百度副总裁未成年女儿涉“开盒”网暴，售卖个人信息的产业链该如何斩断？｜Whatsnew

近日，一件韩娱粉丝圈“开盒”（注：在互联网上非法获取和公开他人的隐私信息，如姓名、手机号和住址等，相近行為可稱為“起底”或“人肉搜索”）事件在大陆互联网上掀起轩然大波，舆论焦点从粉丝圈骂战外扩，牵扯出个人信息非法买卖产业链，引发公众对个人隐私安全的担忧。

3月12日，一个关注韩国娱乐并积累600万粉丝的微博账号发帖，称韩国女星张元英参加巴黎时装周的行程为“魔鬼行程”，一位网民留言指该说法“太夸张”，致其被张元英粉丝攻击。随后，这位留言者的姓名、电话和工作单位等信息被粉丝群体公开传播。另有声援该留言者的网友称自己也被“开盒”、辱骂和骚扰。

很快，此事热度突破粉丝圈。有人通过一位参与“开盒”的网民的过往微博，推测该人士是百度副总裁谢广军13岁的女儿。网民质疑谢广军女儿获取的隐私信息源自百度内部，舆论矛头直指百度的信息安全。

事件在公共领域进一步发酵。3月16日，百度发布两款免费的文心AI大模型，并在微博上同步该信息，但评论区中网友的关注重点是“开盒”事件，百度而后关闭展示评论区。次日，谢广军在微信朋友圈就此事道歉。3月19日百度发布声明指，经公证的内部调查显示，谢广军女儿获取的他人信息并非来自百度，强调“百度内部实施了数据的匿名化、假名化处理”，员工无权触及用户数据。

不过，该声明披露的另一信息引起更大的公众担忧。调查称，“开盒”的数据来自被称作“社工库”的海外非法数据库，由此牵扯出个人信息非法买卖的产业链。

个人信息可低价交易，“开盒”成大陆常见的网络现象？

“开盒”作为网络暴力的手段，在大陆互联网已存在多年，常出现在百度贴吧、QQ群和微博等平台。这一现象背后隐藏着非法查找他人隐私信息的灰色产业。

汇集这类隐私信息的数据库多集中于社交平台Telegram，被称为“社会工程学（social engineering）数据库”。“社会工程学”指通过利用人的心理使其采取行动或泄密，如发送钓鱼邮件、或伪装熟人窃取信息。“社会工程学”攻击在世界范围内流行，一项2019年的研究指出，这是全球网络安全面临的最大威胁。

多家大陆媒体调查发现，“社工库”上的个人信息通常由网络平台或行业单位泄露、病毒入侵等方式获取，被整合汇总后形成数据库。

通过搜索，端传媒记者在Telegram找到某社工库，其官方频道有逾28万订阅者。频道提供通过关键词查隐私的自助功能，该功能有逾四万月用户。另有人工查隐私的付费服务：提供他人的社交平台账号，如抖音或微信账号，即可查询手机号；如提供他人的手机号或身份证号，则能进一步查到对方的户籍、网购快递收货地址、正规医院就医记录、名下信用卡信息、出入境信息和开房记录等。

该“社工库”还招募警察、银行从业者和其他公职人员进行非法合作。《南都周刊》的记者调查发现，用300元能在“社工库”买到确认真实的户籍信息，服务方称“其中240元是公安网站户籍截图的费用”，另有服务方表示费用会和合作警察分款。

2022年一例相关判决显示，武汉市某民警因通过公安系统获取公民个人信息并售卖，被判刑四年。

《中华人民共和国刑法》规定，向他人出售或提供公民个人信息，会被判以“侵犯公民个人信息罪”。

据央视新闻，2024年全国公安机关侦破相关案件7000余起。北京市人民法院统计，2018年至2023年北京相关案件中，超过三分之一的涉案信息与公民人身和财产安全有关，其中手机号码、身份证号码的占比最大；有半数以上被告人供职于公司企业或事业单位，一些被告人利用获取处理公民信息的权限来出售他人信息。

值得留意的是，“开盒”的低门槛吸引了越来越多未成年人，呈低龄化趋势。例如此次事件中，作为开盒者的谢广军女儿只有13岁。此外，据澎湃新闻去年的报道，多名未成年人通过游戏社群，进入被称为“喷系”（注：热衷用网络暴力攻击他人的群体）的组织，把“开盒”他人作为比拼和炫耀手段。同时，他们的个人和亲属信息也被圈内人反向“开盒”，不断收到电话和短信骚扰。

过度采集信息和实名制会加剧信息泄露风险吗？

中国政法大学教授张凌寒对南方网表示，“开盒”行为有着信息传播快、损失难以量化和控制、取证难度大的特点。以此次事件为例，一位被“开盒”受害者接受媒体采访时表示，她曾立刻举报泄露自己信息的微博，但因为该微博没有达到立案要求的500以上的转发量，公安机关不予立案。

张凌寒指出，现有整治网络暴力的法律规范过于分散，且对新型侵权行为应对不足，应指定专门法律，并界定“开盒”等行为，明确个人、平台和监管方的责任划分。

由于“社工库”存在的平台Telegram是海外平台，这也带来执法难度。有律师指出，面对境外信息泄露，中国公民虽可以报案，但大陆警察在境外没有执法权，只能通过国际司法协助，权益保护较难到位。

信息搜集问题亦值得关注。清华大学法学院教授劳东燕在微博评论，个人信息泄露的问题无法只靠后端的执法投入，关键在于前端的信息采集，而平台过度采集了用户身份证等信息。

“开盒”门槛得以降低，基础之一在于各大社交平台的实名制。在世界范围内，中国是少数几个强制推行网络实名制的国家。早在21世纪初，网络实名制问题便有所讨论。2008年有人大代表提交“网络实名制立法建议“的提案，认为实名制可以让网络行为受到法律约束。

2017年《中华人民共和国网络安全法》实施，标志着大陆以法律形式全面推行网络实名制。同年百度、Bilibili等平台采用实名制。此外，2016年起中国推行手机号实名身份登记，许多平台只需绑定手机号即可完成实名制。

关于网络实名制是否能有效管控违法行为，一向争议不断。在实践层面，较早进行强制网络实名制的韩国提供了参照。2007年，韩国为打击网络暴力逐步推进网络实名，但在2011年，两家网站先后发生上千万用户信息泄露的事故，泄露信息包括用户姓名、电话、住址和身份证号等，引发韩国民众反对实名制的呼声。次年，韩国宪法裁判所裁定网络实名制违宪。判决指出，网络实名制的弊端大于公益性，实名制约束网络非法信息、恶性言论的效果不但不明显，还增加了信息泄露风险。

除了实名制的问题，大陆App对用户隐私的过度采集和泄露也常被讨论。

2018年支付宝的账单事件是平台过度搜集信息的典型事例。在当年支付宝用户的年度账单界面中，默认勾选同意某服务协议，内容包括同意采集个人信息并提供给平台合作方。事件曝光后遭到大量批评。

而大陆用户对App的信息采集普遍缺乏安全感。2021年一项调研指出，76%的受访者认为其使用的App过度收集个人信息，74%认为使用App时被泄露个人信息，45%表示在发现信息被泄露时，为了正常使用App只能选择无视。

尽管信息安全被反复讨论，直到2021年，大陆才颁布首部全面规范个人信息保护的法律。这部《个人信息保护法》明确了对用户信息搜集和处理的限度，要求信息采集应遵守“最小必要原则”。

但法律出台后，现实状况仍和规定存在差异。有研究分析了中国634个IOS应用程序的搜集数据状况后指出，新规出台后，部分App在征求用户同意上有所改进，但多数App在同意流程中仍只提供简单的是/否选项，未按规定细化同意类型。此外，不少App在用户拒绝授权后会迫使用户退出应用，而选择同意的用户很难撤回其同意，这都未能达到保护法的要求。

研究还指出，许多App依然通过集成追踪库，在后台搜集大量用户数据，而数据追踪的最大提供方源于阿里巴巴、腾讯、新浪和百度等公司。这也侧面印证在此次开盒事件中，当百度这类大型公司遭遇信息泄露的指控时，公众的忧虑不无道理。

尽管法律在逐步推进，问题似乎已积重难返，非法数据库的出现本身意味着大量隐私信息已泄漏。

针对此次的“开盒”事件，劳东燕在评论结尾处写道，“所谓的为了安全放弃隐私，或者为了便利放弃隐私，最终的结局是，人们既失去了隐私，又未能获得于其中的安全与便利”。