圖片來源：攝圖網(wǎng)

本文為《方圓》雜志原創(chuàng)稿件

未經(jīng)授權(quán)，禁止轉(zhuǎn)載

深夜，筑力公司的辦公室燈火通明

與此同時

千里之外某App服務(wù)器上

一場無聲的“圍獵”正在上演

筑力公司的腳本程序

正以每秒數(shù)百次的頻率

用從網(wǎng)上“撞”來的公民身份信息

瘋狂試探著該App的驗證接口

這是一條完整的黑色產(chǎn)業(yè)鏈——

從爬蟲抓取到撞庫匹配

再到打包出售

筑力公司在不到一年的時間里

賣出380多萬條公民個人信息

380多萬條公民個人信息成了“商品”

時間倒回2020年6月，周放與妻子共同出資成立筑力公司，主營建筑行業(yè)相關(guān)業(yè)務(wù)，為建筑企業(yè)提供人才招聘服務(wù)。剛開始，公司業(yè)務(wù)還不錯，但到了2023年下半年，周放發(fā)現(xiàn)傳統(tǒng)的招聘模式利潤太薄，競爭也日趨激烈。

“如果能掌握全國注冊建造師的精準(zhǔn)聯(lián)系方式，直接對接企業(yè)需求就好了。”在一次內(nèi)部高層會議上，周放提出了這個想法。

在場的總經(jīng)理孫曉斌、技術(shù)部負(fù)責(zé)人趙賀年等人，都讀懂了老板眼神里的急切。很快，在周放的策劃和授意下，一個名為“人才上門”的網(wǎng)站項目正式立項。按照周放的設(shè)想，這個網(wǎng)站要能提供全國所有注冊建造師的詳細(xì)信息，包括姓名、身份證號、手機號碼等核心數(shù)據(jù)，企業(yè)客戶只需付費開通會員或購買“人才幣”，就能按需查詢、批量下載這些信息。拿到這些信息后，企業(yè)便能按需直接與中意的注冊建造師聯(lián)系。

“我們需要數(shù)據(jù)源。”趙賀年在技術(shù)討論會上直言。于是，一場針對某建筑市場公共服務(wù)平臺的數(shù)據(jù)竊取行動悄然開始。他們利用互聯(lián)網(wǎng)爬蟲技術(shù)，對服務(wù)平臺上的注冊建造師信息進(jìn)行大規(guī)模抓取。這些公開信息中包含了注冊建造師的姓名、注冊類別、注冊證號等基礎(chǔ)數(shù)據(jù)，但沒有手機號碼，身份證號碼也被加了星號。如何獲取手機號碼并將身份證號碼的星號補全，成了筑力公司技術(shù)團(tuán)隊必須攻克的難題。

趙賀年想到了一個辦法——撞庫。所謂“撞庫”，是一種黑客攻擊方式，通過收集互聯(lián)網(wǎng)已泄露的用戶名及密碼生成字典表，利用用戶多平臺使用相同賬號密碼的習(xí)慣，批量嘗試登錄其他網(wǎng)站獲取有效賬戶，并與拖庫、洗庫共同構(gòu)成黑色產(chǎn)業(yè)鏈的關(guān)鍵環(huán)節(jié)。筑力公司技術(shù)人員從網(wǎng)上購買了一款專門用于批量登錄驗證的腳本程序，然后將從服務(wù)平臺抓取到的公民身份證信息輸入其中，對某App進(jìn)行“轟炸式”登錄嘗試。

這個App是一個正規(guī)平臺，許多用戶都曾在該平臺實名注冊。就這樣，筑力公司非法獲取了380多萬條完整的公民個人信息——姓名、身份證號、手機號一應(yīng)俱全，全部打包存儲在公司服務(wù)器上。

數(shù)據(jù)庫搭建完成后，“人才上門”網(wǎng)站正式上線。筑力公司開始向建筑行業(yè)的企業(yè)客戶推銷這款“拳頭產(chǎn)品”。

客戶只需付費開通會員賬號，或購買網(wǎng)站內(nèi)流通的“人才幣”，就能進(jìn)入數(shù)據(jù)庫查詢、下載注冊建造師的個人信息。A建材公司等3家公司成為筑力公司的首批“大客戶”。從2023年下半年到2024年7月案發(fā)，筑力公司向這3家公司出售公民個人信息共計7萬余條，非法獲利7.36萬元。

案發(fā)后，被攻擊的App已修復(fù)系統(tǒng)漏洞。

鐵證面前，他們低下了頭

2024年7月，公安機關(guān)在網(wǎng)絡(luò)巡查中發(fā)現(xiàn)異常。經(jīng)過技術(shù)偵查，公安機關(guān)迅速鎖定了筑力公司。當(dāng)辦案民警出現(xiàn)在筑力公司門口時，孫曉斌正在會議室里和員工討論下一季度的業(yè)績目標(biāo)。

現(xiàn)場勘查中，辦案人員在筑力公司服務(wù)器上提取到了完整的數(shù)據(jù)庫，380多萬條公民個人信息赫然在列。面對鐵證，孫曉斌等人低下了頭。

“我們以為做的是信息中介服務(wù)，沒想到已經(jīng)踩了法律的紅線。”趙賀年喃喃自語。

“當(dāng)時只覺得這是技術(shù)手段，沒往犯罪那方面想。”趙賀年在接受訊問時說。但辦案人員對他的說法產(chǎn)生了質(zhì)疑：服務(wù)器上的數(shù)據(jù)被嚴(yán)格加密，內(nèi)部訪問權(quán)限層層設(shè)限，這些操作，對于一個搞技術(shù)出身的人來說，怎么可能意識不到反常？

案件以孫曉斌、趙賀年等人涉嫌侵犯公民個人信息罪移送江蘇省徐州經(jīng)濟技術(shù)開發(fā)區(qū)檢察院審查起訴后，檢察機關(guān)經(jīng)審查發(fā)現(xiàn)，雖然筑力公司法定代表人周放否認(rèn)授意員工爬取、清洗、出售公民個人信息，但證人證言、合同書、銀行交易記錄均能證明，筑力公司各部門在實施爬取、整理、歸檔個人信息過程中分工合作，出售時也以單位名義對外簽訂合同、收取銷售款，孫曉斌、趙賀年等員工僅按月領(lǐng)取工資。所以，此案侵犯公民個人信息行為是筑力公司為該公司經(jīng)營發(fā)展而實施的，整體應(yīng)當(dāng)認(rèn)定為單位犯罪。其中，周放作為公司的法定代表人，策劃、授意下屬實施了犯罪行為，并掌握、支配公司獲利，應(yīng)對其進(jìn)行追訴。鑒于公安機關(guān)未對其開展偵查行為，徐州經(jīng)濟技術(shù)開發(fā)區(qū)檢察院依法要求公安機關(guān)對周放補充移送審查起訴，并追加筑力公司作為單位被告，對全案提起公訴。

其間，因周放涉嫌其他犯罪被他省公安機關(guān)羈押，徐州經(jīng)濟技術(shù)開發(fā)區(qū)檢察院聯(lián)系筑力公司另一位股東——周放的妻子，作為公司的訴訟代表人參與訴訟。

在辦理刑事案件的同時，徐州經(jīng)濟技術(shù)開發(fā)區(qū)檢察院認(rèn)為，筑力公司非法獲取、存儲并出售大量公民個人信息，非法獲取計算機信息系統(tǒng)數(shù)據(jù)，侵害了社會公共利益，除了依法承擔(dān)刑事責(zé)任外，還應(yīng)當(dāng)承擔(dān)相應(yīng)的民事責(zé)任。

在調(diào)查過程中，孫曉斌辯解道，公司并沒有侵害他人的個人信息安全，并稱為了“保護(hù)”獲取到的公民個人信息，他們在銷售過程中還特意進(jìn)行了技術(shù)加密。但這恰恰說明了筑力公司對公民個人信息受法律保護(hù)是非常明確的，卻仍鋌而走險進(jìn)行出售。

“技術(shù)中立”不是護(hù)身符

2025年12月19日，根據(jù)罪名競合“擇一重處”原則，徐州經(jīng)濟技術(shù)開發(fā)區(qū)檢察院以筑力公司及孫曉斌、趙賀年等人涉嫌侵犯公民個人信息罪向法院提起刑事附帶民事公益訴訟。

2026年3月24日，此案開庭審理。4月10日，法院對此案作出判決：以侵犯公民個人信息罪判處筑力公司罰金10萬元，退繳違法所得7.36萬元；以侵犯公民個人信息罪判處孫曉斌、趙賀年及其他技術(shù)人員有期徒刑三年至一年，對部分被告人適用緩刑，各并處罰金。在附帶民事公益訴訟部分，筑力公司還需另外承擔(dān)公益損害賠償金7.36萬元，并就其侵犯公民個人信息的行為向社會公開賠禮道歉。周放作為同案主犯，公安機關(guān)在經(jīng)徐州經(jīng)濟技術(shù)開發(fā)區(qū)檢察院監(jiān)督后，著手開展押解工作，將其補充移送至檢察機關(guān)審查起訴，依法追究刑事責(zé)任。

檢察機關(guān)提醒：公民個人信息受法律保護(hù)，任何組織或個人不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息。企業(yè)經(jīng)營者應(yīng)當(dāng)樹立正確的商業(yè)倫理觀，網(wǎng)絡(luò)空間也不是法外之地，技術(shù)手段的運用必須以合法為前提，逾越法律紅線的所謂“創(chuàng)新”，終將付出沉重代價。

（文中涉案人員、公司均為化名。本文有刪減，更多內(nèi)容請關(guān)注《方圓》5月下期）

本文雜志原標(biāo)題：《建筑人才信息被明碼標(biāo)價》

編輯丨黃莎 肖玲燕設(shè)計丨劉巖

文丨劉盼盼 王一芃

點擊圖片

購買《方圓》雜志

好看的人都點了在看