百度召開資訊安全溝通會：任何人無權觸碰使用者資料

DPOHUB個保合規審計專業群

#目標# 個保合規審計專業人士一起共享時代紅利！風口來了，豬也能飛起來！

#願景# 建立個保合規審計平臺和渠道，法律、技術和管理等專家相互賦能。

#申請# 設定專業門檻，入群需說明個人資訊保護相關實務經驗。

請說明姓名+單位+職位+專案經驗

3月20日下午，百度召開資訊安全溝通會，針對事件的調查過程及結果進行現場說明，並展示經三方公證的“（2025）京精誠內經證字第 1642號”公證書。

百度安全負責人陳洋表示，百度任何職級的員工及高管均無許可權觸碰使用者資料。

溝通會現場，陳洋詳細披露了事件調查結果：

事件發生以來，百度對當事員工的“歷史資料申請記錄”、“許可權記錄”、“資料查詢”等多項許可權和操作日誌進行了調查與審計，確認其沒有百度使用者個人身份資訊的資料許可權，也未登入任何百度資料庫與伺服器。經核實，確認開盒資訊並非從百度洩露。該過程，全程經過三方現場公證。

針對“開盒事件”發生後網上流傳的“當事人承認家長給她資料庫”截圖，經核實發現，該截圖的資訊內容不實，事實為博主收到家人紅包後，在平臺曬出紅包截圖，博主回覆“我家長給的”，本意是想說明紅包的來源，與“開盒”無關，事件發生後的大量傳播資訊均為不實。

同時，陳洋詳細講解了百度針對資料安全的多項防護措施：

◎ 使用者註冊賬號階段，即實施假名化處理，降低資料洩露風險，提高資料合規性；

◎ 對資料實施加密，對敏感資料進行嚴格隔離，並依託資料安全管理平臺，實現資料管理、許可權控制及安全審計的統一管控；

◎遵循國際公認的風險控制理念，建立“基礎防守”、“制度&能力&風險專項”、“稽查&內部審計”三道安全防線。

截至目前，百度已先後參與編制80多項國際及國內安全標準，累計獲得104項權威安全認證。

百度表示，在相關政府部門的指導下，積極響應和倡議推進“反開盒”聯盟的成立，共同加強資料隱私防護，嚴厲打擊非法資料竊取及洩露行為，築牢網路安全防線，共同維護清朗網路空間。

以下為溝通會的部分現場實錄：

Q：“開盒事件”的詳細調查過程如何？調查過程是否有第三方公證？

A：3月17日，我們接到外部舉報，並立即成立了一個由內部安全專家組成的獨立專項小組，開展調查與審計工作。小組成員與當事人之間不存在任何利益關係。

經過對各個系統的反覆審計，我們很快得出了結論。於18日，在公司內網分享了調查結果：經過嚴格的資料安全審計，排除謝廣軍洩露嫌疑，並定位了真實洩露渠道。

我們在調查過程中，對他的“歷史資料申請記錄”、“許可權記錄”、“資料訪問記錄”以及“資料庫伺服器登入日誌”等進行了調查和審計，確認其沒有百度使用者個人身份資訊資料許可權，也沒有登入任何百度“資料庫”及“伺服器”。此外我們對其相關日誌進行審計，在審計週期內未發現有異常訪問行為。

那麼，開盒事件中的資料究竟來自哪裡呢？我們從多個維度展開調查。首先，對被舉報人進行了問詢，他的女兒透露了她的“開盒”渠道，並提供了一個路徑。只要在海外網站上進行搜尋，就可以找到這條路徑，並且透過這個路徑很容易進入社工庫。

同時，透過在社交媒體廣泛流傳的一張圖片也印證了這一點。標註圖示處，即為一款在國外應用市場可下載的國外T某加密聊天軟體的應用圖示；也很容易識別出，圖片中的介面和國外T某加密應用的介面是一模一樣的。

但只是這樣也不足為信，我們必須要復現這個過程，並最終透過公證機構對該過程進行公證，以確保其法律效力和公信力。

（2025）京精誠內經證字第 1642 號公證書

果不其然，過去幾天，因為媒體鋪天蓋地的報道，我們發現這個社工庫今天早上暫停了，這個結果也是保護了一些人。

Q：百度採取了哪些具體的技術和管理措施來保護資料安全？百度的資料訪問許可權是怎麼設定的？

A：我們現在實施的安全體系比較複雜，以一個場景舉例，我們實施了假名化的處理。使用者剛剛註冊時，我們會給他生成系統內對應的假名系統ID，只有這個ID，是不知道他是誰的。

在系統裡，我們是用假名去做流轉，任何業務系統中都不存在這個資訊。然後，我們把所有資訊專門抽離，成為一個賬號系統。當然，所有大的網際網路企業都在這麼做，所以只做假名化處理還遠遠不夠，這些所有敏感資訊都會進行加密。資料是加密的，無法被使用，因為加密的鑰匙是隔離儲存和管理的。也就是說我們有兩把鑰匙，這兩把鑰匙分別加密著不同的資料，同時我們還透過數管平臺對許可權進行統一管理和許可權分離，只有鑰匙配合許可權一起才能使用。

這只是第一層的防護，是技術手段。（我們）在內部不斷進行攻防演練，用駭客的視角查詢我們的系統有沒有安全隱患，如果有隱患第一時間修復，形成這一套不斷演進的安全技術防禦體系。

為了讓我們的系統更安全，我們還要建立第二道的制度策略，也就是管理防線；還有第三道防線，是職業道德稽查的防線，定期對敏感的行為做審計，看有沒有異常訪問行為，這三套防線也是對應國際公認的風險控制的理念。透過三道防線和前面的一套資料安全的體系去保障資料安全。

Q：百度在資料安全與隱私保護方面的投入情況？安全團隊的專業性？是否具備應對複雜安全挑戰的能力？

A：自2014年起，百度建立了漏洞收集及應急響應平臺，公開邀請第三方安全技術專家以及使用者來提交安全漏洞並開展修復，也非常感謝這些專家們。

不僅如此，百度還積極地參加國內外各種安全標準的建設，先後參編了國內外80多項安全類標準，並且通過了104項權威安全認證。其中一些具有代表性的認證，例如，個人資訊保護認證PIP，這是“個人資訊保護法”釋出以後專門針對個人資訊保護的國家級認證，百度在認證推出很早期就已經透過；第二，百度也是在“資料安全法”出來後，首批透過資料安全管理認證DSM的企業；同時，百度還是國內首家取得資料安全能力成熟度四級認證的企業。這些認證代表著，在資料安全與隱私保護上，百度已達到了國際及國內行業認可的安全管理和技術標準水平。

在技術管理之外，深化全體員工對資訊安全與隱私保護領域的認知與重視至關重要。在百度，除了新入職的同學會100%接受安全培訓和考核外，我們每年還組織統一的全員安全意識考核考試，要求全員必須100%的透過率，事實上我們也做到了。此外，自2014年起，值每年國家網路安全宣傳週期間，百度也會配合組織面向全員的“安全宣傳月”活動，集中強化全體員工的安全意識與攻防技能。每年安全月的參與人數超過7萬人次。此外，我們還透過常態化的模擬真實網路釣魚攻擊，讓員工在實戰中提升網路安全攻防技能。

Q：此次事件引發了外界對資料隱私的擔憂，作為普通使用者應如何保護自己的隱私？有哪些建議？

A：這裡談一下普通使用者應該如何去保護自己的隱私：

◎ 謹慎分享個人資訊：在社交媒體和其他網路平臺上，避免洩露真實身份資訊；

◎妥善設定許可權：合理設定社交平臺的隱私選項；在安裝應用程式時，仔細檢視並謹慎授予應用所需的許可權，避免授予不必要的許可權，如位置資訊、通訊錄、攝像頭、麥克風等許可權；

◎ 不訪問未知網站：不要隨意點選來路不明的連結，以防進入釣魚網站或感染惡意軟體，導致個人資訊被盜取；

◎ 多樣化網名與密碼策略：在不同平臺儘量使用不同的賬戶名和密碼，在遊戲中或其他網路社群中，保持匿名或使用暱稱，減少被搜尋到的可能性；

◎ 使用安全的密碼管理工具：避免使用簡單容易猜到的密碼，如姓名縮寫、生日、電話號碼等。可以採用密碼管理工具管理密碼；

◎ 提高警惕意識：不輕易相信陌生人的請求和資訊，對於一些不明來源的調查、問卷、抽獎等活動要保持警惕，避免因貪圖小便宜而洩露個人資訊。同時，要關注個人資訊保護的相關法律法規和安全知識，不斷提高自身的隱私保護意識和能力。

Q：下一步，百度在資訊安全保護方面有哪些具體的計劃和舉措？

A：我們承諾，在相關政府部門指導下，百度願聯合網路安全行業及社會組織，共同推進“反開盒聯盟”建設，透過技術手段協助受害者應對隱私洩露問題，並協同打擊黑灰產鏈條。儘管這不是一朝一夕能實現的，但我們要共同努力。

最後，希望“開盒”不能成為網路攻擊的“盒武器”，讓我們一起來維護網路安全防線，共同維護清朗的網路空間；讓每一位網民都能安心、快樂地享受數字生活的美好。