百度公开“开盒”变乱观察详情：任何人无权触碰用户数据

新京报讯 据百度官微消息，3月20日下战书，百度召开信息安全沟通会，针对变乱的观察过程及结果进行现场分析，并展示经三方公证的“（2025）京精诚内经证字第 1642号”公证书。

百度安全负责人陈洋表现，百度任何职级的员工及高管均无权限触碰用户数据。

沟通会现场，陈洋详细披露了变乱观察结果：

变乱发生以来，百度对当事员工的“汗青数据申请纪录”“权限纪录”“数据查询”等多项权限和操作日记进行了观察与审计，确认其没有百度用户个人身份信息的数据权限，也未登录任何百度数据库与服务器。经核实，确认开盒信息并非从百度泄漏。该过程，全程经过三方现场公证。

针对“开盒变乱”发生后网上流传的“当事人承认家长给她数据库”截图，经核实发现，该截图的信息内容不实，究竟为博主收抵家人红包后，在平台晒出红包截图，博主复兴“我家长给的”，本意是想分析红包的泉源，与“开盒”无关，变乱发生后的大量流传信息均为不实。

同时，陈洋详细讲授了百度针对数据安全的多项防护步伐：

◎ 用户注册账号阶段，即实验化名化处理处罚，低落数据泄漏风险，进步数据合规性；

◎ 对数据实验加密，对敏感数据进行严格隔离，并依托数据安全管理平台，实现数据管理、权限控制及安全审计的同一管控；

◎ 遵照国际公认的风险控制理念，创建“底子防守”“制度&能力&风险专项”“稽查&内部审计”三道安全防线。

截至现在，百度已先后加入体例80多项国际及国内安全尺度，累计获得104项权威安全认证。

百度表现，在相干政府部门的引导下，积极相应和倡议推进“反开盒”同盟的创建，共同加强数据隐私防护，严厉打击非法数据盗取及泄漏行为，筑牢网络安全防线，共同维护清朗网络空间。

以下为沟通会的部门现场实录：

Q：“开盒变乱”的详细观察过程怎样？观察过程是否有第三方公证？

A：3月17日，我们接到外部举报，并立刻创建了一个由内部安全专家构成的独立专项小组，开展观察与审计工作。小构成员与当事人之间不存在任何长处关系。

经过对各个系统的反复审计，我们很快得出告终论。于18日，在公司内网分享了观察结果：经过严格的数据安全审计，扫除谢广军泄漏怀疑，并定位了真实泄漏渠道。

我们在观察过程中，对他的“汗青数据申请纪录”“权限纪录”“数据访问纪录”以及“数据库服务器登录日记”等进行了观察和审计，确认其没有百度用户个人身份信息数据权限，也没有登录任何百度“数据库”及“服务器”。别的我们对其相干日记进行审计，在审计周期内未发现有异常访问行为。

那么，开盒变乱中的数据究竟来自那里呢？我们从多个维度睁开观察。起首，对被举报人进行了问询，他的女儿透露了她的“开盒”渠道，并提供了一个路径。只要在外洋网站上进行搜刮，就可以找到这条路径，并且通过这个路径很轻易进入社工库。

同时，通过在外交媒体广泛流传的一张图片也印证了这一点。标注图标处，即为一款在国外应用市场可下载的国外T某加密谈天软件的应用图标；也很轻易辨认出，图片中的界面和国外T某加密应用的界面是千篇一律的。

但只是如许也不敷为信，我们必须要复现这个过程，并终极通过公证机构对该过程进行公证，以确保其法律效力和公信力。

（2025）京精诚内经证字第 1642 号公证书

果不其然，已往几天，因为媒体铺天盖地的报道，我们发现这个社工库今天早上停息了，这个结果也是掩护了一些人。

Q：百度采取了哪些详细的技能和管理步伐来掩护数据安全？百度的数据访问权限是怎么设定的？

A：我们如今实验的安全体系比力复杂，以一个场景举例，我们实验了化名化的处理处罚。用户刚刚注册时，我们会给他天生系统内对应的化名系统ID，只有这个ID，是不知道他是谁的。

在系统里，我们是用化名去做流转，任何业务系统中都不存在这个信息。然后，我们把全部信息专门抽离，成为一个账号系统。当然，全部大的互联网企业都在这么做，所以只做化名化处理处罚还远远不够，这些全部敏感信息都会进行加密。数据是加密的，无法被利用，因为加密的钥匙是隔离存储和管理的。也就是说我们有两把钥匙，这两把钥匙分别加密着差别的数据，同时我们还通过数管平台对权限进行同一管理和权限分离，只有钥匙共同权限一起才华利用。

这只是第一层的防护，是技能本领。（我们）在内部不绝进行攻防演练，用黑客的视角查找我们的系统有没有安全隐患，假如有隐患第一时间修复，形成这一套不绝演进的安全技能防御体系。

为了让我们的系统更安全，我们还要创建第二道的制度策略，也就是管理防线；尚有第三道防线，是职业道德稽查的防线，定期对敏感的行为做审计，看有没有异常访问行为，这三套防线也是对应国际公认的风险控制的理念。通过三道防线和前面的一套数据安全的体系去保障数据安全。

Q：百度在数据安全与隐私掩护方面的投入情况？安全团队的专业性？是否具备应对复杂安全寻衅的能力？

A：自2014年起，百度创建了弊端网络及应急相应平台，公开约请第三方安全技能专家以及用户来提交安全弊端并开展修复，也非常感谢这些专家们。

不但云云，百度还积极地到场国表里各种安全尺度的建设，先后参编了国表里80多项安全类尺度，并且通过了104项权威安全认证。此中一些具有代表性的认证，比方，个人信息掩护认证PIP，这是“个人信息掩护法”发布以后专门针对个人信息掩护的国家级认证，百度在认证推出很早期就已经通过；第二，百度也是在“数据安全法”出来后，首批通过数据安全管理认证DSM的企业；同时，百度照旧国内首家取得数据安全能力成熟度四级认证的企业。这些认证代表着，在数据安全与隐私掩护上，百度已到达了国际及国老手业承认的安全管理和技能尺度程度。

在技能管理之外，深化全体员工对信息安全与隐私掩护领域的认知与器重至关紧张。在百度，除了新入职的同砚会100%继续安全培训和考核外，我们每年还组织同一的全员安全意识考核考试，要责备员必须100%的通过率，究竟上我们也做到了。别的，自2014年起，值每年国家网络安全宣传周期间，百度也会共同组织面向全员的“安全宣传月”运动，会合强化全体员工的安全意识与攻防技能。每年安全月的加入人数超过7万人次。别的，我们还通过常态化的模拟真实网络垂纶攻击，让员工在实战中提升网络安全攻防技能。

Q：此次变乱引发了外界对数据隐私的担忧，作为普通用户应怎样掩护本身的隐私？有哪些发起？

A：这里谈一下普通用户应该怎样去掩护本身的隐私：

◎ 审慎分享个人信息：在外交媒体和其他网络平台上，制止泄漏真实身份信息；

◎ 妥善设置权限：合理设置外交平台的隐私选项；在安装应用步伐时，仔细检察并审慎授予应用所需的权限，制止授予不须要的权限，如位置信息、通讯录、摄像头、麦克风等权限；

◎ 不访问未知网站：不要随意点击来路不明的链接，以防进入垂纶网站或感染恶意软件，导致个人信息被偷取；

◎ 多样化网名与暗码策略：在差别平台只管利用差别的账户名和暗码，在游戏中或其他网络社区中，保持匿名或利用昵称，淘汰被搜刮到的大概性；

◎ 利用安全的暗码管理工具：制止利用简朴轻易猜到的暗码，如姓名缩写、生日、电话号码等。可以采取暗码管理工具管理暗码；

◎ 进步警惕意识：不轻易相信陌生人的哀求和信息，对于一些不明泉源的观察、问卷、抽奖等运动要保持警惕，制止因企图小自制而泄漏个人信息。同时，要关注个人信息掩护的相干法律法规和安全知识，不绝进步自身的隐私掩护意识和能力。

Q：下一步，百度在信息安全掩护方面有哪些详细的操持和办法？

A：我们答应，在相干政府部门引导下，百度愿连合网络安全行业及社会组织，共同推进“反开盒同盟”建设，通过技能本领协助受害者应对隐私泄漏问题，并协同打击黑灰产链条。尽管这不是一朝一夕能实现的，但我们要共同积极。

最后，渴望“开盒”不能成为网络攻击的“盒武器”，让我们一起来维护网络安全防线，共同维护清朗的网络空间；让每一位网民都能安心、快乐地享受数字生存的优美。

百度已于3月20日正式设立“打击网络黑产专项基金”，该基金将用于掩护公民合法权益与企业数据安全，遏制信息泄漏、网络诈骗等违法行为，进一步铲除网络犯罪的繁殖土壤，堵截非法长处链条，营造清朗康健的网络生态情况。

编辑 李忆林子