百度副總裁未成年女兒涉「開盒」網暴，售賣個人信息的產業鏈該如何斬斷？｜Whatsnew

近日，一件韓娛粉絲圈「開盒」（註：在互聯網上非法獲取和公開他人的隱私信息，如姓名、手機號和住址等，相近行為可稱為「起底」或「人肉搜索」）事件在大陸互聯網上掀起軒然大波，輿論焦點從粉絲圈罵戰外擴，牽扯出個人信息非法買賣產業鏈，引發公衆對個人隱私安全的擔憂。

3月12日，一個關注韓國娛樂並積累600萬粉絲的微博賬號發帖，稱韓國女星張元英參加巴黎時裝週的行程為「魔鬼行程」，一位網民留言指該說法「太誇張」，致其被張元英粉絲攻擊。隨後，這位留言者的姓名、電話和工作單位等信息被粉絲群體公開傳播。另有聲援該留言者的網友稱自己也被「開盒」、辱罵和騷擾。

很快，此事熱度突破粉絲圈。有人通過一位參與「開盒」的網民的過往微博，推測該人士是百度副總裁謝廣軍13歲的女兒。網民質疑謝廣軍女兒獲取的隱私信息源自百度內部，輿論矛頭直指百度的信息安全。

事件在公共領域進一步發酵。3月16日，百度發布兩款免費的文心AI大模型，並在微博上同步該信息，但評論區中網友的關注重點是「開盒」事件，百度而後關閉展示評論區。次日，謝廣軍在微信朋友圈就此事道歉。3月19日百度發布聲明指，經公證的內部調查顯示，謝廣軍女兒獲取的他人信息並非來自百度，強調「百度內部實施了數據的匿名化、假名化處理」，員工無權觸及用戶數據。

不過，該聲明披露的另一信息引起更大的公衆擔憂。調查稱，「開盒」的數據來自被稱作「社工庫」的海外非法數據庫，由此牽扯出個人信息非法買賣的產業鏈。

個人信息可低價交易，「開盒」成大陸常見的網絡現象？

「開盒」作為網絡暴力的手段，在大陸互聯網已存在多年，常出現在百度貼吧、QQ群和微博等平台。這一現象背後隱藏着非法查找他人隱私信息的灰色產業。

彙集這類隱私信息的數據庫多集中於社交平台Telegram，被稱為「社會工程學（social engineering）數據庫」。「社會工程學」指通過利用人的心理使其採取行動或泄密，如發送釣魚郵件、或僞裝熟人竊取信息。「社會工程學」攻擊在世界範圍內流行，一項2019年的研究指出，這是全球網絡安全面臨的最大威脅。

多家大陸媒體調查發現，「社工庫」上的個人信息通常由網絡平台或行業單位泄露、病毒入侵等方式獲取，被整合彙總後形成數據庫。

通過搜索，端傳媒記者在Telegram找到某社工庫，其官方頻道有逾28萬訂閱者。頻道提供通過關鍵詞查隱私的自助功能，該功能有逾四萬月用戶。另有人工查隱私的付費服務：提供他人的社交平台賬號，如抖音或微信賬號，即可查詢手機號；如提供他人的手機號或身份證號，則能進一步查到對方的戶籍、網購快遞收貨地址、正規醫院就醫記錄、名下信用卡信息、出入境信息和開房記錄等。

該「社工庫」還招募警察、銀行從業者和其他公職人員進行非法合作。《南都週刊》的記者調查發現，用300元能在「社工庫」買到確認真實的戶籍信息，服務方稱「其中240元是公安網站戶籍截圖的費用」，另有服務方表示費用會和合作警察分款。

2022年一例相關判決顯示，武漢市某民警因通過公安系統獲取公民個人信息並售賣，被判刑四年。

《中華人民共和國刑法》規定，向他人出售或提供公民個人信息，會被判以「侵犯公民個人信息罪」。

據央視新聞，2024年全國公安機關偵破相關案件7000餘起。北京市人民法院統計，2018年至2023年北京相關案件中，超過三分之一的涉案信息與公民人身和財產安全有關，其中手機號碼、身份證號碼的佔比最大；有半數以上被告人供職於公司企業或事業單位，一些被告人利用獲取處理公民信息的權限來出售他人信息。

值得留意的是，「開盒」的低門檻吸引了越來越多未成年人，呈低齡化趨勢。例如此次事件中，作為開盒者的謝廣軍女兒只有13歲。此外，據澎湃新聞去年的報道，多名未成年人通過遊戲社群，進入被稱為「噴系」（熱衷用網絡暴力攻擊他人的群體）的組織，把「開盒」他人作為比拼和炫耀手段。同時，他們的個人和親屬信息也被圈內人反向「開盒」，不斷收到電話和短信騷擾。

過度採集信息和實名制會加劇信息泄露風險嗎？

中國政法大學教授張凌寒對南方網表示，「開盒」行為有着信息傳播快、損失難以量化和控制、取證難度大的特點。以此次事件為例，一位被「開盒」受害者接受媒體採訪時表示，她曾立刻舉報泄露自己信息的微博，但因為該微博沒有達到立案要求的500以上的轉發量，公安機關不予立案。

張凌寒指出，現有整治網絡暴力的法律規範過於分散，且對新型侵權行為應對不足，應指定專門法律，並界定「開盒」等行為，明確個人、平台和監管方的責任劃分。

由於「社工庫」存在的平台Telegram是海外平台，這也帶來執法難度。有律師指出，面對境外信息泄露，中國公民雖可以報案，但大陸警察在境外沒有執法權，只能通過國際司法協助，權益保護較難到位。

信息蒐集問題亦值得關注。清華大學法學院教授勞東燕在微博評論，個人信息泄露的問題無法只靠後端的執法投入，關鍵在於前端的信息採集，而平台過度採集了用戶身份證等信息。

「開盒」門檻得以降低，基礎之一在於各大社交平台的實名制。在世界範圍內，中國是少數幾個強制推行網絡實名制的國家。早在21世紀初，網絡實名制問題便有所討論。2008年有人大代表提交「網絡實名制立法建議「的提案，認為實名制可以讓網絡行為受到法律約束。

2017年《中華人民共和國網絡安全法》實施，標誌着大陸以法律形式全面推行網絡實名制。同年百度、Bilibili等平台採用實名制。此外，2016年起中國推行手機號實名身份登記，許多平台只需綁定手機號即可完成實名制。

關於網絡實名制是否能有效管控違法行為，一向爭議不斷。在實踐層面，較早進行強制網絡實名制的韓國提供了參照。2007年，韓國為打擊網絡暴力逐步推進網絡實名，但在2011年，兩家網站先後發生上千萬用戶信息泄露的事故，泄露信息包括用戶姓名、電話、住址和身份證號等，引發韓國民衆反對實名制的呼聲。次年，韓國憲法裁判所裁定網絡實名制違憲。判決指出，網絡實名制的弊端大於公益性，實名制約束網絡非法信息、惡性言論的效果不但不明顯，還增加了信息泄露風險。

除了實名制的問題，大陸App對用戶隱私的過度採集和泄露也常被討論。

2018年支付寶的賬單事件是平台過度搜集信息的典型事例。在當年支付寶用戶的年度賬單界面中，默認勾選同意某服務協議，內容包括同意採集個人信息並提供給平台合作方。事件曝光後遭到大量批評。

而大陸用戶對App的信息採集普遍缺乏安全感。2021年一項調研指出，76%的受訪者認為其使用的App過度收集個人信息，74%認為使用App時被泄露個人信息，45%表示在發現信息被泄露時，為了正常使用App只能選擇無視。

儘管信息安全被反覆討論，直到2021年，大陸才頒布首部全面規範個人信息保護的法律。這部《個人信息保護法》明確了對用戶信息蒐集和處理的限度，要求信息採集應遵守「最小必要原則」。

但法律出台後，現實狀況仍和規定存在差異。有研究分析了中國634個IOS應用程序的蒐集數據狀況後指出，新規出台後，部分App在徵求用戶同意上有所改進，但多數App在同意流程中仍只提供簡單的是/否選項，未按規定細化同意類型。此外，不少App在用戶拒絕授權後會迫使用戶退出應用，而選擇同意的用戶很難撤回其同意，這都未能達到保護法的要求。

研究還指出，許多App依然通過集成追蹤庫，在後台蒐集大量用戶數據，而數據追蹤的最大提供方源於阿里巴巴、騰訊、新浪和百度等公司。這也側面印證在此次開盒事件中，當百度這類大型公司遭遇信息泄露的指控時，公衆的憂慮不無道理。

儘管法律在逐步推進，問題似乎已積重難返，非法數據庫的出現本身意味着大量隱私信息已泄漏。

針對此次的「開盒」事件，勞東燕在評論結尾處寫道，「所謂的為了安全放棄隱私，或者為了便利放棄隱私，最終的結局是，人們既失去了隱私，又未能獲得於其中的安全與便利」。