3月20日，為解答“開盒”風波後外界產生的資訊安全疑慮，百度召開安全溝通會釋疑並復盤了該新聞事件的全過程。

據悉，百度方面自3月17日淩晨接到外部舉報后，便成立技術調查組展開內一排查，確認當事人沒有百度用戶個人身份信息的數據許可權，也未訪問過任何百度資料庫與伺服器。經核實，確認開盒信息並非從百度洩露。

“任何職級員工都無許可權觸碰用戶數據，即使是我也沒有相關許可權”，溝通會上，身穿印有“很安全”字樣部門工服的百度安全負責人陳洋表示。

在排除內部數據洩露可能後，百度快速定位“開盒”相關數據源頭是海外灰產組織“社工庫”。經輿論發酵，該組織目前已停止運作。

百度將使用者安全放在首位

移動互聯網時代，使用者使用互聯網公司開發的應用普遍需要開放許可權。本次風波中，社會情緒的關注點也在於互聯網公司的員工能否調取查看個人隱私資訊。

針對這個疑問，陳洋介紹了百度內部有可能訪問數據的三個方式，分別是數據系統、伺服器以及辦公系統。任何系統的登錄均需要有相應許可權，且訪問與資訊調取均會留下訪問日誌，因此百度得以快速排除當事人的嫌疑。

針對網友對個人數據安全的疑問，陳洋進一步表示，所有在百度相關產品註冊的用戶自個人信息註冊階段，其原始數據便會進行即時的假名化處理，而原始數據則單獨加密隔離並設置多重“金鑰”保護。“金鑰”分別由不同部門的不同個人保管，確保即使有人擁有訪問數據的許可權，在許可權分離與統一管控的情況下，也無法調取任何一個用戶的個人數據。

這個持續反覆運算的資訊安全系統是用戶個人數據的第一道防線，在此基礎上，百度還由設置了安全部門、內審部、稽核部、職業道德建設部等部門多方風控，以及定期開展安全培訓和攻防演練。百度方面強調，自百度成立的20多年以來，其未曾出現過任何數據洩露及資訊安全問題。

為查漏補缺，百度早在2014年便向社會發起“漏洞獎勵計劃”，邀請各界安全專家及使用者提交信息系統可能存在的漏洞。

此外，百度亦積极參加海內外的互聯網資訊安全標準建設，聯合行業共同創建了80余項安全標準，通過了104項國家級安全認證。據悉，百度是在《數據安全法》出臺後，首批通過數據安全管理人DSM的企業，以及國內首家數據安全承受過四級認證的企業。

“我們部門工服上的‘很安全’不是為今天準備的，每個人入職的時候都會收到這件工服，因為我們把使用者安全永遠放在首位”，陳洋表示。

溝通會上，百度展示了經三方公證的“（2025）京精誠內經證字第 1642號”公證書，證實事件與百度無關。

個人資訊安全保護刻不容緩

繼核實“開盒”事件始末後，百度逐一解答了媒體關於用戶個人隱私的種種疑問。

陳洋表示，個人隱私資訊通常有三種洩露途徑：一是駭客入侵網站漏洞後進行抓取；二是黑灰產人士利用爬蟲爬取；三是通過數據交易被獲取。前兩種是較為常見的方式，駭客攻擊有漏洞的網站後，直接將網站的全量資料庫下載下來，以碰撞的方式將未加密或弱加密的密碼明文解密，而後便可以憑帳號與密碼“撞庫”獲取其他網站或應用的帳號。

由於互聯網企業的資訊安全技術愈發成熟，灰產組織寄希望於前兩種途徑獲取個人資訊變得越發困難。因此，目前灰產市場上流轉的個人資訊有相當一部分源自多年前。

自當下用戶數據的全生命週期來看，最有可能導致信息洩露的薄弱環節是數據採集環節，即使用安裝使用App、IoT設備時開放的通訊錄、相冊等許可權。百度方面呼籲，使用者應警惕未在正規應用市場上架的任何應用。

此外，針對“開盒事件”發生后在網上流傳的“當事人承認家長給她資料庫”截圖，百度核實后發現，該截圖的信息內容不實，其原意為博主收到家人紅包后，在平臺曬出微信紅包截圖，博主回復“我家長給的”，本意是想說明紅包的來源，與“開盒”無關。據核實，事件發生后的大量傳播資訊均為不實。

數據時代高速發展，個人資訊安全亦常溫常新。百度方面表示，在相關政府部門的指導下，願意積極回應和倡議推進“反開盒”聯盟的成立，共同加強數據隱私防護，嚴厲打擊非法數據竊取及洩露行為。