“开盒”一词，意为违法获取并恶意公开他人个人信息。该词最初流行于“饭圈”，后因“百度副总裁13岁女儿‘开盒’”事件迅速进入公众视野。这一事件也牵出了猖獗的数据泄露“黑生意”。

3月19日晚，针对“谢广军女儿开盒”事件，百度在官方微信公众号发布声明，表示事件相关信息并非来源于百度，公司任何职级员工及高管均无权限触碰用户数据。

图片来源：百度官方微信号文章截图

百度强调，数据并非从该公司泄露，但通过海外社交媒体平台“Telegram”电报群的社工库，即可低成本甚至免费查询个人信息。《每日经济新闻》记者调查发现，在上述平台的某电报群内，仅需少量费用即可体验个人信息“查档业务”，包月无限下载为500元人民币，永久无限查询只需2000元。该社群已有超过5万名用户。

奇安信数据显示，个人信息是数据泄露和黑产交易涉及的最主要数据类型。2024年，我国境内政企机构共发生个人信息泄露风险事件112起，涉及个人信息数据266.9亿条。

近年来，国家陆续出台一系列相关法律法规，保障数据安全。然而，数据泄露事件依然频发，个人信息保护仍面临严峻挑战。

百度再陷风波，回应称“没有人有权限拿到数据”

近日，百度副总裁谢广军的女儿因追星争议与其他网友发生争执，遂将他人隐私信息发布至微博账号上，此事引发网友关注。随着舆论发酵，有网友质疑谢广军女儿发布的他人隐私信息是从百度处泄露。

百度在声明中表示，公司内部实施了数据的匿名化、假名化处理，数据存储和管理也实行严格隔离和权限分离，任何职级的员工及高管均无权限触碰用户数据。经过调查，开盒信息来自海外一个通过非法手段收集个人隐私信息的数据库，并非源自百度。

百度还称，网上流传的“当事人承认家长给她数据库”的截图为不实信息。事件发酵期间，社交媒体上还出现了大量文案高度雷同的造谣内容。针对相关网络谣言，百度已向公安机关报案。

18日晚，记者从相关人士处获得的一份资料显示，百度的用户数据管理遵循“可用不可见”原则：所有字段经过假名化加密，且不同部门仅能访问业务必需的最小数据集。百度采用的“权限沙箱”机制，要求任何数据调取必须通过跨部门审批。

19日，中国政法大学副教授朱巍在接受《每日经济新闻》记者采访时表示，在相关法律法规出台后，任何平台对数据的管控都非常严格。一般副总裁这个级别，想拿到涉及高度敏感信息的数据比较难。

或受此事影响，百度原定于3月20日举行的百度AI开放日科技沙龙活动已宣布推迟。

花2000元就能永久查询，群内用户超6万

百度将数据泄露源头指向海外Telegram电报群的社工库。那么，什么是“社工库”？谷安天下安全牛分析师张琰珺介绍，“社工库”的全称是“社会工程学数据库”，这是一种非法收集并整理了大量个人隐私信息的数据库。

记者调查发现，加入相关“查档业务”的搜索群后，按格式在群内任意发出姓名、手机号、邮箱、身份证号等资料，就可以搜索到相关个人信息。所谓的“查档业务”涉及范围很广，从开房记录到个人户籍信息，再到名下车房情况，还包括三网定位、车辆轨迹等。

记者入群后收到的内容，图片来源：手机截图

查询费用方面，1积分查一次。普通人进群后可以先用免费的积分体验，积分用完后需要进行充值。“包月无限下载”的价格为500元人民币，包季度为1000元，永久无限查询只需2000元。记者注意到，该社群当月有超过6万名用户。

除了机器人查询外，群内还有高级人工查询，可以获得更为敏感的个人信息。这些社工库为何能掌握如此详细的个人信息？海外黑灰产组织会通过整合多个数据源，拼凑出个人“数字档案”。

近年来，全球信息泄露事件明显增多，无论是企业被勒索、个人遭App监听还是网络“开盒”，都给企业和个人带去了复杂且恶劣的影响。

境外执法需要通过司法协助进行

从技术角度来看，数智化时代信息资产的风险暴露面正在日益增多。从非技术角度来看，人们对于敏感和有价值信息的识别、管理、管控以及保护的意识和方法还比较薄弱，容易误入信息泄露的套路。

个人信息数据泄露时怎么维权？垦丁律师事务所创始合伙人麻策建议：一是建议个人联系发布数据的平台或网站进行举报，要求对方删除未经同意的信息传播；二是可以通过所在国家或地区的数据保护机构官网，提出对个人或者平台的投诉。

河南泽槿律师事务所主任付建表示，如果他人在境外侵犯境内法人自然人信息且涉嫌犯罪，根据我国刑法保护性原则，同样可以适用我国法律。不过，我国警察在境外没有执法权，只能通过司法协助进行。

（文章来源：每日经济新闻）