1.百度官方首次回应“谢广军女儿开盒”事件,称涉事数据来自“海外社工库”。
2.社工库储存包括住址、身份证、电话、账号密码等敏感数据,来源多样。
3.由于此事件,公众对数据安全和隐私保护的关注度上升。
4.专家建议从技术、法律、执法等方面加强数据安全治理。
5.同时,强化公众对隐私保护的教育和宣传。
以上内容由腾讯混元大模型生成,仅供参考
本期话题:针对“谢广军女儿开盒”事件,百度官方首次回应,称隐私数据来自“海外社工库”。百度高管谢广军13岁女儿,因与他人纠纷,曝光对方个人隐私,引发公众对隐私数据安全的担忧。从去年起,“开盒挂人”现象和背后的灰色产业链就备受关注。“数据社工库”在网络黑灰产中是如何运作的?数字经济时代,如何从管理制度和技术上防范治理“数据盲盒”?
针对近期备受争议的“谢广军女儿开盒”事件,百度官方首次回应,称数据来自“海外社工库”。
事情起因是百度副总裁谢广军13岁的女儿,因在“饭圈”追星与他人争执,通过微博曝光对方姓名、身份证、手机、住址等隐私数据。后网友爆料,此前女孩也曾多次通过“开盒”方式曝光他人信息。随后,各种“女孩通过父亲的授权调取他人隐私数据”的聊天截图在网上流传,引发公众的强烈关注和愤怒。
官方回应:涉事数据源自“社工库”
百度官方对此事的回应,包括三方面:
(1)公司反复调取安全日志比对,确认内部无数据泄漏,并说明公司对数据匿名化、假名化的处理方式和对员工数据访问权限隔离、分离的制度设计;
(2)涉事的开盒信息来自海外“社工库”,公司取证后已通过合法渠道公证;
(3)网传“隐私数据来源于女孩家长”的聊天截图和言论为谣言,已向公安机关报案。
对此,有人质疑是百度“洗白”,“隐私开盒”似乎超越了公众对13岁未成年人行为能力的认知;也有人说,此事涉及信息安全、影响面广,官方声明一旦失实,对整体品牌、业务板块、股价等,都将带来灾难性后果,谢广军只是高管,百度没必要为一名打工人压上如此昂贵的筹码,“开盒”背后,暗藏黑产江湖。
央视多次曝光“开盒挂人”现象 (来源:央视网)
起底社工库:从“点”到“面”的隐私挖掘术
“社工库”全名为“社会工程学数据库”,里面储存了众多包括不限于住址、身份证、电话、账号密码、购物记录等敏感数据。数据来源多为黑客攻击、内鬼泄露或公开数据爬取等。
传统“网络黑产运营链”分三段:
“上游”为黑客或“内鬼”窃取,以及爬虫收集的海量数据;“中游”则为社工库运营者对数据进行清洗、分类,并通过社交群组、暗网等渠道交易;“下游”则是诈骗团伙、网络暴力者买下数据,并利用数据进行犯罪或网络暴力。甚至,一些社工库与网络赌博、网络贷款等黑色产业深度绑定。
社工库是怎么从“点”到“面”,挖掘个人隐私的呢?整体上,是“信息关联”的逻辑原理。通过单一数据点在互联网上的关联性,逐步拼凑个人画像。
数据来源上,除了黑客盗取、网站钓鱼和“内鬼”泄露外,还有几种表面合法渠道:(1)多平台数据聚合,通过爬虫、API爬取数据;(2)用户的社交媒体与公开记录,如注册账号时填写的内容,发布“朋友圈”时的图片识别等;(3)针对特定群体(如企业高管)在官方渠道、企业信息平台和工商数据平台等查询。
技术上,通常是自动化工具与算法+人工辅助。如社工库通过算法匹配,将不同来源的碎片化数据整合;又如“密码撞库”,用很多人的姓名拼音加生日等方式,推测不同平台的账号密码,或是通过已泄露的单一平台密码,关联其他平台等等。此外,还有通过IP地址追踪识别账号身份等。
“数据盲盒”背后的社工产业链(来源:央视网)
技术、制度、执法,数据安全治理的现状
当下,对数据安全的疏堵治理现状体现在几方面:
技术上,强化源头数据的加密与匿名化。对用户敏感信息脱敏;通过大数据和AI技术,建立实时监测与防御系统,快速识别异常行为并及时处置;对敏感数据,企业内部要建立严格的访问权限、验证制度和溯源制度;同时,定期排查系统漏洞,关键性企业数据要有第三方安全认证监督。
法律上,中国社会科学院大学互联网法治研究中心执行主任刘晓春指出:我国的个人信息保护法、数据安全法等已经落地执行,明确了企业责任与个人权利边界,加大对非法数据交易和“开盒”行为的刑事处罚。
海外经验看,欧盟有GDPR(通用数据保护条例),规定企业对数据泄露事件72小时内上报制度,强制企业实施“隐私设计”原则,并设立跨境数据流动限制,限制欧盟公民数据流向隐私保护水平不足的国家,减少社工库数据来源。
(图片来源:视觉中国)
美国则通过联邦与州法协同执法和建立企业技术防御机制。如《消费者隐私法案》(CCPA)赋予用户数据删除权,联邦通过《计算机欺诈和滥用法》打击黑客攻击。谷歌、微软等科技公司,开发了反社工库工具和服务。
国际执法层面,中缅曾联合打击电诈和摧毁大批海外社工库,欧美也在利用区块链分析、暗网爬虫等数据追踪技术,定位黑产服务器,辅助国际刑警执法。
从“开盒挂人”,看数字经济下“数据流动”与“信息安全”
“数据流动”是数字经济的载体和基础。应对和治理是一个复杂的体系和过程:
顶层设计上,要明确和平衡“隐私”与“便利”的法律边界,构建“技术防御+法律威慑+国际合作”的三维治理模式,从根本上压缩社工库的生存空间。
技术应对上,通过区块链、大模型等新技术迭代,让用户数据“脱敏、可见不可用”;倡导安全产业内部协同、资源共享,如在“木马病毒时代”,安全公司通过数据联盟,共享黑白名单。
个体数据安全素养上,强化对公众的隐私保护教育——如避免多平台同密码、避免社交账号过多暴露个人信息。同时,加强对社区、学校等场所和普通公民的信息保护宣传,为被侵权人建立有效、高效的维权渠道。
从去年以来,央视《焦点访谈》《新闻调查》以及“3·15”晚会等节目,多次曝光“开盒挂人”和背后的黑色产业链,并指出——警惕“开盒”形成的低成本、产业化、链条长的黑灰产业链。
此前,谢广军个人曾对“开盒事件”公开道歉,表达愧疚和歉意的同时,对子女教育进行深刻反思,恳请网友给未成年人“改错和成长的空间”。
对“开盒挂人”案件进行曝光,意义在于唤醒公众在信息时代,对道德、法律、家庭教育和隐私的尊重意识,和相关部门对信息安全法规落地后,及时的审视和完善。(作者:总台经济之声评论员 王思远)