百度召开信息安全沟通会披露开盒事件调查结果倡议成立反开盒联盟

　　为了让我们的系统更安全◆■★■，我们还要建立第二道的制度策略■◆◆★，也就是管理防线◆◆；还有第三道防线◆★，是职业道德稽查的防线■■★★■◆，定期对敏感的行为做审计★■◆，看有没有异常访问行为★◆◆■★◆，这三套防线也是对应国际公认的风险控制的理念。通过三道防线和前面的一套数据安全的体系去保障数据安全。

　　这只是第一层的防护◆■★，是技术手段★◆■◆★★。（我们）在内部不断进行攻防演练◆★◆■◆，用黑客的视角查找我们的系统有没有安全隐患，如果有隐患第一时间修复，形成这一套不断演进的安全技术防御体系。

　　提高警惕意识：不轻易相信陌生人的请求和信息，对于一些不明来源的调查、问卷、抽奖等活动要保持警惕，避免因贪图小便宜而泄露个人信息。同时■◆◆，要关注个人信息保护的相关法律法规和安全知识，不断提高自身的隐私保护意识和能力。

　　经过对各个系统的反复审计，我们很快得出了结论。于18日■■★◆，在公司内网分享了调查结果：经过严格的数据安全审计，排除谢广军泄露嫌疑，并定位了真实泄露渠道。

　　A★◆：3月17日，我们接到外部举报，并立即成立了一个由内部安全专家组成的独立专项小组，开展调查与审计工作◆■★■◆★。小组成员与当事人之间不存在任何利益关系◆■★■◆。

　　使用安全的密码管理工具：避免使用简单容易猜到的密码，如姓名缩写、生日、电话号码等。可以采用密码管理工具管理密码；

　　遵循国际公认的风险控制理念，建立“基础防守■◆★★■”、◆◆◆■“制度&能力&风险专项”★★◆★、“稽查&内部审计”三道安全防线◆◆■。

　　针对“开盒事件”发生后网上流传的■◆■◆◆“当事人承认家长给她数据库”截图，经核实发现■★■，该截图的信息内容不实，事实为博主收到家人红包后，在平台晒出红包截图★★■，博主回复“我家长给的◆■■★■★”，本意是想说明红包的来源，与“开盒”无关，事件发生后的大量传播信息均为不实。

　　Q★◆◆★■：百度采取了哪些具体的技术和管理措施来保护数据安全？百度的数据访问权限是怎么设定的■★◆◆★？

　　果不其然，过去几天★◆■，因为媒体铺天盖地的报道，我们发现这个社工库今天早上暂停了★■◆，这个结果也是保护了一些人。

　　Q：此次事件引发了外界对数据隐私的担忧■◆◆◆，作为普通用户应如何保护自己的隐私■◆★■★■？有哪些建议？

　　A：我们现在实施的安全体系比较复杂，以一个场景举例◆★■★◆◆，我们实施了假名化的处理。用户刚刚注册时，我们会给他生成系统内对应的假名系统ID★■◆★，只有这个ID，是不知道他是谁的■◆■。

　　多样化网名与密码策略：在不同平台尽量使用不同的账户名和密码，在游戏中或其他网络社区中，保持匿名或使用昵称，减少被搜索到的可能性■◆◆★■；

　　那么，开盒事件中的数据究竟来自哪里呢？我们从多个维度展开调查。首先■★◆★，对被举报人进行了问询，他的女儿透露了她的★★◆★“开盒”渠道，并提供了一个路径■◆★■。只要在海外网站上进行搜索■◆★，就可以找到这条路径，并且通过这个路径很容易进入社工库。

　　百度表示，在相关政府部门的指导下，积极响应和倡议推进■◆◆“反开盒”联盟的成立，共同加强数据隐私防护，严厉打击非法数据窃取及泄露行为，筑牢网络安全防线，共同维护清朗网络空间◆■◆★◆。

　　在系统里，我们是用假名去做流转，任何业务系统中都不存在这个信息。然后，我们把所有信息专门抽离，成为一个账号系统。当然，所有大的互联网企业都在这么做，所以只做假名化处理还远远不够，这些所有敏感信息都会进行加密。数据是加密的，无法被使用，因为加密的钥匙是隔离存储和管理的■■★★。也就是说我们有两把钥匙，这两把钥匙分别加密着不同的数据，同时我们还通过数管平台对权限进行统一管理和权限分离，只有钥匙配合权限一起才能使用。

　　事件发生以来★■★，百度对当事员工的“历史数据申请记录■■”、“权限记录◆◆■”★◆★◆、“数据查询◆★■★■◆”等多项权限和操作日志进行了调查与审计，确认其没有百度用户个人身份信息的数据权限，也未登录任何百度数据库与服务器★■。经核实，确认开盒信息并非从百度泄露◆■★◆■。该过程★◆■★，全程经过三方现场公证■◆■◆★★。

　　在技术管理之外◆◆，深化全体员工对信息安全与隐私保护领域的认知与重视至关重要■◆■■■。在百度，除了新入职的同学会100%接受安全培训和考核外，我们每年还组织统一的全员安全意识考核考试，要求全员必须100%的通过率◆■，事实上我们也做到了。此外，自2014年起，值每年国家网络安全宣传周期间，百度也会配合组织面向全员的◆■★◆■“安全宣传月”活动，集中强化全体员工的安全意识与攻防技能◆◆。每年安全月的参与人数超过7万人次。此外◆★，我们还通过常态化的模拟真实网络钓鱼攻击，让员工在实战中提升网络安全攻防技能◆◆◆■◆■。

　　但只是这样也不足为信，我们必须要复现这个过程■◆，并最终通过公证机构对该过程进行公证，以确保其法律效力和公信力。

　　对数据实施加密◆■■，对敏感数据进行严格隔离◆★■■■◆，并依托数据安全管理平台◆★★■■◆，实现数据管理、权限控制及安全审计的统一管控；

　　A：我们承诺◆◆，在相关政府部门指导下◆◆，百度愿联合网络安全行业及社会组织，共同推进“反开盒联盟■★◆◆”建设◆■◆★■★，通过技术手段协助受害者应对隐私泄露问题，并协同打击黑灰产链条。尽管这不是一朝一夕能实现的，但我们要共同努力。

　　截至目前，百度已先后参与编制80多项国际及国内安全标准，累计获得104项权威安全认证★★■。

　　不仅如此，百度还积极地参加国内外各种安全标准的建设，先后参编了国内外80多项安全类标准，并且通过了104项权威安全认证★■■★◆★。其中一些具有代表性的认证，例如，个人信息保护认证PIP，这是“个人信息保护法”发布以后专门针对个人信息保护的国家级认证，百度在认证推出很早期就已经通过；第二，百度也是在◆■★★◆“数据安全法”出来后■★★■◆★，首批通过数据安全管理认证DSM的企业；同时★★■，百度还是国内首家取得数据安全能力成熟度四级认证的企业。这些认证代表着，在数据安全与隐私保护上，百度已达到了国际及国内行业认可的安全管理和技术标准水平。

　　不访问未知网站■◆★◆：不要随意点击来路不明的链接，以防进入钓鱼网站或感染恶意软件★◆★◆，导致个人信息被盗取；

　　A◆◆◆★★：自2014年起◆◆◆■◆■，百度建立了漏洞收集及应急响应平台，公开邀请第三方安全技术专家以及用户来提交安全漏洞并开展修复■◆◆■，也非常感谢这些专家们。

　　妥善设置权限★◆★■■：合理设置社交平台的隐私选项；在安装应用程序时◆■★★★■，仔细查看并谨慎授予应用所需的权限，避免授予不必要的权限，如位置信息◆★★★、通讯录、摄像头、麦克风等权限；

　　3月20日下午，百度召开信息安全沟通会，针对事件的调查过程及结果进行现场说明，并展示经三方公证的■◆■◆“（2025）京精诚内经证字第 1642号”公证书★■★★◆。

　　我们在调查过程中，对他的“历史数据申请记录★■■◆”■★◆、“权限记录”、“数据访问记录”以及■■■◆“数据库服务器登录日志◆★■◆★★”等进行了调查和审计，确认其没有百度用户个人身份信息数据权限，也没有登录任何百度★■■“数据库”及“服务器”■◆。此外我们对其相关日志进行审计，在审计周期内未发现有异常访问行为。

　　同时★★■◆★，通过在社交媒体广泛流传的一张图片也印证了这一点◆◆■。标注图标处，即为一款在国外应用市场可下载的国外T某加密聊天软件的应用图标；也很容易识别出，图片中的界面和国外T某加密应用的界面是一模一样的◆◆■★。

　　最后，希望“开盒”不能成为网络攻击的“盒武器”◆◆◆★■■，让我们一起来维护网络安全防线，共同维护清朗的网络空间；让每一位网民都能安心、快乐地享受数字生活的美好★■★。

　　Q：百度在数据安全与隐私保护方面的投入情况？安全团队的专业性★■■★？是否具备应对复杂安全挑战的能力？