粉圈“开盒”引发百度信任危机，企业数据保护透明度亟待提升|南财合规周报（第183期）

（原标题：粉圈“开盒”引发百度信任危机，企业数据保护透明度亟待提升|南财合规周报（第183期））

21世纪经济报道记者王俊北京报道

每个周日，“合规周报”会盘点最近一周国外人工智能、科技竞争、个人信息保护方面值得关注的动态。

本周，我们重点关注由“开盒”引发的数据泄露风波。事件发生后百度多次回应无法平息舆情，背后是企业数据透明度不够的问题。南财合规科技研究院曾多次对头部平台App进行实测，发现多数企业个人信息保护社会责任报告披露不力，有企业并未发布专门个人信息保护社会报告、披露的颗粒度“蜻蜓点水”，这也导致了公众对企业数据保护工作感知度低，信任关系难以形成。一旦发生相关事件，舆情便迅速决堤。

同时，本周对于315曝光的AI骚扰电话的黑色产业链问题，中国移动、联通、电信回应；韵达因客户安全管理问题被国家邮政局立案调查。

1、 百度副总裁女儿“开盒”挂人后百度披露事件调查结果

本周，百度副总裁谢广军女儿“开盒”事件，引发公众对数据安全的高度关注。回顾整个时间经过：

第一阶段：3月12日，有博主发帖称，某位韩国明星“当天往返，魔鬼行程”。一网友在帖子下回复，认为该明星坐头等舱，算不上“魔鬼行程”。随后，该韩国明星粉丝“眼眸”对该回复进行辱骂，并“开盒挂人”，传播对方姓名、身份证号、电话、住址等个人隐私信息。

此后网友发现，“眼眸”曾发布一张在职证明，显示其父亲是百度副总裁。后网友经过对比，指出其父亲为百度高管谢广军女儿。

第二阶段：“百度高管”、“高额月收入证明”等迅速引起广泛关注，事情也从追星圈层蔓延至社会公众。在经过一轮对身份的讨论后，有网友称，在被人问及“开盒”的信息来源时，疑为“眼眸”的小号声称是“家长给的”，进一步掀起百度是否涉嫌泄露用户数据的风波。

第三阶段：该事发生后，谢广军在朋友圈承认自己13岁女儿开盒的事实，并称已经严肃批评女儿的行为，并向所有受影响的朋友道歉。但道歉并未平复舆论。

此后百度官方亦进行了几轮回应，并于3月20日召开信息安全沟通会。沟通会上，百度安全负责人陈洋详细披露“谢广军女儿开盒”事件调查结果。

几个重点：

一、网上流传的“当事人承认家长给她数据库”截图信息不实，事实是博主晒红包截图并回复“我家长给的”，本意说明红包来源，与“开盒”无关，事件后的大量传播信息均不实。

二、百度对当事员工多项权限和操作日志进行调查与审计，确认其无用户个人身份信息的数据权限，未登录数据库与服务器，开盒信息并非从百度泄露，此过程经三方现场公证。

南财点评：

“开盒”，即利用非法手段获得并公开曝光他人隐私数据与信息。随着网络暴力的升级，“开盒”逐渐从信息曝光演变为“人肉搜索＋系统性暴力”的结合体。

“开盒挂人”近年来屡见不鲜，乱象背后，早已有成熟的黑灰产业链。百度此次调查提及的数据泄露源头为社工库，是非法收集并整理了大量个人隐私信息的数据库，以付费的形式向隐藏用户开放查询，流转于海外Telegram电报群。

由于Telegram加密性强、安全性高，难以被破解，社工库就这样变换各种形式在Telegram“野火烧不尽”。

黑灰产难以根除的原因，除却Telegram本身难以监管外，整体个人信息保护体系建设不周是问题根源，个人信息被企业、机构等收集却保护不力，成了黑灰产的来源。

此次事件耐人寻味之处在于，百度屡屡澄清却无法平息舆论声浪，折射出公众对企业数据保护的信任危机。

坦陈而言，近年来伴随着三法一条例以及相关配套法规规章的落地，企业个人信息保护、数据安全水位线明显提升，但距离公众正向感知仍有差距。其背后与平台数据透明度不足有很大关系，南财合规科技研究院曾多次对头部平台App进行实测，结果发现个人信息保护社会责任报告披露不力，多家企业并未发布专门个人信息保护社会报告，且披露的颗粒度都是“蜻蜓点水”。

企业数据处理、保护对外透明度不够，公众感知度低，自然难以形成充分的信任关系。一旦出现舆情事件，这种不信任便成为一把利剑刺向了企业本身。而公众的信任，则在一次次“狼来了”的故事中消磨殆尽。

2、韵达因安全管理漏洞被立案调查

3月19日，国家邮政局发布消息称，韵达快递部分加盟企业对协议客户安全管理存在重大漏洞，导致涉诈骗宣传品进入寄递渠道，造成受害人重大财产损失。上海韵达货运有限公司对其加盟商管理缺位，负有未按规定实行安全保障统一管理责任，国家邮政局依法对上海韵达货运进行立案调查。

对此，韵达发布公告称，成立专项工作专班进行内部调查。针对公司加盟网点快递服务环节存在的管理问题，公司已立即部署整改工作；后续公司将持续强化管理及加盟网点管控，优化快递查验流程，加大对加盟网点的培训力度，提升识别伪装物品的专业能力，坚决杜绝此类事件再次发生。

3、AI骚扰电话的黑色产业链曝光三大运营商回应

央视3·15晚会曝光了AI骚扰电话的黑色产业链，暴露出运营商在监管、审核等方面存在的问题。在315曝光过后，中国移动、联通、电信大运营商也进行了集体回应，均宣布已经展开了内部自查，将对此类事件进行严格管控和治理。

4、强制“刷脸”住宿、“刷脸”进小区？人脸识别应用应采取非强制原则

本周，国家互联网信息办公室、公安部联合公布了《人脸识别技术应用安全管理办法》。

人脸信息是敏感个人信息，一旦泄露，容易对个人的人身和财产安全造成重大危害，甚至威胁公共安全。

此前，“刷脸”住宿、“刷脸”进小区等人脸识别技术应用场景泛化、强制使用等问题引起社会广泛关注，《办法》明确了人脸识别技术应用的非强制原则，规定实现相同目的或者达到同等业务要求，存在其他非人脸识别技术方式的，不得将人脸识别技术作为唯一验证方式。个人不同意通过人脸信息进行身份验证的，应当提供其他合理、便捷的方式。国家对应用人脸识别技术验证个人身份另有规定的，从其规定。

此外，《办法》对个人信息处理者应用人脸识别技术处理人脸信息备案做出要求：包括信息数量、备案时间、备案部门、备案材料、备案变更和注销五个方面。

一是信息数量方面，以“应用人脸识别技术处理的人脸信息存储数量达到10万人”为备案起始数量。二是备案时间方面，规定应当在应用人脸识别技术处理的人脸信息存储数量达到10万人之日起30个工作日内进行备案。三是备案部门方面，明确向所在地省级以上网信部门履行备案手续。四是备案材料方面，明确应当提交个人信息处理者的基本情况、人脸信息处理目的和处理方式、人脸信息存储数量和安全保护措施、人脸信息的处理规则和操作规程、个人信息保护影响评估报告五项材料。五是备案变更和注销方面，明确备案信息发生实质性变更的，应当在变更之日起30个工作日内办理备案变更手续。终止应用人脸识别技术的，应当在终止之日起30个工作日内办理注销备案手续，并依法处理人脸信息。