深夜的代码围猎：“人才上门”实为非法撞库，全国注册建造师被盯上了|公安|周放|电信网络|筑力|经济技术开发区

图片来源：摄图网

本文为《方圆》杂志原创稿件

未经授权，禁止转载

深夜，筑力公司的办公室灯火通明

与此同时

千里之外某App服务器上

一场无声的“围猎”正在上演

筑力公司的脚本程序

正以每秒数百次的频率

用从网上“撞”来的公民身份信息

疯狂试探着该App的验证接口

这是一条完整的黑色产业链——

从爬虫抓取到撞库匹配

再到打包出售

筑力公司在不到一年的时间里

卖出380多万条公民个人信息

380多万条公民个人信息成了“商品”

时间倒回2020年6月，周放与妻子共同出资成立筑力公司，主营建筑行业相关业务，为建筑企业提供人才招聘服务。刚开始，公司业务还不错，但到了2023年下半年，周放发现传统的招聘模式利润太薄，竞争也日趋激烈。

“如果能掌握全国注册建造师的精准联系方式，直接对接企业需求就好了。”在一次内部高层会议上，周放提出了这个想法。

在场的总经理孙晓斌、技术部负责人赵贺年等人，都读懂了老板眼神里的急切。很快，在周放的策划和授意下，一个名为“人才上门”的网站项目正式立项。按照周放的设想，这个网站要能提供全国所有注册建造师的详细信息，包括姓名、身份证号、手机号码等核心数据，企业客户只需付费开通会员或购买“人才币”，就能按需查询、批量下载这些信息。拿到这些信息后，企业便能按需直接与中意的注册建造师联系。

“我们需要数据源。”赵贺年在技术讨论会上直言。于是，一场针对某建筑市场公共服务平台的数据窃取行动悄然开始。他们利用互联网爬虫技术，对服务平台上的注册建造师信息进行大规模抓取。这些公开信息中包含了注册建造师的姓名、注册类别、注册证号等基础数据，但没有手机号码，身份证号码也被加了星号。如何获取手机号码并将身份证号码的星号补全，成了筑力公司技术团队必须攻克的难题。

赵贺年想到了一个办法——撞库。所谓“撞库”，是一种黑客攻击方式，通过收集互联网已泄露的用户名及密码生成字典表，利用用户多平台使用相同账号密码的习惯，批量尝试登录其他网站获取有效账户，并与拖库、洗库共同构成黑色产业链的关键环节。筑力公司技术人员从网上购买了一款专门用于批量登录验证的脚本程序，然后将从服务平台抓取到的公民身份证信息输入其中，对某App进行“轰炸式”登录尝试。

这个App是一个正规平台，许多用户都曾在该平台实名注册。就这样，筑力公司非法获取了380多万条完整的公民个人信息——姓名、身份证号、手机号一应俱全，全部打包存储在公司服务器上。

数据库搭建完成后，“人才上门”网站正式上线。筑力公司开始向建筑行业的企业客户推销这款“拳头产品”。

客户只需付费开通会员账号，或购买网站内流通的“人才币”，就能进入数据库查询、下载注册建造师的个人信息。A建材公司等3家公司成为筑力公司的首批“大客户”。从2023年下半年到2024年7月案发，筑力公司向这3家公司出售公民个人信息共计7万余条，非法获利7.36万元。

案发后，被攻击的App已修复系统漏洞。

铁证面前，他们低下了头

2024年7月，公安机关在网络巡查中发现异常。经过技术侦查，公安机关迅速锁定了筑力公司。当办案民警出现在筑力公司门口时，孙晓斌正在会议室里和员工讨论下一季度的业绩目标。

现场勘查中，办案人员在筑力公司服务器上提取到了完整的数据库，380多万条公民个人信息赫然在列。面对铁证，孙晓斌等人低下了头。

“我们以为做的是信息中介服务，没想到已经踩了法律的红线。”赵贺年喃喃自语。

“当时只觉得这是技术手段，没往犯罪那方面想。”赵贺年在接受讯问时说。但办案人员对他的说法产生了质疑：服务器上的数据被严格加密，内部访问权限层层设限，这些操作，对于一个搞技术出身的人来说，怎么可能意识不到反常？

案件以孙晓斌、赵贺年等人涉嫌侵犯公民个人信息罪移送江苏省徐州经济技术开发区检察院审查起诉后，检察机关经审查发现，虽然筑力公司法定代表人周放否认授意员工爬取、清洗、出售公民个人信息，但证人证言、合同书、银行交易记录均能证明，筑力公司各部门在实施爬取、整理、归档个人信息过程中分工合作，出售时也以单位名义对外签订合同、收取销售款，孙晓斌、赵贺年等员工仅按月领取工资。所以，此案侵犯公民个人信息行为是筑力公司为该公司经营发展而实施的，整体应当认定为单位犯罪。其中，周放作为公司的法定代表人，策划、授意下属实施了犯罪行为，并掌握、支配公司获利，应对其进行追诉。鉴于公安机关未对其开展侦查行为，徐州经济技术开发区检察院依法要求公安机关对周放补充移送审查起诉，并追加筑力公司作为单位被告，对全案提起公诉。

其间，因周放涉嫌其他犯罪被他省公安机关羁押，徐州经济技术开发区检察院联系筑力公司另一位股东——周放的妻子，作为公司的诉讼代表人参与诉讼。

在办理刑事案件的同时，徐州经济技术开发区检察院认为，筑力公司非法获取、存储并出售大量公民个人信息，非法获取计算机信息系统数据，侵害了社会公共利益，除了依法承担刑事责任外，还应当承担相应的民事责任。

在调查过程中，孙晓斌辩解道，公司并没有侵害他人的个人信息安全，并称为了“保护”获取到的公民个人信息，他们在销售过程中还特意进行了技术加密。但这恰恰说明了筑力公司对公民个人信息受法律保护是非常明确的，却仍铤而走险进行出售。

“技术中立”不是护身符

2025年12月19日，根据罪名竞合“择一重处”原则，徐州经济技术开发区检察院以筑力公司及孙晓斌、赵贺年等人涉嫌侵犯公民个人信息罪向法院提起刑事附带民事公益诉讼。

2026年3月24日，此案开庭审理。4月10日，法院对此案作出判决：以侵犯公民个人信息罪判处筑力公司罚金10万元，退缴违法所得7.36万元；以侵犯公民个人信息罪判处孙晓斌、赵贺年及其他技术人员有期徒刑三年至一年，对部分被告人适用缓刑，各并处罚金。在附带民事公益诉讼部分，筑力公司还需另外承担公益损害赔偿金7.36万元，并就其侵犯公民个人信息的行为向社会公开赔礼道歉。周放作为同案主犯，公安机关在经徐州经济技术开发区检察院监督后，着手开展押解工作，将其补充移送至检察机关审查起诉，依法追究刑事责任。

检察机关提醒：公民个人信息受法律保护，任何组织或个人不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。企业经营者应当树立正确的商业伦理观，网络空间也不是法外之地，技术手段的运用必须以合法为前提，逾越法律红线的所谓“创新”，终将付出沉重代价。

（文中涉案人员、公司均为化名。本文有删减，更多内容请关注《方圆》5月下期）

本文杂志原标题：《建筑人才信息被明码标价》