3月18日，百度安全負責人陳洋在公司內網就“副總謝廣軍女兒開盒事件”發表聲明，稱百度在數據安全設計上做了匿名化和權責分離，“謝廣軍完全沒有相關數據庫的任何權限”，該事件所涉個人信息泄露源頭並非百度。3月19日晚，百度在對外聲明中進行了再次強調。

　　公衆的質疑沒有被這份聲明平息，匿名化能否真正阻斷身份關聯？權責分離機制能否讓內鬼完全失去作祟的機會？關於這類疑問，公衆無從確認。

　　根據南都記者的調查，在海外社羣網站上，所謂的“社工庫”機器人能夠自動且免費地提供他人名字或手機號等基礎信息。如果花上數百元，便能買到戶籍截圖、婚史記錄、房產、銀行卡流水、開房同住人員、學籍學歷等信息。更讓人脊背發涼的是，羣裏還公然散佈着尋求與在銀行、互聯網公司等單位上班的人合作的廣告帖。

　　我們的個人信息到底是怎麼流出去的？

　　個人主動暴露是最平常的渠道。不管是快遞盒上的地址、電話，還是社交媒體上分享的定位和生活細節，都可能在無意間泄露住址、行動軌跡、愛好、家庭關係、容貌等個人信息。近年來隨着人們隱私保護意識的提高，不少人已經學會了謹慎透露個人信息，在互聯網上做個“神祕人”。另外，個人主動暴露的信息終究是零散的，收集起來難免費力，要想做到像“社工庫”這樣大體量的信息收集，免不了用點非常手段。

　　網絡平臺系統並非鐵板一塊，黑客通過利用漏洞，能夠大批量盜取用戶數據，進而倒手賣給這條黑灰產業鏈的下游，經整合後，“社工庫”的基本功能就成立了。來自奇安信的數據顯示，2024年全年境內政企機構共發生個人信息泄露風險事件112起，涉及個人信息數據266.9億條。以目前高度線上化的生活方式而言，個人生活、人際關係的全貌幾乎可以被完整地拼湊出來。

　　相較於攻擊系統，串通內鬼這個辦法不存在多高的技術門檻。2020年7月，某快遞企業員工私自向不法分子有償出借工作賬號，致使超過40萬條公民個人信息泄露。內部員工或離職人員利用職務便利獲取公民信息的事件時有發生，南都報道中提到的“招工”廣告也能側面證實這一點。那些只有內部員工才能調取的信息往往是極隱祕和重要的，背後必定存在員工權限過高、安全日誌審覈機制不足、流動人員權限回收滯後等隱患。

　　公民個人信息也就是在這些方式的運作下被一點一點地偷走。更要命的是，不法分子利用“社工庫”做出的惡行顯然不會止步於開盒網暴，掌握大量個人信息後，小到電話騷擾，大到詐騙、盜刷銀行卡、被冒用信息形成失信甚至揹負法律責任都會是信息泄露產生的蝴蝶效應。

　　人們如今常用“裸奔”來比喻個人信息的暴露程度，這句玩笑話透露着深深的無奈。企業必須本着“最小必要原則”收集用戶數據、正視內部權限管理中的灰色地帶；執法機關有必要建立跨國數據犯罪打擊機制，嚴懲黑產參與者；作爲公民，除了以“最小必要”在網絡上傳個人信息，更要將提升數字素養和倫理提上日程，釐清行爲邊界，堅決拒絕相關違法行爲。我們都是“盒子裏的人”，守好“鑰匙”才能守住安全和尊嚴。

（文章來源：南方都市報）