媒体滚动

近日，谢广军女儿“开盒事件”引发热议。“开盒”系网络黑产术语，指通过非法手段获取并公开他人隐私信息的行为‌‌。其常见操作包括人肉搜索、盗取社交账号、获取定位住址及通讯录等隐私信息并公开，多用于网络暴力或敲诈勒索，已引发多起恶性社会事件。

一场由未成年人主导的“开盒”网络暴力事件，因涉事者身份的特殊性，迅速演变为一场关于企业数据安全、高管责任边界与跨境数据黑产治理的全民讨论。

从开盒事件透视企业数据安全防线

3月19日晚，百度发布声明称，开盒信息并非源自百度。经过调查，开盒信息来自海外的社工库——一个通过非法手段收集个人隐私信息的数据库。百度表示，网上流传的“当事人承认家长给她数据库”的截图内容为不实信息。

百度在事件声明中强调其数据保护机制：匿名化处理、权限分离、日志审查等技术手段，证明其内部系统的安全性。匿名化技术能降低直接关联个人身份的风险。如还原用户真实身份，仍需要结合其他数据（如行为轨迹、设备信息等）进行复杂的“数据拼图”。

事件中，涉事女孩被曝曾发布包含父亲职务、收入证明等敏感信息，这些信息虽未直接涉及百度数据库，但客观上强化了“特权获取数据”的公众联想。

3月20日下午，百度就安全与隐私保护问题召开媒体沟通会，公开解答近期新闻事件中涉及的安全相关问题。

据了解，百度安全部门在3月17日接到外界举报后，迅速成立技术调查组，通过对数据管理平台、服务器审计系统和办公系统的全面调查，发现被举报人谢广军没有访问数据的权限，也未登录任何产品服务器或访问业务数据。基于这些调查结果，调查组排除了被举报人泄露数据的嫌疑，数据泄露源头直指海外社交网站。

百度安全负责人陈洋介绍，为了进一步验证，调查团队按照披露的路径进行了复现实验，并在公证机关的见证下进行了查询。沟通会现场，陈洋进一步展示了在北京精诚公证处的公证，百度部门拆解了信息窃取黑灰产路径，以证实事件与百度无关。

据了解，开盒事件经互联网发酵后，相关境外网站的服务已暂时停止。

“20多年来，百度从来没有发生过数据泄露的事件。”百度安全负责人陈洋介绍，百度具备严格的数据安全体系，多年来采取多重措施和三道数据防线“密匙”进行安全防护，包括数据假名化、加密存储、权限分离与统一管控等措施，由业务部门、安全部门、内审部、稽核部、职业道德建设部等多个部门多方风控。

开盒不能成为网络攻击的“盒武器”，为构建更坚实的网络安全屏障，陈洋表示，百度倡议成立“反开盒联盟”，联合行业伙伴建立用户数据安全防护体系，为遭遇信息泄露的受害者提供法律援助和技术支持。

对于此次开盒事件引发的讨论，百度公关负责人蒋昕捷也在现场表示，愿以此次危机为契机，将谣言澄清转化为行业共治的起点。他强调，百度将充分发挥自身技术优势，联合行业共同抵制信息泄露，共同营造健康网络环境。

破局数字文明时代的协同治理路径

根据百度声明，其通过“匿名化处理”“权限分离”等技术手段保护用户数据，并强调信息泄露源头为海外非法社工库。然而，公众对互联网企业的数据保护能力仍存疑虑。

此类事件是否暴露了企业现有技术防护在应对外部非法数据源时的局限性？在用户隐私保护与数据流通需求之间，企业应如何平衡以重建公众信任？围绕这些问题，《人民邮电》报记者采访了工信部信息通信经济专家委员会委员盘和林。

技术防护的责任边界需要厘清。盘和林指出，如果开盒信息并非来自于百度数据，那么百度并不需要为此承担责任，也不存在企业技术防护外部非法数据源局限的问题，因为，百度只能管理百度自己的数据，不可能管理百度以外的数据，这是企业权责的限制。

实际上，合理安全使用数据是个技术问题，是可以解决的，盘和林举例说，比如设定数据调用权限，比如数据的可用不可见技术，比如对数据使用者采取留痕的方式，追踪数据泄露的链条。现阶段，国内对数据流通也相当谨慎，我们采用的是数据分类分级和流通数据全生命周期监管的方式，他认为，在政府监管下，规则透明的数据流通，是可以获得公众信任的。

此次事件中，涉事数据来自海外社工库——一种通过黑客攻击、数据爬取等手段整合的非法数据库，其流通渠道隐蔽且跨国界，企业难以通过技术手段彻底阻断。这也暴露出数据跨境治理的三大难点：一是管辖权冲突：数据存储服务器常位于法律真空地带，涉事主体（如社工库运营者）隐匿于境外，国内执法机构难以追责。

二是技术追踪瓶颈：黑产数据通过加密通信、虚拟货币交易等手段流转，溯源成本极高。

三是国际合作不足：各国数据保护立法差异大，跨境执法协作机制尚未成熟。例如，欧盟《通用数据保护条例》（GDPR）虽严格，但对境外黑产打击仍依赖双边协议，效率有限。我国《个人信息保护法》第四十二条要求，境外的组织、个人从事侵害中华人民共和国公民的个人信息权益，或者危害中华人民共和国国家安全、公共利益的个人信息处理活动的，国家网信部门可以将其列入限制或者禁止个人信息提供清单，予以公告，并采取限制或者禁止向其提供个人信息等措施。但执行中面临取证难、落地难等问题。

“数据不会无缘无故出现在海外，源头在于国内的数据黑产”，盘和林指出，构建跨境数据黑产治理体系需多管齐下，建议围绕打击国内数据黑产开展国际合作，加强技术拦截，提高用户警惕性。

针对个人信息采集乱象，盘和林强调亟需优化实名制认证机制与APP权限管理体系。当前过度授权现象普遍，大量非必要数据被企业集中存储，形成巨大的风险敞口。他认为，大量非必要数据被企业集中存储，形成巨大的风险敞口。“谁来盯着这些公司，让其避免数据泄露，避免过度采集数据？”对此，他建议对企业的数据安全风险进行第三方定期评估，发现问题，处理问题。

开盒事件绝非孤立的技术漏洞，而是数据安全、企业责任与网络文化问题的集中爆发。需多方协同才能破解这一数字时代的新型治理难题：在企业主体责任维度，亟需突破“技术自证”的单一思维。通过建立第三方数据安全审计认证体系，形成“基础防护+风险披露+公众监督”的透明化运作机制。定期发布包含数据加密层级、访问权限管控、应急响应预案等在内的安全防护白皮书，使技术防护转化为可感知的社会信任资产。

在法律法规层面，需要完善高管家属行为约束条款，探索跨境数据黑产的“链式打击”，明确数据窃取、交易、滥用各环节刑事责任认定标准，重点打击跨境数据犯罪产业链。

社会层面，需要推动网络伦理教育进校园，构建“教育—保护—引导”的闭环体系，强化未成年人数据隐私保护意识，同时通过算法干预遏制饭圈极端言论扩散。

这场始于个人信息泄露的讨论，最终指向的是数字文明规则的全面升级。数字时代，守护每个ID背后的真实人生，或许才是科技企业最该兑现的承诺。唯有如此，才能让每个普通人在互联网时代保有“免于恐惧的自由”。

编辑：梁晨