新京報(bào)訊 據(jù)百度官微消息,3月20日下午,百度召開信息安全溝通會(huì),針對(duì)事件的調(diào)查過程及結(jié)果進(jìn)行現(xiàn)場(chǎng)說明,并展示經(jīng)三方公證的“(2025)京精誠內(nèi)經(jīng)證字第 1642號(hào)”公證書。


百度安全負(fù)責(zé)人陳洋表示,百度任何職級(jí)的員工及高管均無權(quán)限觸碰用戶數(shù)據(jù)。



溝通會(huì)現(xiàn)場(chǎng),陳洋詳細(xì)披露了事件調(diào)查結(jié)果


事件發(fā)生以來,百度對(duì)當(dāng)事員工的“歷史數(shù)據(jù)申請(qǐng)記錄”“權(quán)限記錄”“數(shù)據(jù)查詢”等多項(xiàng)權(quán)限和操作日志進(jìn)行了調(diào)查與審計(jì),確認(rèn)其沒有百度用戶個(gè)人身份信息的數(shù)據(jù)權(quán)限,也未登錄任何百度數(shù)據(jù)庫與服務(wù)器。經(jīng)核實(shí),確認(rèn)開盒信息并非從百度泄露。該過程,全程經(jīng)過三方現(xiàn)場(chǎng)公證。


針對(duì)“開盒事件”發(fā)生后網(wǎng)上流傳的“當(dāng)事人承認(rèn)家長給她數(shù)據(jù)庫”截圖,經(jīng)核實(shí)發(fā)現(xiàn),該截圖的信息內(nèi)容不實(shí),事實(shí)為博主收到家人紅包后,在平臺(tái)曬出紅包截圖,博主回復(fù)“我家長給的”,本意是想說明紅包的來源,與“開盒”無關(guān),事件發(fā)生后的大量傳播信息均為不實(shí)。


同時(shí),陳洋詳細(xì)講解了百度針對(duì)數(shù)據(jù)安全的多項(xiàng)防護(hù)措施


◎ 用戶注冊(cè)賬號(hào)階段,即實(shí)施假名化處理,降低數(shù)據(jù)泄露風(fēng)險(xiǎn),提高數(shù)據(jù)合規(guī)性;


◎ 對(duì)數(shù)據(jù)實(shí)施加密,對(duì)敏感數(shù)據(jù)進(jìn)行嚴(yán)格隔離,并依托數(shù)據(jù)安全管理平臺(tái),實(shí)現(xiàn)數(shù)據(jù)管理、權(quán)限控制及安全審計(jì)的統(tǒng)一管控;


◎ 遵循國際公認(rèn)的風(fēng)險(xiǎn)控制理念,建立“基礎(chǔ)防守”“制度&能力&風(fēng)險(xiǎn)專項(xiàng)”“稽查&內(nèi)部審計(jì)”三道安全防線。


截至目前,百度已先后參與編制80多項(xiàng)國際及國內(nèi)安全標(biāo)準(zhǔn),累計(jì)獲得104項(xiàng)權(quán)威安全認(rèn)證。


百度表示,在相關(guān)政府部門的指導(dǎo)下,積極響應(yīng)和倡議推進(jìn)“反開盒”聯(lián)盟的成立,共同加強(qiáng)數(shù)據(jù)隱私防護(hù),嚴(yán)厲打擊非法數(shù)據(jù)竊取及泄露行為,筑牢網(wǎng)絡(luò)安全防線,共同維護(hù)清朗網(wǎng)絡(luò)空間。


以下為溝通會(huì)的部分現(xiàn)場(chǎng)實(shí)錄:


Q:“開盒事件”的詳細(xì)調(diào)查過程如何?調(diào)查過程是否有第三方公證?


A:3月17日,我們接到外部舉報(bào),并立即成立了一個(gè)由內(nèi)部安全專家組成的獨(dú)立專項(xiàng)小組,開展調(diào)查與審計(jì)工作。小組成員與當(dāng)事人之間不存在任何利益關(guān)系。


經(jīng)過對(duì)各個(gè)系統(tǒng)的反復(fù)審計(jì),我們很快得出了結(jié)論。于18日,在公司內(nèi)網(wǎng)分享了調(diào)查結(jié)果:經(jīng)過嚴(yán)格的數(shù)據(jù)安全審計(jì),排除謝廣軍泄露嫌疑,并定位了真實(shí)泄露渠道。


我們?cè)谡{(diào)查過程中,對(duì)他的“歷史數(shù)據(jù)申請(qǐng)記錄”“權(quán)限記錄”“數(shù)據(jù)訪問記錄”以及“數(shù)據(jù)庫服務(wù)器登錄日志”等進(jìn)行了調(diào)查和審計(jì),確認(rèn)其沒有百度用戶個(gè)人身份信息數(shù)據(jù)權(quán)限,也沒有登錄任何百度“數(shù)據(jù)庫”及“服務(wù)器”。此外我們對(duì)其相關(guān)日志進(jìn)行審計(jì),在審計(jì)周期內(nèi)未發(fā)現(xiàn)有異常訪問行為。


那么,開盒事件中的數(shù)據(jù)究竟來自哪里呢?我們從多個(gè)維度展開調(diào)查。首先,對(duì)被舉報(bào)人進(jìn)行了問詢,他的女兒透露了她的“開盒”渠道,并提供了一個(gè)路徑。只要在海外網(wǎng)站上進(jìn)行搜索,就可以找到這條路徑,并且通過這個(gè)路徑很容易進(jìn)入社工庫。


同時(shí),通過在社交媒體廣泛流傳的一張圖片也印證了這一點(diǎn)。標(biāo)注圖標(biāo)處,即為一款在國外應(yīng)用市場(chǎng)可下載的國外T某加密聊天軟件的應(yīng)用圖標(biāo);也很容易識(shí)別出,圖片中的界面和國外T某加密應(yīng)用的界面是一模一樣的。


但只是這樣也不足為信,我們必須要復(fù)現(xiàn)這個(gè)過程,并最終通過公證機(jī)構(gòu)對(duì)該過程進(jìn)行公證,以確保其法律效力和公信力。


(2025)京精誠內(nèi)經(jīng)證字第 1642 號(hào)公證書


果不其然,過去幾天,因?yàn)槊襟w鋪天蓋地的報(bào)道,我們發(fā)現(xiàn)這個(gè)社工庫今天早上暫停了,這個(gè)結(jié)果也是保護(hù)了一些人。


Q:百度采取了哪些具體的技術(shù)和管理措施來保護(hù)數(shù)據(jù)安全?百度的數(shù)據(jù)訪問權(quán)限是怎么設(shè)定的?


A:我們現(xiàn)在實(shí)施的安全體系比較復(fù)雜,以一個(gè)場(chǎng)景舉例,我們實(shí)施了假名化的處理。用戶剛剛注冊(cè)時(shí),我們會(huì)給他生成系統(tǒng)內(nèi)對(duì)應(yīng)的假名系統(tǒng)ID,只有這個(gè)ID,是不知道他是誰的。


在系統(tǒng)里,我們是用假名去做流轉(zhuǎn),任何業(yè)務(wù)系統(tǒng)中都不存在這個(gè)信息。然后,我們把所有信息專門抽離,成為一個(gè)賬號(hào)系統(tǒng)。當(dāng)然,所有大的互聯(lián)網(wǎng)企業(yè)都在這么做,所以只做假名化處理還遠(yuǎn)遠(yuǎn)不夠,這些所有敏感信息都會(huì)進(jìn)行加密。數(shù)據(jù)是加密的,無法被使用,因?yàn)榧用艿蔫€匙是隔離存儲(chǔ)和管理的。也就是說我們有兩把鑰匙,這兩把鑰匙分別加密著不同的數(shù)據(jù),同時(shí)我們還通過數(shù)管平臺(tái)對(duì)權(quán)限進(jìn)行統(tǒng)一管理和權(quán)限分離,只有鑰匙配合權(quán)限一起才能使用。


這只是第一層的防護(hù),是技術(shù)手段。(我們)在內(nèi)部不斷進(jìn)行攻防演練,用黑客的視角查找我們的系統(tǒng)有沒有安全隱患,如果有隱患第一時(shí)間修復(fù),形成這一套不斷演進(jìn)的安全技術(shù)防御體系。


為了讓我們的系統(tǒng)更安全,我們還要建立第二道的制度策略,也就是管理防線;還有第三道防線,是職業(yè)道德稽查的防線,定期對(duì)敏感的行為做審計(jì),看有沒有異常訪問行為,這三套防線也是對(duì)應(yīng)國際公認(rèn)的風(fēng)險(xiǎn)控制的理念。通過三道防線和前面的一套數(shù)據(jù)安全的體系去保障數(shù)據(jù)安全。


Q:百度在數(shù)據(jù)安全與隱私保護(hù)方面的投入情況?安全團(tuán)隊(duì)的專業(yè)性?是否具備應(yīng)對(duì)復(fù)雜安全挑戰(zhàn)的能力?


A:自2014年起,百度建立了漏洞收集及應(yīng)急響應(yīng)平臺(tái),公開邀請(qǐng)第三方安全技術(shù)專家以及用戶來提交安全漏洞并開展修復(fù),也非常感謝這些專家們。


不僅如此,百度還積極地參加國內(nèi)外各種安全標(biāo)準(zhǔn)的建設(shè),先后參編了國內(nèi)外80多項(xiàng)安全類標(biāo)準(zhǔn),并且通過了104項(xiàng)權(quán)威安全認(rèn)證。其中一些具有代表性的認(rèn)證,例如,個(gè)人信息保護(hù)認(rèn)證PIP,這是“個(gè)人信息保護(hù)法”發(fā)布以后專門針對(duì)個(gè)人信息保護(hù)的國家級(jí)認(rèn)證,百度在認(rèn)證推出很早期就已經(jīng)通過;第二,百度也是在“數(shù)據(jù)安全法”出來后,首批通過數(shù)據(jù)安全管理認(rèn)證DSM的企業(yè);同時(shí),百度還是國內(nèi)首家取得數(shù)據(jù)安全能力成熟度四級(jí)認(rèn)證的企業(yè)。這些認(rèn)證代表著,在數(shù)據(jù)安全與隱私保護(hù)上,百度已達(dá)到了國際及國內(nèi)行業(yè)認(rèn)可的安全管理和技術(shù)標(biāo)準(zhǔn)水平。


在技術(shù)管理之外,深化全體員工對(duì)信息安全與隱私保護(hù)領(lǐng)域的認(rèn)知與重視至關(guān)重要。在百度,除了新入職的同學(xué)會(huì)100%接受安全培訓(xùn)和考核外,我們每年還組織統(tǒng)一的全員安全意識(shí)考核考試,要求全員必須100%的通過率,事實(shí)上我們也做到了。此外,自2014年起,值每年國家網(wǎng)絡(luò)安全宣傳周期間,百度也會(huì)配合組織面向全員的“安全宣傳月”活動(dòng),集中強(qiáng)化全體員工的安全意識(shí)與攻防技能。每年安全月的參與人數(shù)超過7萬人次。此外,我們還通過常態(tài)化的模擬真實(shí)網(wǎng)絡(luò)釣魚攻擊,讓員工在實(shí)戰(zhàn)中提升網(wǎng)絡(luò)安全攻防技能。


Q:此次事件引發(fā)了外界對(duì)數(shù)據(jù)隱私的擔(dān)憂,作為普通用戶應(yīng)如何保護(hù)自己的隱私?有哪些建議?


A:這里談一下普通用戶應(yīng)該如何去保護(hù)自己的隱私:


◎ 謹(jǐn)慎分享個(gè)人信息:在社交媒體和其他網(wǎng)絡(luò)平臺(tái)上,避免泄露真實(shí)身份信息;


◎ 妥善設(shè)置權(quán)限:合理設(shè)置社交平臺(tái)的隱私選項(xiàng);在安裝應(yīng)用程序時(shí),仔細(xì)查看并謹(jǐn)慎授予應(yīng)用所需的權(quán)限,避免授予不必要的權(quán)限,如位置信息、通訊錄、攝像頭、麥克風(fēng)等權(quán)限;


◎ 不訪問未知網(wǎng)站:不要隨意點(diǎn)擊來路不明的鏈接,以防進(jìn)入釣魚網(wǎng)站或感染惡意軟件,導(dǎo)致個(gè)人信息被盜??;


◎ 多樣化網(wǎng)名與密碼策略:在不同平臺(tái)盡量使用不同的賬戶名和密碼,在游戲中或其他網(wǎng)絡(luò)社區(qū)中,保持匿名或使用昵稱,減少被搜索到的可能性;


◎ 使用安全的密碼管理工具:避免使用簡單容易猜到的密碼,如姓名縮寫、生日、電話號(hào)碼等。可以采用密碼管理工具管理密碼;


◎ 提高警惕意識(shí):不輕易相信陌生人的請(qǐng)求和信息,對(duì)于一些不明來源的調(diào)查、問卷、抽獎(jiǎng)等活動(dòng)要保持警惕,避免因貪圖小便宜而泄露個(gè)人信息。同時(shí),要關(guān)注個(gè)人信息保護(hù)的相關(guān)法律法規(guī)和安全知識(shí),不斷提高自身的隱私保護(hù)意識(shí)和能力。


Q:下一步,百度在信息安全保護(hù)方面有哪些具體的計(jì)劃和舉措?


A:我們承諾,在相關(guān)政府部門指導(dǎo)下,百度愿聯(lián)合網(wǎng)絡(luò)安全行業(yè)及社會(huì)組織,共同推進(jìn)“反開盒聯(lián)盟”建設(shè),通過技術(shù)手段協(xié)助受害者應(yīng)對(duì)隱私泄露問題,并協(xié)同打擊黑灰產(chǎn)鏈條。盡管這不是一朝一夕能實(shí)現(xiàn)的,但我們要共同努力。


最后,希望“開盒”不能成為網(wǎng)絡(luò)攻擊的“盒武器”,讓我們一起來維護(hù)網(wǎng)絡(luò)安全防線,共同維護(hù)清朗的網(wǎng)絡(luò)空間;讓每一位網(wǎng)民都能安心、快樂地享受數(shù)字生活的美好。


百度已于3月20日正式設(shè)立“打擊網(wǎng)絡(luò)黑產(chǎn)專項(xiàng)基金”,該基金將用于保護(hù)公民合法權(quán)益與企業(yè)數(shù)據(jù)安全,遏制信息泄露、網(wǎng)絡(luò)詐騙等違法行為,進(jìn)一步鏟除網(wǎng)絡(luò)犯罪的滋生土壤,切斷非法利益鏈條,營造清朗健康的網(wǎng)絡(luò)生態(tài)環(huán)境。


編輯 李憶林子