針對網上“12306平臺疑似旅客信息泄漏，低價出售410萬旅客信息”一事，2018年12月28日晚，“中國鐵路”官方微博發布消息回應稱：“網傳信息不實，鐵路12306網站未發生用戶信息泄露。”

澎湃新聞（www.6773257.com）注意到，12306網站購票賬戶包括身份證號、銀行賬號、手機號碼、郵箱等公民個人信息。而在網絡上，通過QQ、微信、貼吧等渠道販賣上述信息的案例亦屢見不鮮。這些以個人信息為“商品”的交易，其源頭從何而來？

2019年1月2日，澎湃新聞在中國裁判文書網檢索到近五年共75份判決書后發現，在侵犯公民個人信息的案件中，犯罪嫌疑人盜取公民個人信息的主要渠道有三：通過網絡廉價購買大量信息二次倒賣、利用職務之便盜取信息和利用黑客技術攻入計算機系統。

“二道販子”：從網絡購買大量信息后“批發”賺差價

澎湃新聞以“侵犯公民個人信息罪”、“12306網站”為關鍵詞在中國裁判文書網上共檢索到19份判決書，多數犯罪嫌疑人從上家低價“批發”大量未經細分處理的12306網站用戶信息后，再分類進行二次出售獲利。

在四川省劍閣縣人民法院2018年8月4日發布的一審判決書中，被告人周亮即從網上出售12306數據的“上線”處購買了大量數據，內容有公民注冊郵箱、姓名、身份證號、手機號和密碼信息，并伙同他人將數據分類處理后再出售。周亮因犯侵犯公民個人信息罪，被判處有期徒刑一年，緩刑一年，并處罰金10000元。

澎湃新聞注意到，在上述19份判決書中，僅一份提及了信息源頭：2018年2月9日，江西省余干縣人民法院審理的一起案件中，江蘇濱?？h公安局交警大隊八灘中隊輔警李某舟利用工作便利，偷偷使用同事的數字證書進入“全國綜合查詢平臺”、“全國人口信息查詢平臺”、“全國車輛管理信息查詢平臺”獲取公民身份信息及車輛信息140萬條，并出售給他人非法獲利240616元。經李某舟之手流出的信息后被“黃?！庇脕碓?2306網站注冊賬號幫他人搶票，并從中獲利。

倒賣個人信息賺取差價，是侵犯公民個人信息案件中最常見的非法獲利方式。許多不法分子通過QQ、微信等方式在網絡上聯系，確定價格并批量出售、倒賣公民個人信息。

澎湃新聞發現，此類案件通常涉及的信息量巨大，購買成本則相對較低，給了嫌疑人賺取差價的空間。

在雞西市雞冠區人民法院2018年的一起判決中，被告人陳海波通過QQ購買了大量個人信息進行倒賣。

2013年，陳海波曾因犯侵犯公民個人信息罪被成都市金牛區人民法院判處拘役四個月。出獄后幾年，他又“重操舊業”，于2017年3月起聯系“下線”李某，出售自己從網絡上購買的大量公民個人信息，包括姓名、住址、聯系方式等。

經過公安機關的排查，在陳海波的硬盤、U盤中發現的公民個人信息共有87.4萬條之多。通過自己和李某的多次交易，陳海波手中掌握的公民個人信息共使他非法獲利多達18.3萬余元。

在二次倒賣公民個人信息的案件中，被販賣的公民信息常常被作為“下線”的購買者用于其他不法用途，例如：非法營銷、網絡詐騙等。

對此，中國人民大學法學院教授時延曾在受訪時表示，從某種意義上說，任何預謀的犯罪行為，都要事先收集有利于犯罪的信息，包括被害人的信息。而就網絡犯罪看，行為人更依賴個人信息，尤其是侵犯財產類的犯罪。

在山東省萊蕪市中級人民法院2018年6月二審裁定的一起判決中，被告人蔣志波從一個專門從事倒賣公民個人信息的QQ群中購買了大量來源于購物平臺的公民個人信息，包括姓名、電話等基礎信息，并將這些信息和自己之前收集過的危房業主、交通事故信息打包二次出售給了此案中另一名嫌疑人林澤超。

蔣志波供述稱，他購入信息的價格僅為10元/萬條，折算下來，每十條的價格僅一分錢。他說，因為這些信息獲取的時間較早，“進價”就相對便宜一些。通過出售這些信息，蔣志波累計賺取了10650元。

買賣“成交”后，這些公民個人信息被林澤超用于從事網絡詐騙、微商等業務。

監守自盜：輔警盜用民警數字證書盜取公民信息

裁判文書顯示，在不少案件中，嫌疑人供職于通信公司、車輛管理機構、公安局等要害部門，通過獲取權限，直接盜取了大量公民個人信息用于非法牟利。

湖北麻城市中級人民法院2018年二審的一起判決中，被告人孫立飛通過華為公司業務員肖某購買了大量包含用戶姓名、電話號碼和移動積分在內的移動用戶個人信息資料，并將其中50萬條信息以5萬元的價格并出售給開設公司、盜取移動用戶積分的李少輝。

隨后，李少輝在南昌市注冊創辦了一家網絡公司，從2016年9月開始，指派公司話務員冒充移動公司客服騙取用戶移動積分，兌換成電子券牟利。

從2016年10月23日到2016年11月24日，僅用了一個月，這家公司的成單量就達到2500多單，12月的成單量近4000單。

為規避一些用戶的屏蔽，李少輝與同案被告人何建福購買了80多部手機和大量電話卡，一旦被屏蔽就立刻換號。

“每天下班前，話務員都會把已兌換的積分打成清單，客戶資料上還會有標記，‘2’就是打過兩遍電話，‘3’就是打了三遍”，該公司話務員何建福說。

事實上，員工們也曾對公司的業務產生過懷疑。話務員張瑛曾發現一些用戶反映沒有收到積分兌換禮品，充值話費也沒有到賬，還有一些員工在微信群里提出公司存在詐騙嫌疑。可是，由于福利待遇還不錯，張瑛并沒有選擇離開。

最終，截至李少輝歸案，他的公司共騙取移動用戶積分逾三千萬分。

除此之外，澎湃新聞還發現了多起輔警盜用民警數字證書盜取公安內網公民信息的案例。

在淄博市張店區人民法院2017年4月24日的一起判決中，被告人詹耿彬就是一名在東莞市公安局大朗分局刑警大隊工作的輔警。

作為伏擊組輔警內勤，詹耿彬平時便可以經常接觸公安內網。利用伏擊組民警梁某平時放在單位抽屜里的數字證書，詹耿彬動起了歪腦筋。通過公安內網，詹耿彬可以直接獲取公民身份信息、出入境信息、護照照片、戶籍照片等個人信息。

在發現了這一“致富手段”后，詹耿彬便堂而皇之在QQ上聲稱出售“一手信息”。通過一段時間的交易，他積累起了5名“下線”，經常與他們達成交易，每天動輒盜取1000條左右的公民個人信息。

詹耿彬出售公民個人信息一條的價格是1.7元至5元不等，他的下線卻將這些信息加價數倍之多。同案被告張學鵬出售從詹耿彬處購買的護照信息，一條的價格在10到15元，共獲利5萬元左右。

技術手段：黑客入侵中小學學籍管理系統網站

除了從內部盜取信息，一些精通計算機的犯罪嫌疑人也能通過技術手段從外部直接盜取數據庫里的公民個人信息。

在上海市浦東新區人民法院2018年的一起判決中，被告人王某某通過黑客手段入侵了上海世基投資顧問有限公司等金融公司網站，被告人牟某某則通過黑客手段入侵了安徽省中小學學籍管理系統網站。

2014年到2017年間，受雇于一家薦股公司的王某某結識了一些網絡黑客，其中包括同案被告牟某某。2017年2月開始，王某某開始指使包括牟某某在內的兩名黑客入侵了世基公司的網站，查看并獲取了上萬組該公司的用戶數據，并出售給中鑫公司上海分公司。

經世基公司方面證實，該公司被入侵的服務器位于浦東新區靈山路世基分公司機房內，服務器上沒有客戶數據，入侵者系通過遠程互聯網控制服務器，并通過內網IP獲取了內網其他電腦上保存的客戶信息。

盜取信息的過程中，王某某向兩名黑客支付了51萬元“工資”。得手后，王某某再將信息出售給中鑫公司上海分公司和瑜廣公司等“下游”，每一次動輒收入四五萬元。

而對被告牟某某而言，受雇于王某某并非唯一的“業務”。2017年6月初，有人在QQ上找到他，提供了安徽省中小學學籍管理系統的權限，并讓牟某某攻擊滲透該網站。

牟某某從學籍管理系統獲取了600多萬條包含學生姓名、身份證、籍貫、家長姓名、聯系電話等信息的數據，按地市分類導出。

在黑客技術之外，購買“掃號”軟件并用大量數據進行“撞庫”的手段也出現在近年來一些重大侵犯公民個人信息案件中。

江蘇省儀征市人民法院2018年的一起判決中，被告人王群便通過“撞庫”成功獲取了他人QQ用戶名及密碼，用于銷售獲利。

在王群的非法牟利鏈條中，他所購買的“掃號”軟件由同案被告李陳龍編寫，用途是獲取他人的QQ郵箱賬號和密碼。隨后，王群又從軟件銷售者林佐樓處購買，并將此前購買的500多萬組郵箱賬號密碼數據導入軟件運行，采取對QQ軟件數據庫“撞庫”手段，獲取了大量QQ郵箱用戶的個人信息。

通過銷售撞庫獲取的QQ賬號和密碼，王群累計獲利41.8萬余元。而銷售方林佐樓通過售賣非法軟件，銷售額高達40.5萬余元，個人獲利9.4萬余元。編寫軟件并出售的李陳龍，非法獲利則為3.4萬余元。