每經記者 楊煜  可楊  王郁彪    每經編輯 文多    

“開盒”一詞，意為違法獲取并惡意公開他人個人信息。它最初流行于“飯圈”，“百度副總裁13歲女兒‘開盒’”事件后迅速進入公眾視野。

隨這一詞匯共同浮出水面的，還有猖獗的數據泄露“黑生意”。

3月19日晚，針對“謝廣軍女兒開盒”事件，百度在官方微信公眾號發布聲明表示，事件相關信息并非來源于百度，公司任何職級員工及高管均無權限觸碰用戶數據。

圖片來源：百度官方微信號文章截圖

百度強調，數據并非從該公司泄露，但通過海外社交媒體平臺“Telegram”電報群的社工庫，即可低成本甚至免費查詢個人信息。對此，《每日經濟新聞》記者調查發現，在上述平臺的某電報群內，進群即可體驗個人信息“查檔業務”，包月無限下載為500元人民幣，永久無限查詢只需2000元。記者還注意到，該社群已有超過5萬名用戶。

奇安信的數據顯示，個人信息是數據泄露和黑產交易涉及的最主要數據類型。2024年，我國境內政企機構共發生個人信息泄露風險事件112起，涉及個人信息數據266.9億條。

近年來，國家也陸續出臺一系列相關法律法規，保障數據安全。

河南澤槿律師事務所主任付建向《每日經濟新聞》記者表示，如果他人在境外侵犯境內法人、自然人信息，則涉嫌犯罪，根據我國刑法保護性原則，同樣可以適用我國法律。鑒于境外信息泄露猖狂，公民可以向公安機關報案，公安機關可通過國際司法協助等途徑開展調查。不過，我國警察在境外沒有執法權，只能通過司法協助進行。

百度再陷風波，回應稱“沒有人有權限拿到數據”

近日，百度副總裁謝廣軍的女兒因追星爭議與其他網友發生爭執，遂將他人隱私信息發布至微博賬號上，此事引發網友關注。隨著輿論發酵，此前有網友質疑，謝廣軍女兒發布的他人隱私信息是從百度處泄露。

謝廣軍現任百度副總裁，記者去年3月時獲悉，謝廣軍當時負責百度智能云千帆大模型平臺、大數據平臺等多領域的產品設計和研發工作。他在百度任職超16年，曾任百度系統部、百度基礎架構部、百度金融云等多個重要團隊的負責人。2021年，謝廣軍晉升為副總裁。

百度在聲明中表示，公司內部實施了數據的匿名化、假名化處理，數據存儲和管理也實行嚴格隔離和權限分離，任何職級的員工及高管均無權限觸碰用戶數據。百度安全部門反復調取了相關日志，并查驗當事人權限。結果表明，開盒信息并非源自百度。其次，經過調查，開盒信息來自海外一個通過非法手段收集個人隱私信息的數據庫。相關調查過程已取證，并得到公證機關公證。

百度還稱，網上流傳的“當事人承認家長給她數據庫”的截圖為不實信息。事件發酵期間，社交媒體上還出現了大量文案高度雷同的造謠內容。針對相關網絡謠言，百度已向公安機關報案。

之前，謝廣軍、百度安全負責人陳洋先后針對此事作出回應。

陳洋提到，在查證過程中，發現海外的Telegram電報群里有很多的社工庫，通過這種社工庫，可以去查詢一些人的信息，而且好多信息都是免費的。陳洋稱，經隨機測試發現確實可以查。

圖片來源：百度百科截圖

18日晚，記者從相關人士處獲得的一份資料顯示，百度的用戶數據管理遵循“可用不可見”原則：所有字段經過假名化加密，且不同部門僅能訪問業務必需的最小數據集。例如用戶手機號會被替換為隨機編碼、地址信息會分解為三級獨立字段存儲。即便是系統管理員，也無法通過單一權限還原完整的個人信息。百度采用的“權限沙箱”機制，要求任何數據調取必須通過跨部門審批。2024年審計報告顯示，該系統曾攔截超過10多萬次黑客攻擊和非常規訪問請求，其中包括高管權限異常操作。

19日，中國政法大學副教授朱巍在接受《每日經濟新聞》記者采訪時表示，在《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》出臺后，任何平臺對數據的管控——包括在技術上和制度上，都非常嚴格。朱巍分析說：“一般副總裁這個級別，想拿到涉及高度敏感信息的數據，我覺得是比較難的，即便他想拿，可能制度上、基礎上繞不開，而且有跡可查。”

或受此事影響，百度原定于3月20日舉行的百度AI（人工智能）開放日科技沙龍活動已宣布推遲，謝廣軍原計劃出席該沙龍。

花2000元就能永久查詢，群內用戶超6萬

百度將數據泄露源頭指向海外Telegram電報群的社工庫。那么，什么是“社工庫”？

谷安天下安全牛分析師張琰珺向《每日經濟新聞》記者介紹，“社工庫”的全稱是“社會工程學數據庫”，這是一種非法收集并整理了大量個人隱私信息的數據庫。因Telegram加密性強、安全性高，難以被破解，該平臺上存在大量色情、賭博、詐騙信息，這些信息慢慢演化成為黑產（指黑色產業鏈）的一部分，“社工庫”就在其中。

值得注意的是，所謂掌握海量個人信息的“社工庫”其實并沒有太高的進入門檻。

《每日經濟新聞》記者調查發現，加入相關“查檔業務”的搜索群后，按格式在群內任意發出姓名/手機號/郵箱/身份證號等資料，就可以搜索到相關個人信息。

所謂的“查檔業務”涉及范圍很廣：從開房記錄到個人戶籍信息，再到名下車房情況，還包括三網定位、車輛軌跡等。而如此敏感的個人信息就這樣被打包為“查檔業務”公開售賣。

記者入群后收到的內容 圖片來源：手機截圖

查詢費用是多少呢？1積分查一次。普通人進群后可以先用免費的積分體驗，積分用完后需要進行充值。“包月無限下載”的價格為500元人民幣，包季度為1000元，永久無限查詢只需2000元。記者還注意到，該社群當月有超過6萬名用戶。

“病毒式傳播”是電報群群組得以生存的方式。除充值獲取積分外，通過每日在群內打卡簽到、邀請新人入群的方式均可獲得積分。記者注意到，群友通過留言邀請人數達到一定額度，甚至可以獲得現金獎勵。

記者在群內看到的信息 圖片來源：手機截圖

因此，各個群組內每時每分都有人刷屏。除查詢個人信息外，還有人發布其他群組的“廣告”拉客“引流”。記者在天網社工庫中，就點進了另一個名為“情報局查檔”的群組。“情報局查檔”公告稱，截至3月17日更新數億電話、身份證表信息。

除了機器人查詢外，群內還有高級人工查詢，可以獲得更為敏感的個人信息，比如花150元就可以獲得某人“大頭照”“戶籍地”。

這些社工庫為何能掌握如此詳細的個人信息？

“知道創宇”公司產品負責人張永波在18日告訴《每日經濟新聞》記者，海外黑灰產組織會通過整合多個數據源，拼湊出個人“數字檔案”。例如，先通過某些違規App獲取用戶手機唯一的硬件編碼，即IMEI/MEID（國際移動設備識別碼），再用這個編碼在已泄露的數據庫中進行比對。又例如，有的用戶在許多網站中使用同一套賬戶密碼，黑灰產組織利用這點，非法入侵一些合法網站拿到這些用戶的賬戶密碼，之后以這些密碼嘗試批量登錄其他網站，進而獲取該用戶更多身份信息，這種方式也被稱為“撞庫”。

19日，360公司安全專家向《每日經濟新聞》記者表示，海外信息竊取的技術手段多樣且隱蔽，從網絡釣魚到供應鏈攻擊，再到暗網數據交易。案例顯示，這些技術手段不僅威脅個人隱私，還可能對企業和國家安全造成嚴重影響。防御需要技術、管理和教育多管齊下，才能有效應對這些威脅。

張琰珺也表示，從網絡安全領域從業者的角度來看，近年來全球信息泄露的事件明顯增多。無論是企業被勒索、個人遭App監聽以及網絡“開盒”，都給企業和個人帶去了經濟上、精神上的復雜且惡劣的影響。

境外執法需要通過司法協助進行

“一方面，從技術角度來看，數智化時代（中），信息資產的風險暴露面正在日益增多。主要原因是應用的終端在增多、終端上的各種應用也在增多，還有其中綁定的敏感身份類信息、金融資產類信息和通信類軟件中的數據文檔類信息在增多。另一方面，從非技術角度來看，無論企業、家庭、學校還是個人，對于敏感和有價值信息的識別、管理、管控以及保護的意識、方法等方面還比較薄弱、欠缺，容易誤入信息泄露的套路。”張琰珺說。

張永波表示，目前的一個現實因素是，如果不登記個人相關信息，很多App、網站甚至無法正常使用，這導致用戶在很多時候必然會在網絡上留下個人信息。“對個人來說，可能更多還是建議上一些大品牌的App、網站，對不太確定的一些網站能夠少上傳或者最小化上傳個人信息。”張永波建議，如果有多個手機號，可以用某一個手機號登錄各種非日常的應用。

個人信息數據泄露時怎么維權？墾丁律師事務所創始合伙人麻策在19日接受《每日經濟新聞》記者采訪時建議：一是建議個人聯系發布數據的平臺或網站進行舉報，要求對方刪除未經同意的信息傳播；二是可以通過所在國家或地區的數據保護機構官網，提出對個人或者平臺的投訴，數據保護機構有可能對違規者施以壓力。

圖片來源：視覺中國-VCG41N1202238471

近年來，國家陸續出臺了一系列相關法律法規保障數據安全。例如，2021年頒布《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》，2022年出臺《數據出境安全評估辦法》，2023年成立國家數據局。張琰珺表示，隨著國家對數據泄露的封堵和法律要求，近3~5年來，網絡安全廠商紛紛加大在數據安全方面的投入。

河南澤槿律師事務所主任付建向《每日經濟新聞》記者表示，如果他人在境外侵犯境內法人自然人信息，且涉嫌犯罪，根據我國刑法保護性原則，同樣可以適用我國法律。境外信息泄露猖狂，公民可以向公安機關報案，公安機關可通過國際司法協助等途徑開展調查。

不過，付建也表示，我國警察在境外沒有執法權，只能通過司法協助進行，權益保護難到位。

國際協作是常見的解決方式。據360公司安全專家介紹，2021年國際刑警組織聯合多國執法機構，成功搗毀了一個全球性的網絡犯罪團伙。

封面圖片來源：視覺中國-VCG41N1202238471