“开盒”暗网：素人隐私危机与维权困境

编辑·王珊3月15日下午2点半，苗婷正浏览社交平台，一串再熟悉不过的英文毫无预兆地闯入她的视线，那是她的微博昵称，旁边还附上了她的真实姓名、手机号和QQ号——苗婷马上意识到，自己被开盒了。

被开盒是因为苗婷在微博超话里发帖声援了被某韩国明星粉丝攻击的一名孕妇。3月12日，有博主发微博说该韩国明星看秀当天往返法国巴黎和中国，简直是“魔鬼行程”。这名孕妇在微博下评论：“12小时的飞行又不是她自己开飞机，头等舱睡觉不要太舒服啊，还‘魔鬼行程’，真是什么话都说出来了。”

她的这条评论在该明星粉丝群体里引发轩然大波。这之后，微博昵称为“妳的眼眸是世界上最小的湖泊”（以下简称“眼眸”）和“美阴阴”等粉丝开盒曝光了这位孕妇的姓名、电话号码、工作单位等个人信息。随后的三天里，网络上的诅咒、谩骂和威胁席卷了孕妇乃至她的家人。甚至有粉丝添加孕妇丈夫的微信让他家暴女方，还有人追到了她的工作单位。

苗婷看不下去，在微博上表达了粉丝在霸凌素人的想法。被开盒的还有君君。3月15日下午，君君也在微博发声支持了孕妇。25分钟后，她的真实姓名、身份证号码、电话号码被“美阴阴”公开。君君说看到自己信息的那瞬间，她很恐慌，“好像在互联网上裸奔”，“做梦都没想过这种事情会发生在我身上”。当天晚上，君君满脑子都在担心他们会不会去骚扰自己的家人？会不会找到自己其他的社交平台，公开更多现实生活里的事情？君君进入了全方位戒备的状态，解绑了社交平台和手机号的关联、关闭了朋友圈、删除了所有快递和外卖地址。但强烈的不安全感依然笼罩着她，“总觉得有一只眼睛在暗中盯着我的生活”。

多位受害者告诉本刊，3月15日开始，为孕妇说话的多位网友一一被开盒。3月15日中午，小鸳发帖说粉丝应该给素人道歉，这条帖子在发布10分钟后登上超话热门第一，三天收获了3.9万点赞，97万阅读量。帖子带来的关注度使小鸳成为被粉丝集中攻击的对象。当天下午5点，小鸳的手机号被公开，收件箱一下子涌入大量广告短信，“有不孕不育医院的，治艾滋病的等等”，超过千条。据受害者了解，至少有20位素人被开盒。

3月15日，开盒事件的相关舆论持续发酵，有网友指出，“眼眸”是百度副总裁谢广军的女儿。网上流传的一张截图显示，2024年7月，在一条“你要开谁的盒”的评论下，“眼眸”用账号回复：“我家长给的。”网友纷纷质疑“眼眸”能通过谢广军从百度内部获取用户信息。3月16日，“眼眸”清空了全部微博。第二天，百度副总裁谢广军在朋友圈发文称：“我13岁的女儿在网上与人争执，情绪失控下，把海外社群网站上的他人隐私信息发布在自己的账号上，进而导致自己的个人信息也被曝光，引发大量负面言论扩散。……在此，也向所有受影响的朋友郑重道歉。”

3月20日，针对谢广军女儿开盒事件，百度召开安全沟通会，公开调查结果。百度安全负责人陈洋表示，经反复排查，相关开盒信息并非谢广军提供，来源是海外社交平台里一个名为“天网社工库”的群组。陈洋提到的“社工库”，是指黑灰产业从业者通过非法手段收集并整理的大量个人隐私信息数据库。陈洋说，在国外上学的谢广君女儿在外网上输入“免费查人”后，搜索结果指向某海外社工库，她通过此途径很快完成开盒。

本刊记者在某海外搜索引擎上输入“社工库”，第一条搜索结果便是多个免费社工库的群组账号。在本刊记者随机加入的近20个社工库中，有12个群组成员人数超过20万，单个群组内最多达到69万人，最少的4万人。

每个社工库里都有机器人自动回复信息：只需提供姓名、QQ号、微博昵称、手机号、邮箱地址、微信号、身份证号等信息中的任意一条，就能免费获悉其他隐私信息。每个机器人可免费提供的信息范围不同，本刊记者输入自己的信息进行测试，有的机器人能根据手机号查询出记者多个社交平台的账号，有的只需要输入名字，就能查到上百个同名人的手机号、性别、身份证号码、地址，以txt文件形式打包发送，耗时0.091秒，记者在其中找到了自己的准确信息。

当进入付费环节，社工库能查询到的就不只是这些个人的基本信息。人工客服会发来详细的“业务单”，包含婚姻记录、手机轨迹、名下房产及车辆信息、微信和支付宝流水、短信和通话记录及社保余额等信息，根据信息的详细程度，收费在100～1500元不等。本刊记者进入“眼眸”使用的“天网社工库”后发现，此社工库有5.69万成员，现已停用，最后一条查询信息发送于3月20日凌晨2点13分。本刊记者看到，仅仅在3月20日凌晨0点到1点这一小时，就有84位用户在“天网社工库”内使用机器人免费查询隐私信息。

那么，这些社工库提供的信息是如何泄露并被利用的呢？中国电子技术标准化研究院网络安全研究中心测评实验室副主任何延哲在接受媒体采访时提到，一些机构在设置数据接口时缺少身份认证、访问控制等安全措施，导致黑客能够随时“劫持”接口并获取实时数据。网络安全公司奇安信的安全专家裴智勇在接受采访时表示，“各类机构在获取用户数据后，往往会和合作伙伴共享，以获取数据的最大利用价值”。裴智勇说，在数据共享过程中，部分合作伙伴未完全遵守网络安全协议，进而导致用户数据泄露。同时，一些网络黑灰产业和机构“内鬼”相勾结，倒卖用户数据。“在互联网知识共享平台上发生的数据泄露事件中，这两种方式占比超过一半”。

中国电信研究院在2023年发表的一篇论文《社工库信息泄露事件对加强数据安全防护的启示》，则进一步厘清了这条隐私泄露产业链的各个环节，“上游为提供技术支持的黑客，或者泄露敏感个人信息的‘内鬼’；中游为社工库，即‘黑产’地下数据库的运营方；下游是实施‘黑产’犯罪行为（如诈骗、洗钱、骗贷）的团伙”。

2019年，17岁的刘天是在QQ群里的广告了解到社工库，并用其开盒他人的。他告诉本刊，在游戏群里，常有人随机辱骂他。刘天不太会骂人，“可是总不能默默被骂吧”，有网友向他介绍了开盒，他花了100多元钱开出了骂人者的名字、身份证号码等个人信息，对方哑火了，默默退群。刘天“有种报复的爽感”。在了解到社工库之前，刘天的开盒方式主要靠手动尝试社交网站的漏洞，用“找回密码获取手机号”“转账0.01元能在银行回执中看到对方真名”等手段。但这些方法较为费时，有时近一周时间才开出一个手机号，而社工库将海量个人信息汇聚整合，简化了开盒流程，降低了开盒的门槛。

随着社工库的不断增加，开盒产业链里出现了一群“中间商”，将国内社交平台上找到的客户和海外社工库连接起来。21岁的李奕就是其中一位。他自己并不掌握开盒技术，但有稳定合作的社工库，他对接供需双方赚差价。为了寻找客源，他“雇了一个未成年人，一天给20元”，让对方在网络相关帖子下大量发广告，每天拉客进接单群。至于价格，他“看人下菜碟”，基础的个人信息开盒一般收300元，“如果对方是有钱人，那就收2000元”。靠着开盒，李奕月入上万元。

本刊记者在几大主流社交软件上搜索“开盒”“开户”等关键词，许多求开盒的评论下都有十几个人在拉客，他们“卷态度”——都是女生超好说话，“卷信誉”——有大量信誉图，“卷价格”——全网最低价。然而，市场鱼龙混杂，你并不知道自己遇到的会是第几手下线，或者是骗子。本刊记者顺着一条广告帖添加了一位开盒者的QQ，尝试让对方开盒自己的个人信息。对方收取160元后，却表示：“钱太少了，上家不给开”，要求再转账80元，沟通未果，最终并未成功开盒。事实上，这次开盒孕妇等人并不是“眼眸”第一次开盒陌生人。王可告诉本刊，去年12月11日，自己的微博主页、姓名和身份证号就被对方挂出。王可觉得自己被开盒是因为和她的“粉籍不同”，王可喜欢《名侦探柯南》里的毛利兰，对方则喜欢灰原哀，两家粉丝向来不太对付，但王可和谢广军的女儿互相并不认识。王可认为，可能是自己经常活跃在毛利兰相关微博的热门评论里，给“眼眸”留下了印象，当她随机选择毛利兰粉丝进行开盒时，就选中了她。

王可混日漫圈三四年，对“开盒”这个词并不陌生，但它更常见的场景是，大家把网络口角夸大为“你开盒我”来进行彼此指责。王可告诉本刊，在他们圈子里真正挂出对方个人隐私信息的实质性开盒很少，这在圈内是令人不齿的行为，开盒者会被人发帖曝光，大家转发扩散，“被钉在圈内耻辱柱上”。令王可无法理解的是，此次韩国明星粉丝引发的开盒事件，似乎并不只是为了侮辱或者攻击，还有享受其中的权力感和优越感，让他人“知道自己的厉害”。

刘天告诉本刊，起初开盒对于他而言只是出于“自保”的考虑，他觉得开盒是让骂他的人付出代价的最为直接有效的方式。但到后面，那种“别人做不到我能做到”的优越感，将他一步步推入开盒的暗网。刘天说，除了网络信息泄露外，开盒的途径还有不法交易。2019年，他在游戏群里认识了一位辅警并迅速混熟，对方会帮他去查询个人信息，只收刘天40元。刘天自此开始利用开盒赚钱。在学校里，刘天上课睡觉，回宿舍后精神抖擞地做开盒生意。2021年开始，市面上几乎所有的开盒业务刘天都能承接。开盒巅峰时期，他一天接几百单，“批量开”，每天能净赚大几千元。不用打任何广告，客户会口口相传地找上门来，其中既有和他之前一样在游戏里被骂的未成年人，也有被骗钱的成年人，比如有一家游戏工作室被人跑单了也来找他。

刘天说，他所在的开盒圈里的人主要来自贴吧，也会一起打游戏，大家以“迫害他人”为生存法则。开盒的人越多就越容易被信服，如果不会开盒，“就只能一直被按在底层欺负”，最厉害的则被称为“开盒皇帝”。开盒的人里，不少是16岁以下的青少年，很多都辍学了，现实生活里频频受挫的他们，需要在网络上寻找存在感。

刘天并不掩饰那时自己对于金钱的渴望。他的家境并不差，作为独生子，父母早早给他买好了一套属于他的房子。但以体力劳动为生的父母观念传统生活节俭，对他管得很严格，不理解也不支持刘天收集游戏手办等爱好。刘天记得，赚钱后自己去吃了一顿惦记已久的自助餐，花了800元。当他体验到能自由地大手大脚花钱的滋味后，他觉得在开盒这条路上，自己很难停下来了。2022年8月，他因“侵犯公民个人信息”被判了两年缓刑，从此再也不开盒了。

如今还在开盒的李奕出生于2004年。李奕原来是好学生，初中在一线城市一所很好的学校读书，但父母对他的成绩不够满意，常给他施压。初二时答应考好就给他买部手机，临到头了又反悔不买。当时，正值叛逆期的李奕用厌学来和父母对着干，“每年过年都被家里人当作反面案例批判”。在学校里，没人愿意和成绩差的学生玩，李奕被孤立了。很快他开始沉迷网络，以骂人为乐。三年前，被他人开盒后，李奕反开盒回去。这之后发现商机的他，开始做开盒“中间商”赚钱。在网上，他是受人尊敬，极有赚钱头脑的“老板”。

3月16日晚上11点，在被上述韩国明星粉丝开盒后，小鸳在哥哥的陪伴下到上海一个派出所报警，起初警察不太能理解“开盒”的具体含义，让小鸳注销微博账号就好了。好在哥哥是熟悉这一领域的律师，一番解释沟通后，警方立案受理，给该明星粉丝群的成员一个个打电话。联系上的八个人里，只有一个女孩成年了正在学习做美甲，最小的还在上初中。电话那头他们一反怂恿开盒的嚣张气焰，声音流露出害怕和心虚，迅速认错，答应手写道歉信后就迅速挂断，生怕和警察多说一句话。粉丝群主告诉小鸳，自己正在上中专，“学不进去，我自己都放弃了，家里也没人管我，我又没钱”。维权之困

浙江京衡律师事务所的律师郑晶晶办理过多起人格权保护和网络侵权纠纷案件，她告诉本刊，开盒本质上是网络暴力的升级版，它结合了隐私泄露以及现实中的群体性骚扰，呈现出产业化、技术化、低龄化等特点。值得注意的是，开盒者会在线下对受害人进行骚扰攻击，它的危害已经超出了虚拟的网络空间，真实威胁到受害人的现实安全。

虽然近年来，国家网信办多次开展“清朗”网络环境整治专项行动，明确打击“开盒挂人”等行为，但在郑晶晶近年办理的人格权纠纷案件中，受害人被人肉开盒的现象有所增加。郑晶晶说，开盒屡禁不止的主要原因是获取和贩卖个人隐私信息已经形成黑色产业链，数据交易多通过暗网、境外平台进行，追踪困难，执法难度大，无法从源头上进行有效治理。另外，许多开盒者是未成年人，法律意识淡薄，对其仅能批评教育，缺乏有效惩戒。

在郑晶晶看来，开盒行为触犯多条法律法规。行政责任方面，《中华人民共和国治安管理处罚法》规定，“散布他人隐私的”，“处五日以下拘留或者五百元以下罚款；情节较重的，处五日以上十日以下拘留，可以并处五百元以下罚款”。民事责任方面，开盒者的行为侵犯他人隐私、个人信息的，也属于侵害他人人格权益的侵权行为，应当承担民事赔偿责任，包括赔礼道歉、赔偿损失等民事责任。刑事责任方面，向他人出售或者提供公民个人信息，情节严重的，构成侵犯公民个人信息罪。根据《关于依法惩治网络暴力违法犯罪的指导意见》规定，“组织‘人肉搜索’，违法收集并向不特定多数人发布公民个人信息，情节严重，符合刑法第253条之一规定的，以侵犯公民个人信息罪定罪处罚”。

然而，在实践层面，开盒受害者的维权之路阻力重重。

首先想成功立案就不容易。王可在此次事件中被“眼眸”和“美阴阴”同时开盒，她联合了数十位受害者，决定一起维权。但警方告诉她，出于属地管辖权的限制，她所在的广西警方并不能受理此案件，需要她本人前往“美阴阴”所在的吉林当地报案。受害者们还发现，“眼眸”不在国内，“美阴阴”的微博账号是购买得来的，并非他本人手机号注册。针对这一情况，郑晶晶表示，当开盒人在国外，或使用网络上购买的手机号注册时，难以定位具体侵权人的身份，增加了确定侵权主体的难度。而且，网络信息容易被删除和篡改，收集证据的难度更大，因此，在对于开盒者的民事追责上存在极大的法律障碍。

另外，郑晶晶指出，如果想以侵犯公民个人信息罪为由刑事立案，需要满足非法获取信息数量上的要求：非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息等敏感信息50条以上；非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息500条以上。许多案件因证据不足或未能达到立案标准，无法刑事立案。

被开盒者骚扰近半年的插画师catzz最终因为骚扰者签了调解书后依然反复骚扰才立案成功。从2024年1月开始，一位叫“配件哥”的男性粉丝在她的直播间、邮箱和各个社交平台账号的私信里不停发送辱骂信息，前后换了一两百个账号。他曾语气嚣张地表示：“我花了50顿肯德基的钱开你的盒，已经知道你住哪里了。”不堪其扰的catzz从江苏搬家到了北京，再次收到“配件哥”的挑衅私信后，她前往派出所报警。但警方表示，虽然对方行为违法，但够不上刑事立案的标准，而根据属地管辖原则，她需要到“配件哥”本人所在属地报警才能民事立案。

2024年5月，又被多次骚扰的catzz最终到对方居住地报案。警方查看她的博文后，认定两人是互相攻击，让他们签了调解书，依然未立案。catzz没想到的是，调解书刚签了三天，“配件哥”就再次给她发骚扰信息，这之后案件立案，并于7月开庭审理。catzz打印了500页被骚扰的记录提交给法院，法官表示难以通过她单方面提交的证据证明这200个账号背后都是“配件哥”本人，只能按照“配件哥”承认的1%进行量刑。加上精神伤害程度和具体误工损失难以量化，法官最终驳回了catzz的经济赔偿要求，判决“配件哥”赔礼道歉。对此，郑晶晶表示，从法律责任上来说，民事责任是比较轻微的，胜诉也只是赔礼道歉，惩戒力度不足以对违法的开盒者起到震慑作用，需要进行行政拘留等行政处罚以及更严重的刑事处罚。

如今，距离君君和其他受害者被上述韩国明星粉丝开盒已经过去三周，她们深知维权很难，但并不想就这么算了。王可觉得，被开盒的影响是隐形且漫长的。她并不知道出现在公众视野里的个人信息被谁掌握了，是否有人拿她的手机号去做了什么，“像生活里的一颗定时炸弹”。她的表达欲也大大降低，发任何东西前都下意识地自我审查，担心别家粉丝报复自己。君君一直保留着为她招来开盒之祸的声援博文，也顶着压力用已经被开盒者曝光的微博昵称继续为孕妇说话。她还鼓励同样被开盒的受害者一起维权。“总要有人发声，你不发声我不发声，那就任凭这种事情扩大吗？”

（应受访人要求，文中苗婷、君君、小鸳、刘天、李奕、王可、catzz为化名） 开盒隐私