每經(jīng)記者 楊煜  可楊  王郁彪    每經(jīng)編輯 文多    

“開盒”一詞，意為違法獲取并惡意公開他人個人信息。它最初流行于“飯圈”，“百度副總裁13歲女兒‘開盒’”事件后迅速進(jìn)入公眾視野。

隨這一詞匯共同浮出水面的，還有猖獗的數(shù)據(jù)泄露“黑生意”。

3月19日晚，針對“謝廣軍女兒開盒”事件，百度在官方微信公眾號發(fā)布聲明表示，事件相關(guān)信息并非來源于百度，公司任何職級員工及高管均無權(quán)限觸碰用戶數(shù)據(jù)。

圖片來源：百度官方微信號文章截圖

百度強(qiáng)調(diào)，數(shù)據(jù)并非從該公司泄露，但通過海外社交媒體平臺“Telegram”電報群的社工庫，即可低成本甚至免費查詢個人信息。對此，《每日經(jīng)濟(jì)新聞》記者調(diào)查發(fā)現(xiàn)，在上述平臺的某電報群內(nèi)，進(jìn)群即可體驗個人信息“查檔業(yè)務(wù)”，包月無限下載為500元人民幣，永久無限查詢只需2000元。記者還注意到，該社群已有超過5萬名用戶。

奇安信的數(shù)據(jù)顯示，個人信息是數(shù)據(jù)泄露和黑產(chǎn)交易涉及的最主要數(shù)據(jù)類型。2024年，我國境內(nèi)政企機(jī)構(gòu)共發(fā)生個人信息泄露風(fēng)險事件112起，涉及個人信息數(shù)據(jù)266.9億條。

近年來，國家也陸續(xù)出臺一系列相關(guān)法律法規(guī)，保障數(shù)據(jù)安全。

河南澤槿律師事務(wù)所主任付建向《每日經(jīng)濟(jì)新聞》記者表示，如果他人在境外侵犯境內(nèi)法人、自然人信息，則涉嫌犯罪，根據(jù)我國刑法保護(hù)性原則，同樣可以適用我國法律。鑒于境外信息泄露猖狂，公民可以向公安機(jī)關(guān)報案，公安機(jī)關(guān)可通過國際司法協(xié)助等途徑開展調(diào)查。不過，我國警察在境外沒有執(zhí)法權(quán)，只能通過司法協(xié)助進(jìn)行。

百度再陷風(fēng)波，回應(yīng)稱“沒有人有權(quán)限拿到數(shù)據(jù)”

近日，百度副總裁謝廣軍的女兒因追星爭議與其他網(wǎng)友發(fā)生爭執(zhí)，遂將他人隱私信息發(fā)布至微博賬號上，此事引發(fā)網(wǎng)友關(guān)注。隨著輿論發(fā)酵，此前有網(wǎng)友質(zhì)疑，謝廣軍女兒發(fā)布的他人隱私信息是從百度處泄露。

謝廣軍現(xiàn)任百度副總裁，記者去年3月時獲悉，謝廣軍當(dāng)時負(fù)責(zé)百度智能云千帆大模型平臺、大數(shù)據(jù)平臺等多領(lǐng)域的產(chǎn)品設(shè)計和研發(fā)工作。他在百度任職超16年，曾任百度系統(tǒng)部、百度基礎(chǔ)架構(gòu)部、百度金融云等多個重要團(tuán)隊的負(fù)責(zé)人。2021年，謝廣軍晉升為副總裁。

百度在聲明中表示，公司內(nèi)部實施了數(shù)據(jù)的匿名化、假名化處理，數(shù)據(jù)存儲和管理也實行嚴(yán)格隔離和權(quán)限分離，任何職級的員工及高管均無權(quán)限觸碰用戶數(shù)據(jù)。百度安全部門反復(fù)調(diào)取了相關(guān)日志，并查驗當(dāng)事人權(quán)限。結(jié)果表明，開盒信息并非源自百度。其次，經(jīng)過調(diào)查，開盒信息來自海外一個通過非法手段收集個人隱私信息的數(shù)據(jù)庫。相關(guān)調(diào)查過程已取證，并得到公證機(jī)關(guān)公證。

百度還稱，網(wǎng)上流傳的“當(dāng)事人承認(rèn)家長給她數(shù)據(jù)庫”的截圖為不實信息。事件發(fā)酵期間，社交媒體上還出現(xiàn)了大量文案高度雷同的造謠內(nèi)容。針對相關(guān)網(wǎng)絡(luò)謠言，百度已向公安機(jī)關(guān)報案。

之前，謝廣軍、百度安全負(fù)責(zé)人陳洋先后針對此事作出回應(yīng)。

陳洋提到，在查證過程中，發(fā)現(xiàn)海外的Telegram電報群里有很多的社工庫，通過這種社工庫，可以去查詢一些人的信息，而且好多信息都是免費的。陳洋稱，經(jīng)隨機(jī)測試發(fā)現(xiàn)確實可以查。

圖片來源：百度百科截圖

18日晚，記者從相關(guān)人士處獲得的一份資料顯示，百度的用戶數(shù)據(jù)管理遵循“可用不可見”原則：所有字段經(jīng)過假名化加密，且不同部門僅能訪問業(yè)務(wù)必需的最小數(shù)據(jù)集。例如用戶手機(jī)號會被替換為隨機(jī)編碼、地址信息會分解為三級獨立字段存儲。即便是系統(tǒng)管理員，也無法通過單一權(quán)限還原完整的個人信息。百度采用的“權(quán)限沙箱”機(jī)制，要求任何數(shù)據(jù)調(diào)取必須通過跨部門審批。2024年審計報告顯示，該系統(tǒng)曾攔截超過10多萬次黑客攻擊和非常規(guī)訪問請求，其中包括高管權(quán)限異常操作。

19日，中國政法大學(xué)副教授朱巍在接受《每日經(jīng)濟(jì)新聞》記者采訪時表示，在《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護(hù)法》出臺后，任何平臺對數(shù)據(jù)的管控——包括在技術(shù)上和制度上，都非常嚴(yán)格。朱巍分析說：“一般副總裁這個級別，想拿到涉及高度敏感信息的數(shù)據(jù)，我覺得是比較難的，即便他想拿，可能制度上、基礎(chǔ)上繞不開，而且有跡可查。”

或受此事影響，百度原定于3月20日舉行的百度AI（人工智能）開放日科技沙龍活動已宣布推遲，謝廣軍原計劃出席該沙龍。

花2000元就能永久查詢，群內(nèi)用戶超6萬

百度將數(shù)據(jù)泄露源頭指向海外Telegram電報群的社工庫。那么，什么是“社工庫”？

谷安天下安全牛分析師張琰珺向《每日經(jīng)濟(jì)新聞》記者介紹，“社工庫”的全稱是“社會工程學(xué)數(shù)據(jù)庫”，這是一種非法收集并整理了大量個人隱私信息的數(shù)據(jù)庫。因Telegram加密性強(qiáng)、安全性高，難以被破解，該平臺上存在大量色情、賭博、詐騙信息，這些信息慢慢演化成為黑產(chǎn)（指黑色產(chǎn)業(yè)鏈）的一部分，“社工庫”就在其中。

值得注意的是，所謂掌握海量個人信息的“社工庫”其實并沒有太高的進(jìn)入門檻。

《每日經(jīng)濟(jì)新聞》記者調(diào)查發(fā)現(xiàn)，加入相關(guān)“查檔業(yè)務(wù)”的搜索群后，按格式在群內(nèi)任意發(fā)出姓名/手機(jī)號/郵箱/身份證號等資料，就可以搜索到相關(guān)個人信息。

所謂的“查檔業(yè)務(wù)”涉及范圍很廣：從開房記錄到個人戶籍信息，再到名下車房情況，還包括三網(wǎng)定位、車輛軌跡等。而如此敏感的個人信息就這樣被打包為“查檔業(yè)務(wù)”公開售賣。

記者入群后收到的內(nèi)容 圖片來源：手機(jī)截圖

查詢費用是多少呢？1積分查一次。普通人進(jìn)群后可以先用免費的積分體驗，積分用完后需要進(jìn)行充值。“包月無限下載”的價格為500元人民幣，包季度為1000元，永久無限查詢只需2000元。記者還注意到，該社群當(dāng)月有超過6萬名用戶。

“病毒式傳播”是電報群群組得以生存的方式。除充值獲取積分外，通過每日在群內(nèi)打卡簽到、邀請新人入群的方式均可獲得積分。記者注意到，群友通過留言邀請人數(shù)達(dá)到一定額度，甚至可以獲得現(xiàn)金獎勵。

記者在群內(nèi)看到的信息 圖片來源：手機(jī)截圖

因此，各個群組內(nèi)每時每分都有人刷屏。除查詢個人信息外，還有人發(fā)布其他群組的“廣告”拉客“引流”。記者在天網(wǎng)社工庫中，就點進(jìn)了另一個名為“情報局查檔”的群組。“情報局查檔”公告稱，截至3月17日更新數(shù)億電話、身份證表信息。

除了機(jī)器人查詢外，群內(nèi)還有高級人工查詢，可以獲得更為敏感的個人信息，比如花150元就可以獲得某人“大頭照”“戶籍地”。

這些社工庫為何能掌握如此詳細(xì)的個人信息？

“知道創(chuàng)宇”公司產(chǎn)品負(fù)責(zé)人張永波在18日告訴《每日經(jīng)濟(jì)新聞》記者，海外黑灰產(chǎn)組織會通過整合多個數(shù)據(jù)源，拼湊出個人“數(shù)字檔案”。例如，先通過某些違規(guī)App獲取用戶手機(jī)唯一的硬件編碼，即IMEI/MEID（國際移動設(shè)備識別碼），再用這個編碼在已泄露的數(shù)據(jù)庫中進(jìn)行比對。又例如，有的用戶在許多網(wǎng)站中使用同一套賬戶密碼，黑灰產(chǎn)組織利用這點，非法入侵一些合法網(wǎng)站拿到這些用戶的賬戶密碼，之后以這些密碼嘗試批量登錄其他網(wǎng)站，進(jìn)而獲取該用戶更多身份信息，這種方式也被稱為“撞庫”。

19日，360公司安全專家向《每日經(jīng)濟(jì)新聞》記者表示，海外信息竊取的技術(shù)手段多樣且隱蔽，從網(wǎng)絡(luò)釣魚到供應(yīng)鏈攻擊，再到暗網(wǎng)數(shù)據(jù)交易。案例顯示，這些技術(shù)手段不僅威脅個人隱私，還可能對企業(yè)和國家安全造成嚴(yán)重影響。防御需要技術(shù)、管理和教育多管齊下，才能有效應(yīng)對這些威脅。

張琰珺也表示，從網(wǎng)絡(luò)安全領(lǐng)域從業(yè)者的角度來看，近年來全球信息泄露的事件明顯增多。無論是企業(yè)被勒索、個人遭App監(jiān)聽以及網(wǎng)絡(luò)“開盒”，都給企業(yè)和個人帶去了經(jīng)濟(jì)上、精神上的復(fù)雜且惡劣的影響。

境外執(zhí)法需要通過司法協(xié)助進(jìn)行

“一方面，從技術(shù)角度來看，數(shù)智化時代（中），信息資產(chǎn)的風(fēng)險暴露面正在日益增多。主要原因是應(yīng)用的終端在增多、終端上的各種應(yīng)用也在增多，還有其中綁定的敏感身份類信息、金融資產(chǎn)類信息和通信類軟件中的數(shù)據(jù)文檔類信息在增多。另一方面，從非技術(shù)角度來看，無論企業(yè)、家庭、學(xué)校還是個人，對于敏感和有價值信息的識別、管理、管控以及保護(hù)的意識、方法等方面還比較薄弱、欠缺，容易誤入信息泄露的套路。”張琰珺說。

張永波表示，目前的一個現(xiàn)實因素是，如果不登記個人相關(guān)信息，很多App、網(wǎng)站甚至無法正常使用，這導(dǎo)致用戶在很多時候必然會在網(wǎng)絡(luò)上留下個人信息。“對個人來說，可能更多還是建議上一些大品牌的App、網(wǎng)站，對不太確定的一些網(wǎng)站能夠少上傳或者最小化上傳個人信息。”張永波建議，如果有多個手機(jī)號，可以用某一個手機(jī)號登錄各種非日常的應(yīng)用。

個人信息數(shù)據(jù)泄露時怎么維權(quán)？墾丁律師事務(wù)所創(chuàng)始合伙人麻策在19日接受《每日經(jīng)濟(jì)新聞》記者采訪時建議：一是建議個人聯(lián)系發(fā)布數(shù)據(jù)的平臺或網(wǎng)站進(jìn)行舉報，要求對方刪除未經(jīng)同意的信息傳播；二是可以通過所在國家或地區(qū)的數(shù)據(jù)保護(hù)機(jī)構(gòu)官網(wǎng)，提出對個人或者平臺的投訴，數(shù)據(jù)保護(hù)機(jī)構(gòu)有可能對違規(guī)者施以壓力。

圖片來源：視覺中國-VCG41N1202238471

近年來，國家陸續(xù)出臺了一系列相關(guān)法律法規(guī)保障數(shù)據(jù)安全。例如，2021年頒布《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護(hù)法》，2022年出臺《數(shù)據(jù)出境安全評估辦法》，2023年成立國家數(shù)據(jù)局。張琰珺表示，隨著國家對數(shù)據(jù)泄露的封堵和法律要求，近3~5年來，網(wǎng)絡(luò)安全廠商紛紛加大在數(shù)據(jù)安全方面的投入。

河南澤槿律師事務(wù)所主任付建向《每日經(jīng)濟(jì)新聞》記者表示，如果他人在境外侵犯境內(nèi)法人自然人信息，且涉嫌犯罪，根據(jù)我國刑法保護(hù)性原則，同樣可以適用我國法律。境外信息泄露猖狂，公民可以向公安機(jī)關(guān)報案，公安機(jī)關(guān)可通過國際司法協(xié)助等途徑開展調(diào)查。

不過，付建也表示，我國警察在境外沒有執(zhí)法權(quán)，只能通過司法協(xié)助進(jìn)行，權(quán)益保護(hù)難到位。

國際協(xié)作是常見的解決方式。據(jù)360公司安全專家介紹，2021年國際刑警組織聯(lián)合多國執(zhí)法機(jī)構(gòu)，成功搗毀了一個全球性的網(wǎng)絡(luò)犯罪團(tuán)伙。

封面圖片來源：視覺中國-VCG41N1202238471