近期,百度副總裁謝廣軍的女兒公開他人隐私信息一事引發關注。3 月 19 日,百度聲明稱開盒信息非源自百度,而是來自海外非法收集個人隐私信息的數據庫。記者調查發現,加入違法出賣個人信息的群後,可按格式搜索個人信息,查詢費用爲包月 500 元,永久無限查詢 2000 元。業内人士、律師就個人數據的保護、維權給出方法。
" 開盒 " 一詞,意爲違法獲取并惡意公開他人個人信息。它最初流行于 " 飯圈 "," 百度副總裁 13 歲女兒‘開盒’ " 事件後迅速進入公衆視野。
随這一詞彙共同浮出水面的,還有猖獗的數據洩露 " 黑生意 "。
3 月 19 日晚,針對 " 謝廣軍女兒開盒 " 事件,百度在官方微信公衆号發布聲明表示,事件相關信息并非來源于百度,公司任何職級員工及高管均無權限觸碰用戶數據。
圖片來源:百度官方微信号文章截圖
百度強調,數據并非從該公司洩露,但通過海外社交媒體平台 "Telegram" 電報群的社工庫,即可低成本甚至免費查詢個人信息。對此,《每日經濟新聞》記者調查發現,在上述平台的某電報群内,進群即可體驗個人信息 " 查檔業務 ",包月無限下載爲 500 元人民币,永久無限查詢隻需 2000 元。記者還注意到,該社群已有超過 5 萬名用戶。
奇安信的數據顯示,個人信息是數據洩露和黑産交易涉及的最主要數據類型。2024 年,我國境内政企機構共發生個人信息洩露風險事件 112 起,涉及個人信息數據 266.9 億條。
近年來,國家也陸續出台一系列相關法律法規,保障數據安全。
河南澤槿律師事務所主任付建向《每日經濟新聞》記者表示,如果他人在境外侵犯境内法人、自然人信息,則涉嫌犯罪,根據我國刑法保護性原則,同樣可以适用我國法律。鑒于境外信息洩露猖狂,公民可以向公安機關報案,公安機關可通過國際司法協助等途徑開展調查。不過,我國警察在境外沒有執法權,隻能通過司法協助進行。
百度再陷風波,回應稱 " 沒有人有權限拿到數據 "
近日,百度副總裁謝廣軍的女兒因追星争議與其他網友發生争執,遂将他人隐私信息發布至微博賬号上,此事引發網友關注。随着輿論發酵,此前有網友質疑,謝廣軍女兒發布的他人隐私信息是從百度處洩露。
謝廣軍現任百度副總裁,記者去年 3 月時獲悉,謝廣軍當時負責百度智能雲千帆大模型平台、大數據平台等多領域的産品設計和研發工作。他在百度任職超 16 年,曾任百度系統部、百度基礎架構部、百度金融雲等多個重要團隊的負責人。2021 年,謝廣軍晉升爲副總裁。
百度在聲明中表示,公司内部實施了數據的匿名化、假名化處理,數據存儲和管理也實行嚴格隔離和權限分離,任何職級的員工及高管均無權限觸碰用戶數據。百度安全部門反複調取了相關日志,并查驗當事人權限。結果表明,開盒信息并非源自百度。其次,經過調查,開盒信息來自海外一個通過非法手段收集個人隐私信息的數據庫。相關調查過程已取證,并得到公證機關公證。
百度還稱,網上流傳的 " 當事人承認家長給她數據庫 " 的截圖爲不實信息。事件發酵期間,社交媒體上還出現了大量文案高度雷同的造謠内容。針對相關網絡謠言,百度已向公安機關報案。
之前,謝廣軍、百度安全負責人陳洋先後針對此事作出回應。
陳洋提到,在查證過程中,發現海外的 Telegram 電報群裏有很多的社工庫,通過這種社工庫,可以去查詢一些人的信息,而且好多信息都是免費的。陳洋稱,經随機測試發現确實可以查。
18 日晚,記者從相關人士處獲得的一份資料顯示,百度的用戶數據管理遵循 " 可用不可見 " 原則:所有字段經過假名化加密,且不同部門僅能訪問業務必需的最小數據集。例如用戶手機号會被替換爲随機編碼、地址信息會分解爲三級獨立字段存儲。即便是系統管理員,也無法通過單一權限還原完整的個人信息。百度采用的 " 權限沙箱 " 機制,要求任何數據調取必須通過跨部門審批。2024 年審計報告顯示,該系統曾攔截超過 10 多萬次黑客攻擊和非常規訪問請求,其中包括高管權限異常操作。
19 日,中國政法大學副教授朱巍在接受《每日經濟新聞》記者采訪時表示,在《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》出台後,任何平台對數據的管控——包括在技術上和制度上,都非常嚴格。朱巍分析說:" 一般副總裁這個級别,想拿到涉及高度敏感信息的數據,我覺得是比較難的,即便他想拿,可能制度上、基礎上繞不開,而且有迹可查。"
或受此事影響,百度原定于 3 月 20 日舉行的百度 AI 開放日科技沙龍活動已宣布推遲,謝廣軍原計劃出席該沙龍。
花 2000 元就能永久查詢,群内用戶超 6 萬
百度将數據洩露源頭指向海外 Telegram 電報群的社工庫。那麽,什麽是 " 社工庫 "?
谷安天下安全牛分析師張琰珺向《每日經濟新聞》記者介紹," 社工庫 " 的全稱是 " 社會工程學數據庫 ",這是一種非法收集并整理了大量個人隐私信息的數據庫。因 Telegram 加密性強、安全性高,難以被破解,該平台上存在大量色情、賭博、詐騙信息,這些信息慢慢演化成爲黑産的一部分," 社工庫 " 就在其中。
值得注意的是,所謂掌握海量個人信息的 " 社工庫 " 其實并沒有太高的進入門檻。
《每日經濟新聞》記者調查發現,加入相關 " 查檔業務 " 的搜索群後,按格式在群内任意發出姓名 / 手機号 / 郵箱 / 身份證号等資料,就可以搜索到相關個人信息。
所謂的 " 查檔業務 " 涉及範圍很廣:從開房記錄到個人戶籍信息,再到名下車房情況,還包括三網定位、車輛軌迹等。而如此敏感的個人信息就這樣被打包爲 " 查檔業務 " 公開售賣。
記者入群後收到的内容 圖片來源:手機截圖
查詢費用是多少呢?1 積分查一次。普通人進群後可以先用免費的積分體驗,積分用完後需要進行充值。" 包月無限下載 " 的價格爲 500 元人民币,包季度爲 1000 元,永久無限查詢隻需 2000 元。記者還注意到,該社群當月有超過 6 萬名用戶。
" 病毒式傳播 " 是電報群群組得以生存的方式。除充值獲取積分外,通過每日在群内打卡簽到、邀請新人入群的方式均可獲得積分。記者注意到,群友通過留言邀請人數達到一定額度,甚至可以獲得現金獎勵。
記者在群内看到的信息 圖片來源:手機截圖
因此,各個群組内每時每分都有人刷屏。除查詢個人信息外,還有人發布其他群組的 " 廣告 " 拉客 " 引流 "。記者在天網社工庫中,就點進了另一個名爲 " 情報局查檔 " 的群組。" 情報局查檔 " 公告稱,截至 3 月 17 日更新數億電話、身份證表信息。
除了機器人查詢外,群内還有高級人工查詢,可以獲得更爲敏感的個人信息,比如花 150 元就可以獲得某人 " 大頭照 "" 戶籍地 "。
這些社工庫爲何能掌握如此詳細的個人信息?
" 知道創宇 " 公司産品負責人張永波在 18 日告訴《每日經濟新聞》記者,海外黑灰産組織會通過整合多個數據源,拼湊出個人 " 數字檔案 "。例如,先通過某些違規 App 獲取用戶手機唯一的硬件編碼,即 IMEI/MEID,再用這個編碼在已洩露的數據庫中進行比對。又例如,有的用戶在許多網站中使用同一套賬戶密碼,黑灰産組織利用這點,非法入侵一些合法網站拿到這些用戶的賬戶密碼,之後以這些密碼嘗試批量登錄其他網站,進而獲取該用戶更多身份信息,這種方式也被稱爲 " 撞庫 "。
19 日,360 公司安全專家向《每日經濟新聞》記者表示,海外信息竊取的技術手段多樣且隐蔽,從網絡釣魚到供應鏈攻擊,再到暗網數據交易。案例顯示,這些技術手段不僅威脅個人隐私,還可能對企業和國家安全造成嚴重影響。防禦需要技術、管理和教育多管齊下,才能有效應對這些威脅。
張琰珺也表示,從網絡安全領域從業者的角度來看,近年來全球信息洩露的事件明顯增多。無論是企業被勒索、個人遭 App 監聽以及網絡 " 開盒 ",都給企業和個人帶去了經濟上、精神上的複雜且惡劣的影響。
境外執法需要通過司法協助進行
" 一方面,從技術角度來看,數智化時代,信息資産的風險暴露面正在日益增多。主要原因是應用的終端在增多、終端上的各種應用也在增多,還有其中綁定的敏感身份類信息、金融資産類信息和通信類軟件中的數據文檔類信息在增多。另一方面,從非技術角度來看,無論企業、家庭、學校還是個人,對于敏感和有價值信息的識别、管理、管控以及保護的意識、方法等方面還比較薄弱、欠缺,容易誤入信息洩露的套路。" 張琰珺說。
張永波表示,目前的一個現實因素是,如果不登記個人相關信息,很多 App、網站甚至無法正常使用,這導緻用戶在很多時候必然會在網絡上留下個人信息。" 對個人來說,可能更多還是建議上一些大品牌的 App、網站,對不太确定的一些網站能夠少上傳或者最小化上傳個人信息。"張永波建議,如果有多個手機号,可以用某一個手機号登錄各種非日常的應用。
個人信息數據洩露時怎麽維權?墾丁律師事務所創始合夥人麻策在 19 日接受《每日經濟新聞》記者采訪時建議:一是建議個人聯系發布數據的平台或網站進行舉報,要求對方删除未經同意的信息傳播;二是可以通過所在國家或地區的數據保護機構官網,提出對個人或者平台的投訴,數據保護機構有可能對違規者施以壓力。
近年來,國家陸續出台了一系列相關法律法規保障數據安全。例如,2021 年頒布《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》,2022 年出台《數據出境安全評估辦法》,2023 年成立國家數據局。張琰珺表示,随着國家對數據洩露的封堵和法律要求,近 3~5 年來,網絡安全廠商紛紛加大在數據安全方面的投入。
河南澤槿律師事務所主任付建向《每日經濟新聞》記者表示,如果他人在境外侵犯境内法人自然人信息,且涉嫌犯罪,根據我國刑法保護性原則,同樣可以适用我國法律。境外信息洩露猖狂,公民可以向公安機關報案,公安機關可通過國際司法協助等途徑開展調查。
不過,付建也表示,我國警察在境外沒有執法權,隻能通過司法協助進行,權益保護難到位。
國際協作是常見的解決方式。據 360 公司安全專家介紹,2021 年國際刑警組織聯合多國執法機構,成功搗毀了一個全球性的網絡犯罪團夥。
