的票据、证件或实时定位；
• 面对手机App的权限申请，也要注意拒绝与核心功能无关的授权；
• 一旦发现账号异常或信息泄露，立刻冻结账户、修改密码，必要时报警求助，将损失降到最低。

身处数字时代，我们享受便利的同时，个人信息的泄露也成为严峻挑战。面对这一现实，既需要国家层面的雷霆手段，严打黑色产业链，也需要企业严守合规底线，技术与法律并进，监管与素养同行，我们才能在数字浪潮中，守住那份属于我们的安宁。