转自：上观新闻

一场由“开盒”引发的舆论风暴，将互联网个人数据安全推至公众视野的焦点。

3月20日下午，百度大厦一间会议室里，百度安全负责人陈洋穿了一件印有“很安全”的工服，详细还原了“开盒”事件的调查经过，并复现了海外互联网开盒泄露的路径。

在现场，陈洋还展示了经三方公证的“（2025）京精诚内经证字第 1642号”公证书。他再次表示，百度任何职级的员工及高管均无权限触碰用户数据。

对抗“开盒”等黑灰产的背后，数据安全防护绝非各自为战的“孤岛”。陈洋表示，“开盒”不能成为网络攻击的“盒武器”，筑牢网络安全防线的背后，需要行业共同维护清朗的网络空间。百度倡议，在有关政府部门的指导下，百度愿意积极响应和倡议推进“反开盒”联盟的成立。

百度现场还原“开盒”调查过程

此前百度安全部门披露，在调查过程中发现，开盒信息并非源自百度，而是来自海外的社工库。在这背后，百度究竟是如何进行员工内部调查并追踪到开盒信息来源的？

陈洋告诉记者，百度安全部门 3月17日接到内部举报启动事件调查，成立技术调查组对被举报人进行调查，调查组成员来自与谢广军没有业务关联的独立调查员。

百度的内部调查过程遵循“有罪推论”，假设被举报人可能存在违规行为，并通过审计数据管理平台权限、服务器登录记录及办公系统访问日志三类数据途径进行全面排查。

调查组核实查证后，确认被举报人没有百度用户信息的数据权限，也未登录任何百度数据库与服务器，最终排除了其泄露数据的嫌疑，确认开盒信息并非从百度泄露。

那么，信息泄露到底出自何处？

通过多方确认， “开盒”行为源自境外社交平台（如Telegram群组）中传播的“社工库”。调查组依据线索，锁定涉事社工库网站，发现其界面设计、数据展示格式（如带特定图标的表格）与社交媒体流传的截图完全一致，初步验证了泄露数据的关联性。

作为“人肉开盒”行为的重要工具之一， “社工库”全称为“社会工程学数据库”，是黑客通过攻击网站、欺诈用户等手段获取大量个人隐私数据，如黑客通过拖库（获取网站数据库）、撞库（利用已泄露的账号密码尝试登录其他网站）等手段获取大量用户隐私数据，再将收集到的个人信息进行整理和归档，形成一个庞大的数据库。通过社工库，攻击者可以查询到目标人物的详细信息，并用于人肉开盒、网络暴力、诈骗等非法活动。

社工库的查询门槛极低：用户无需身份验证，仅需通过海外网络环境访问，即可通过免费试用或小额付费（如虚拟货币）获取查询权限。部分平台甚至设置“签到积分”机制，进一步降低操作成本。

在Telegram上，记者看到有提供开盒服务的账号列出了包括从身份证信息到户籍、婚姻记录、出入境记录、外卖住址、名下资产流水等50多项用户隐私信息，只要用户充值足够金额都可获取。

一位提供开盒服务的用户表示，包括抖音、快手、b站、小红书等国内主流社交网络平台上的用户都可以“开盒” 。大部分隐私信息如姓名、身份证号、户籍地址、学历学籍、开房记录、三网电话，甚至亲属的相关隐私信息等都在“业务范围”内。

百度安全调查团队按照被举报人复述的路径，查询确认到相对应的数据，这一复现过程在北京精诚公证处的公证下完成。

调查还发现，部分境外社工库网站因媒体报道暂时关闭。

同时 ，针对“开盒事件”发生后在网上流传的“当事人承认家长给她数据库”截图，百度核实后发现，该截图的信息内容不实，其原意为博主收到家人红包后，在平台晒出红包截图，博主回复“我家长给的”，本意是想说明红包的来源，与“开盒”无关。据核实，事件发生后的大量传播信息均为不实。

20多年从没发生过数据泄露

开盒事件引发了公众对网络安全和个人隐私保护的广泛关注。作为科技企业，百度如何保证用户隐私等个人信息安全？

陈洋首次系统披露了百度的数据安全防护机制。他表示，在针对用户个人信息安全防范机制建设上，百度内部通过假名化、权限分离、统一管控等机制实现无死角数据安全风险防护。

例如，在用户注册时即启动假名化处理，将真实信息转化为唯一加密ID，业务系统仅使用假名操作，实现业务系统与敏感数据的物理隔离。

陈洋介绍，所有用户的敏感信息会进行加密，这样保证业务系统触碰不到用户的信息。即使拿到了用户的信息，也是一串字符，因为加密的系统和密钥的管理在另外的地方，而业务系统还会再对它的数据做另外的加密。

系统权限设计进一步强化了制衡逻辑。“也就是说我们有两把‘钥匙’，第一把是管理用户敏感信息的钥匙，第二把钥匙是业务数据加密的钥匙。这两把钥匙是在不同的部门中由不同的人去掌管的，从而形成了这样的权限分离。”陈洋说。

陈洋提到，在百度内部，职级越高监管越难，高管申请权限账号还需要他的主管去审批，就更难了。更重要的是通常高管没有这些数据需求。

此外，百度遵循国际公认的风险控制理念，建立三道安全防线：一是基础防守”，不断在公司内通过攻防演练进行预防、二是安全部门制度、能力、风险专项，进行预防和安全检查、三是稽查与内部审计、职业道德建设部等，定期对异常访问等敏感行为，进行稽核及内部审计。

据介绍，网盘数据在百度与用户身份信息数据一并认定为最高密级数据，进行严格保护。

陈洋还介绍，在用户隐私保护方面，百度推行全员安全意识培训，新员工入职需通过安全考试，每年开展“安全宣传月”及每月钓鱼演练。

陈洋表示，技术层面，百度参与共创了国内外80余项安全标准，通过个人信息保护认证（PIP）及数据安全管理认证（GSM）等权威资质。百度也是国内首家数据安全能力成熟度4级认证的企业。

他还透露，百度一直在进行漏洞奖励，邀请各界安全的专家帮助百度不断去完善相关技术。

“20 多年来，百度从来没有发生过数据泄露的事件。”陈洋对记者说，这就是因为有这样长期运营的机制来保障的。

“反开盒”需要行业联动

对于普通用户，如何保护自己的隐私？

陈洋建议用户谨慎分享个人信息，尤其是在社交媒体和其他网络平台上，避免泄露真实身份信息。其次要妥善设置权限。例如，将朋友圈设置为仅好友可见，限制陌生人查看自己的微博内容等。在安装应用程序时，仔细查看并谨慎授予应用所需的权限，避免授予不必要的权限，如位置信息、通讯录、摄像头、麦克风等权限。

陈洋还建议用户采用多样化网名与密码策略，在不同平台尽量使用不同的账户名和密码，在游戏中或其他网络社区中，保持匿名或使用昵称，减少被搜索到的可能性。以及避免使用简单容易猜到的密码，如姓名缩写、生日、电话号码等。

此外，用户还需提高警惕意识：不轻易相信陌生人的请求和信息，对于一些不明来源的调查、问卷、抽奖等活动要保持警惕，避免因贪图小便宜而泄露个人信息。

事实上，“开盒”难根治，原因在于涉及产业链环节过多，从个人信息的泄露路径来看，已然形成了一条灰色的产业链。在链条中，有专门从事个人信息收集和泄密源团体和个人，也有专门向泄密源团体购买个人信息数据的中间商，向有需求者买卖、共享并传播各种个人信息数据库，还有专门从中间商团体购买个人信息，并实施各种犯罪的个人和团体。他们之间的交易涉及境外应用，支付环节除了微信、支付宝外，还涉及USDT等虚拟货币。

这意味着，“反开盒”需要平台侧、监管侧共同努力，需要持有数据的机构进行重投入进行维护，不是朝夕间可解决的问题。

现场，百度表示，在有关政府部门的指导下，百度愿意积极响应和倡议推进“反开盒”联盟的成立，给受害人提供相应的技术支持，共同加强数据隐私防护。清除泄露信息并监测共享黑产动态，严厉打击非法数据窃取及泄露行为。

但联盟的落地，还面临技术标准能否统一、数据共享边界等挑战。例如各平台的数据加密算法、权限管理体系不同，如何实现跨系统风险预警，一家企业是否愿意为别人的安全投入资源等等。“这需要相关部门牵头，建立合作框架，让安全从‘成本项’变为‘竞争力’。”一位从业者对记者表示。

原标题：《百度现场还原开盒调查细节，呼吁成立“反开盒”联盟》

栏目主编：孙欣祺 文字编辑：李林蔚 题图来源：上观题图

来源：作者：第一财经