昨日（3月18日），百度安全负责人陈洋在公司内网就“副总谢广军女儿开盒事件”发表声明，称经调查后得出结论，该事件所涉个人信息泄露源头并非百度，在多个海外社工库中可以轻易找到大量微博用户的个人信息，且很多是免费的。

近日，百度副总裁谢广军女儿在网上多次“开盒”网友一事引发广泛关注。涉事13岁女生通过非法手段恶意公开他人身份证号、手机号、家庭住址等信息，引导并实施网络暴力，并且疑似称“开盒”所需的个人信息来源于自己的父亲。此事不仅引发网友对隐私泄露的担忧，还对百度数据库的安全性表示质疑。

13岁未成年人参与“开盒”，需要承担怎样的责任？整治“开盒”有何难点？有律师告诉南都·隐私护卫队，该事件中的“开盒”行为涉嫌侵害他人名誉权、姓名权、肖像权等人格权，涉事女生或涉嫌传播他人隐私信息，应由其监护人代替承担向被侵权人赔礼道歉、赔偿损失等民事责任。

百度称副总女儿“开盒”事件与公司无关

3月17日，一条名为“百度副总裁谢广军道歉”的词条引爆微博热搜。据了解，近日多名网友爆料称，微博用户@你的眼眸是世界上最小的湖泊（下简称“眼眸”）自2024年以来，多次在粉丝圈“开盒”他人，即在网络上恶意公开他人隐私信息，引导和实施骚扰、造谣、辱骂等行为。

“眼眸”公开网友隐私信息 图源微博

3月上旬，“眼眸”参与了对一名孕妇网友的“开盒”和网暴，该孕妇的身份证号、手机号、家庭住址等信息被曝光，后因不堪骚扰注销了账号。

其后，网友根据“眼眸”多个社交账号上发布的信息，推断出其真实身份疑为百度副总裁谢广军的女儿，目前13岁，在加拿大留学。另外还有网友指称，在被人问及“开盒”的信息来源时，疑为“眼眸”的其他小号声称是“家长给的”，进一步引发百度是否涉嫌泄露用户数据的相关讨论。

疑似“眼眸”小号称信息来源于其父亲 图源微博

网友据“眼眸”发布信息推测出其身份 图源微博

3月17日，百度副总裁谢广军在微信朋友圈发文，承认女儿在网上与人争执后将他人隐私信息发布在社交媒体上，而这些信息来源于海外社群网站。他表示女儿的心智尚未成熟，在冲动中做出了错误决定，已严肃批评女儿的行为，并向所有受影响的朋友道歉。目前，“眼眸”账号已被平台封禁。

不过，这份道歉似乎并未平息网友的怒火。当日，疑为“眼眸”其他账号的各种不当言论被扒出，对谢广军声称的“开盒”信息来源表示质疑。

3月18日下午，百度副总裁、安全负责人陈洋在内网发帖回应谢广军女儿“开盒”一事。陈洋称在当天的网络安全产业专家会上，他已经和与会的外部安全专家进行了情况说明，百度在内部成立调查组进行了严格的调查，“从结果上看，确实不是谢广军干的，也不是从百度泄露的。”

陈洋表示，从数据安全设计上来讲，从一开始就对数据做了匿名化、假名化，还做了种种的权限分离，任何人都是没有这个权限的，“我们的调查结果看，也是确认谢广军完全没有相关数据库的任何权限，从操作行为日志看，也没有做这样的事情的尝试。”

对于数据的泄漏源，陈洋称，“我们去调查还原了这么一个小女孩的过程，结果还是比较令人吃惊的。我们在海外的Telegram电报群里面，找到了很多的社工库，通过社工库查询微博上的一些人的信息，确实可以查到，而且好多信息都是免费的。此外我们还随机试了几个身边的人，确实也都可以查，而且成本很低，几块钱就可以。很多是免费。这整个过程我们也已经去做了公证了。”

陈洋表示，通过对谢广军女儿行为的还原，她“开盒”的信息来源是海外Telegram电报群的社工库。南都记者查询发现，在Telegram电报群上，有大量免费或者付费的社工库，通过输入微博号、QQ号、微信号等信息，就可以获得当事人的姓名、性别、手机号、身份证号、快递地址、收件姓名等。

据了解，“开盒”行为的实施往往依赖于“社工库”等非法数据聚合库，这些信息多来源于历史数据泄露、钓鱼攻击或黑市交易，而非企业实时数据库。快递单上未涂抹的电话、社交平台晒出的定位、免费WiFi窃取的数据……这些碎片信息经“社工库”整合，足以拼凑出完整的个人画像。此外，未成年人参与“开盒”的案例频现，也暗示着网络暴力已呈现低龄化、工具化趋势。

南都·隐私护卫队梳理发现，近年来违法“开盒”案件时有发生。2023年，B站通报的一起案例显示，某群体在境外平台有组织地煽动用户对站内UP主进行“人肉开盒”，他们不仅在线上公开UP主个人信息，还对其进行电话私信骚扰、网暴攻击、恶意举报等。后经查实，该侵权案件牵涉18个省市，共计40余名违法者，主要活动人员为未成年人。

同年5月，有博主拍摄“处刑式虐猫”视频并上传至网络贩卖，引发关注。而据网传截图显示，张馨予、赵露思、王一博等多位演员表态反对虐待动物，结果社保卡、手机号等个人信息遭到曝光。9月，主持人杨迪发文称自己被“开盒”，个人信息遭到泄露，很多人打来骚扰电话，他不得已换了手机号。

“开盒”涉嫌侵害他人名誉权、姓名权、肖像权

“开盒”类似于“人肉搜索”，意为揭露互联网账号背后之人的真实身份，就像“开盲盒”一样。卷入纠纷的被“开盒”者在网上的信息记录和行为轨迹一旦遭到曝光，很难免于骚扰、谩骂、造谣等。此事件中谢广军提到的海外社工库和网友质疑的“平台数据库泄露”，都是“开盒”所需个人信息的重要来源。

浙江理工大学数据法治研究院副院长郭兵曾告诉南都·隐私护卫队，“人肉开盒”的上游是信息泄露，而近年来超大规模信息泄露的舆情屡见不鲜。“实际上大部分泄露的个人信息数据已经流入暗网当中，暗网当中存在着各种渠道的个人信息交易。对此类违法交易打击的难点就在于，信息泄密源头很难确定。”

郭兵还表示，尽管个人信息保护法颁行已有数年，但个人信息的违法和侵权行为仍然普遍存在，甚至已经大规模延伸到未成年人群体，此类事件充分暴露出当前法律在施行实效上的不足。

上海中联律师事务所合伙人杨瑾煜舟也提过打击泄密溯源的难度。他指出，被害人可能基于隐私等原因，即便成为受害者也不愿意主动报案或披露相关信息；个人信息一旦被泄露后，被利用与传播的途径是非常多样与快速变化的，很难进行溯源与追踪；因为个人信息被泄漏导致的危害后果很难直接或立即体现，这也给裁判相关案件带来难度。

13岁的“眼眸”多次“开盒”网暴网友，应该承担哪些责任？

北京乾成律师事务所律师王琮玮告诉南都·隐私护卫队，该事件中，涉事女生通过“开盒”实施侵权行为，并给他人造成损害，可能涉及两方面法律责任。一是“开盒”涉嫌侵害他人名誉权、姓名权、肖像权等人格权，需为此承担责任，二是根据“开盒”过程中获取个人信息的途径，需承担对应责任。

她解释，如依谢广军所言，“开盒”行为公布的信息来自海外社群网站，涉事女生或涉嫌传播他人隐私信息，但由于其年龄不满14周岁，可能免于承担法律责任，应由其监护人代替承担向被侵权人赔礼道歉、赔偿损失等民事责任。如果涉事女生“开盒”所需个人信息系谢广军利用职务之便，泄露、获取而来，那么谢广军或需承担个人信息泄露的相关法律责任。

值得一提的是，“眼眸”3月15日发布的一条博文称，自己身在加拿大，不怕国内网友就“开盒”行为报警投诉。对此王琮玮表示，只要是中华人民共和国公民，就要受我国法律约束，身处国外并不妨碍追究其侵权行为的法律责任。

“眼眸”称不怕网友报警。图源微博

监管层面屡出重拳整治“开盒挂人”

近年来，由“开盒”引发的隐私泄露、网络暴力事件频频上演，为抵制这类违法行为，监管方面动作不断。

2023年9月，最高人民法院、最高人民检察院、公安部联合发布关于依法惩治网络暴力违法犯罪的指导意见，其中提及：组织“人肉搜索”，违法收集并向不特定多数人发布公民个人信息，情节严重，符合刑法第二百五十三条之一规定的，以侵犯公民个人信息罪定罪处罚。

2024年8月，《网络暴力信息治理规定》正式施行。其中规定，任何组织和个人不得制作、复制、发布、传播涉网络暴力违法信息，应当防范和抵制制作、复制、发布、传播涉网络暴力不良信息。对于违反者，网络信息服务提供者应当依法依约采取警示、删除信息、限制账号功能、关闭账号等处置措施，并保存相关记录；对组织、煽动、多次发布网络暴力信息的，网络信息服务提供者还应当依法依约采取列入黑名单、禁止重新注册等处置措施。

整治“开盒挂人”现象，网络平台也负有责任。上述规定还明确，网络信息服务提供者应当制定和公开管理规则、平台公约，与用户签订服务协议，明确网络暴力信息治理相关权利义务，并依法依约履行治理责任。建立健全网络暴力信息特征库和典型案例样本库，采用人工智能、大数据等技术手段和人工审核相结合的方式加强对网络暴力信息的识别监测。

南都·隐私护卫队梳理发现，自2023年起，各监管部门将整治“人肉开盒”作为网络治理重点内容，并取得了一系列成果。

在今年1月公安部举行的新闻发布会上，发言人张明称2024年持续开展打击整治网络暴力专项行动，对“开盒挂人”“短信轰炸”“编造黄谣”“有偿代骂”等重拳出击。2024年，全国公安机关共办理网络暴力案件8600余起，依法采取刑事强制措施2500余人，行政处罚8500余人。

中央网信办多次在“清朗”行动中聚焦“开盒”行为治理。在2024年10月通报的“清朗·2024年暑期未成年人网络环境整治”专项行动成果中，提到集中整治针对未成年人的“开盒挂人”乱象。该行动期间，累计清理拦截涉未成年人违法不良信息430万余条，处置账号13万余个，关闭下架网站平台2000余个。

责编：颜青

一审：姚懿轩

二审：唐能

三审：赵雨杉

来源：南方都市报（nddaily）、N视频报道