百度公开“开盒”事件调查结果

3月20日，为解答“开盒”风波后外界产生的信息安全疑虑，百度召开安全沟通会释疑并复盘了该新闻事件的全过程。

据悉，百度方面自3月17日凌晨接到外部举报后，便成立技术调查组展开内部排查，确认当事人没有百度用户个人身份信息的数据权限，也未访问过任何百度数据库与服务器。经核实，确认开盒信息并非从百度泄露。

“任何职级员工都无权限触碰用户数据，即使是我也没有相关权限”，沟通会上，身穿印有“很安全”字样部门工服的百度安全负责人陈洋表示。

在排除内部数据泄露可能后，百度快速定位“开盒”相关数据源头是海外灰产组织“社工库”。经舆论发酵，该组织目前已停止运作。

百度将用户安全放在首位

移动互联网时代，用户使用互联网公司开发的应用普遍需要开放权限。本次风波中，社会情绪的关注点也在于互联网公司的员工能否调取查看个人隐私信息。

针对这个疑问，陈洋介绍了百度内部有可能访问数据的三个方式，分别是数据系统、服务器以及办公系统。任何系统的登录均需要有相应权限，且访问与信息调取均会留下访问日志，因此百度得以快速排除当事人的嫌疑。

针对网友对个人数据安全的疑问，陈洋进一步表示，所有在百度相关产品注册的用户自个人信息注册阶段，其原始数据便会进行实时的假名化处理，而原始数据则单独加密隔离并设置多重“密钥”保护。“密钥”分别由不同部门的不同个人保管，确保即使有人拥有访问数据的权限，在权限分离与统一管控的情况下，也无法调取任何一个用户的个人数据。

这个持续迭代的信息安全系统是用户个人数据的第一道防线，在此基础上，百度还由设置了安全部门、内审部、稽核部、职业道德建设部等部门多方风控，以及定期开展安全培训和攻防演练。百度方面强调，自百度成立的20多年以来，其未曾出现过任何数据泄露及信息安全问题。

为查漏补缺，百度早在2014年便向社会发起“漏洞奖励计划”，邀请各界安全专家及用户提交信息系统可能存在的漏洞。

此外，百度亦积极参加海内外的互联网信息安全标准建设，联合行业共同创建了80余项安全标准，通过了104项国家级安全认证。据悉，百度是在《数据安全法》出台后，首批通过数据安全管理人DSM的企业，以及国内首家数据安全承受过四级认证的企业。

“我们部门工服上的‘很安全’不是为今天准备的，每个人入职的时候都会收到这件工服，因为我们把用户安全永远放在首位”，陈洋表示。

沟通会上，百度展示了经三方公证的“（2025）京精诚内经证字第1642号”公证书，证实事件与百度无关。

个人信息安全保护刻不容缓

继核实“开盒”事件始末后，百度逐一解答了媒体关于用户个人隐私的种种疑问。

陈洋表示，个人隐私信息通常有三种泄露途径：一是黑客入侵网站漏洞后进行抓取；二是黑灰产人士利用爬虫爬取；三是通过数据交易被获取。前两种是较为常见的方式，黑客攻击有漏洞的网站后，直接将网站的全量数据库下载下来，以碰撞的方式将未加密或弱加密的密码明文解密，而后便可以凭账号与密码“撞库”获取其他网站或应用的账号。

由于互联网企业的信息安全技术愈发成熟，灰产组织寄希望于前两种途径获取个人信息变得越发困难。因此，目前灰产市场上流转的个人信息有相当一部分源自多年前。

自当下用户数据的全生命周期来看，最有可能导致信息泄露的薄弱环节是数据采集环节，即安装使用App、IoT设备时开放的通讯录、相册等权限。百度方面呼吁，用户应警惕未在正规应用市场上架的任何应用。

此外，针对“开盒事件”发生后在网上流传的“当事人承认家长给她数据库”截图，百度核实后发现，该截图的信息内容不实，其原意为博主收到家人红包后，在平台晒出微信红包截图，博主回复“我家长给的”，本意是想说明红包的来源，与“开盒”无关。据核实，事件发生后的大量传播信息均为不实。

数据时代高速发展，个人信息安全亦常温常新。百度方面表示，在相关政府部门的指导下，愿意积极响应和倡议推进“反开盒”联盟的成立，共同加强数据隐私防护，严厉打击非法数据窃取及泄露行为。