原标题：黑产团伙安插平台“内鬼”窃取用户信息“日入过万”

黑产团伙通过境外社交平台招募行业“内鬼”。

正逢《个人信息保护法》实施两周年，南都大数据研究院调查发现，尽管近年我国不断加强对侵犯公民个人信息违法犯罪活动的打击，仍有黑产团伙顶风作案，使用境外通讯工具及资金交易平台逃避境内打击，以高额利益引诱关键行业人员充当“内鬼”，协助盗取个人信息。

调查

行业“内鬼”倒卖个人数据 黑产团伙境外平台做买卖　　

南都大数据研究院近日接到报料反映，有数个黑产团伙通过境外社交平台兜售个人隐私数据，从外卖、网购，到航班、火车行程信息，甚至连银行流水、征信报告等高度敏感的数据均在交易范围内。

根据报料线索，南都记者进入部分在某境外社交平台经营的聊天群组。观察发现，这些群组成员数量动辄过万，最多的一个甚至有超过24万名群组成员。在群组内，相关人员不时发布有关个人隐私数据交易的推销广告，并附上数张通过业务系统后台查询隐私数据的页面截图或照片，以彰显其实力。

对方向记者发来一份业务价格明细表，表中可见，该群组人员出售的数据涵盖户籍、民政婚姻、车辆登记、酒店住宿、通话记录等多种类型。不同数据售价不一，其中收费最高的一项是提取国内某社交软件好友清单，开价8000元一次。该人员声称，买家只需要提供目标对象的社交账号，即可提取该账号的所有好友名单，具体包括已添加联系人账号、头像、昵称、个人备注、已关注公众号等信息。

问及数据来源，该人员承认其数据大部分来自相关行业关键岗位人员。其会根据买家需求对接相关人员，直接从业务系统后台提取所需内容。为证明所言非虚，对方还发来多张不同平台业务系统后台截图，涉及国内多家知名企业。南都记者留意到，其中一张某外卖平台的业务系统截图显示，其查询到的个人订单时间为2023年10月24日，与南都记者发起调查的时间相距不到一周。

行动

持续严打形成阻吓 部分团伙删号“跑路”　　

近年，明星航班行程信息遭曝光、“内鬼”盗取快递运单、招聘网站倒卖简历等事件均曾引发公众关注。我国也一直在加强对个人信息保护力度。

据今年8月公安部新闻发布会透露数据，自2020年以来，全国公安机关依法重拳打击侵犯公民个人信息违法犯罪活动，累计侦破案件3.6万起，抓获犯罪嫌疑人6.4万名，其中抓获电信运营商、医院、保险公司、房地产、物业、快递公司等行业“内鬼”2300余名。

最高人民检察院也曾披露数据，2020年，全国检察机关起诉侵犯公民个人信息犯罪6000余人，2021年起诉人数攀升至9800余人，2022年起诉9300余人，近年案件数量保持高位，近三成被告人被判处三年以上有期徒刑。

持续严打态势确实对黑产团伙形成一定阻吓。据知情人士向南都记者展示的一份社交群组记录，2022年下半年，曾陆续有黑产团伙发布通知建议成员“低调行事”，暂停部分业务，甚至有团伙直接删号“跑路”。

现状

黑产团伙死灰复燃 只以虚拟货币交易　　

但随着时间推移，一些逃过打击的团伙又再浮出水面、试探行情。据知情人士透露，今年下半年来，有黑产团伙开始尝试“重建产业链”，再次招募“内鬼”。相关社交群组记录显示，这些“复活”的黑产团伙大多打出“日入过万”“快速变现”等宣传语，诱惑关键岗位人员加入，并宣称可一对一指导对方如何规避风险。更有团伙点名提出希望与国内某知名银行的工作人员“合作”。

南都记者也尝试以购买外卖记录数据为由，接触其中一个“复活”群组。与其他团伙相比，他们交易时显得更加谨慎，虽然同样承认数据源来自行业“内鬼”，但拒绝提供业务系统截图或照片作为数据真实性凭证，只能以文字转述、整理表格等形式向买家交付数据。在支付渠道方面，该团伙也提出只能通过虚拟货币交易，不接受任何境内支付工具。

据知情人士介绍，以往执法部门和涉事企业调查“内鬼”时，可以根据相关业务系统截图信息或照片拍摄时间，比对企业内部的业务系统登录时间、数据查询记录等方式定位“内鬼”身份。黑产团伙显然已关注到这一“风险点”，有意隐藏“内鬼”踪迹。

追因

“内鬼”泄露公民个人信息 成信息遭侵犯的主要原因　　

今年8月，北京市高级人民法院曾召开新闻通报会，介绍北京法院侵犯公民个人信息犯罪案件审判情况。据北京高院党组成员、副院长孙玲玲介绍，2018年以来，北京全市各级法院共审结侵犯公民个人信息犯罪案件219件，其中一审179件、二审40件，判处犯罪分子294人。超过半数的案件，被告人供职于公司企业、事业单位或系个体企业经营者。其中，公司职员(包括中高级管理层、法人代表)所占比例最大，为50.3%。

侵犯公民个人信息的犯罪手段越发隐蔽，“内鬼”泄露公民个人信息的行为较为突出。据北京高院介绍，买卖和交换仍是侵犯公民个人信息犯罪的主要手段；放眼整个犯罪链条，内部人员泄露信息是侵犯公民个人信息犯罪的主要源头。

近年来，我国出台《网络安全法》《数据安全法》《个人信息保护法》等一系列法律法规，对数据处理者形成法律约束，严禁数据随意共享和流转，业界也持续完善用户数据安全的“护城墙”。

《个人信息保护法》明确规定，个人信息处理者应当采取措施确保个人信息处理活动符合法律、行政法规的规定，并防止未经授权的访问以及个人信息泄露、篡改、丢失。也就是说，虽然企业可能也是数据泄露的受害者，但如果其未尽到个人信息保护义务的话，仍要承担包括行政处罚责任在内的法律责任。

数字化时代，个人信息保护与数据黑灰产治理是一项长期性、系统性的工程。奇富科技信息安全知微实验室负责人吴业超也曾指出，数据流通使用涉及多环节、多合作机构，企业注重自身数据安全管理的同时，也要把控好第三方合作和管理，完善数据全链路监控和管理体系，同时积极探索与监管机构、公安等合作打击治理数据黑灰产。　　

总第091期

统筹编辑:董晓妍

采写:李伟锋　袁炯贤

实习生　张欣　梁颖琛　傅纪岚

出品:南都大数据研究院

数据安全治理与发展研究课题组