3月20日下午，百度召開信息安全溝通會，針對事件的調查過程及結果進行現場說明，并展示經三方公證的“（2025）京精誠內經證字第 1642號”公證書。

百度安全負責人陳洋表示，百度任何職級的員工及高管均無權限觸碰用戶數據。

溝通會現場，陳洋詳細披露了事件調查結果：

事件發生以來，百度對當事員工的“歷史數據申請記錄”、“權限記錄”、“數據查詢”等多項權限和操作日志進行了調查與審計，確認其沒有百度用戶個人身份信息的數據權限，也未登錄任何百度數據庫與服務器。經核實，確認開盒信息并非從百度泄露。該過程，全程經過三方現場公證。

針對“開盒事件”發生后網上流傳的“當事人承認家長給她數據庫”截圖，經核實發現，該截圖的信息內容不實，事實為博主收到家人紅包后，在平臺曬出紅包截圖，博主回復“我家長給的”，本意是想說明紅包的來源，與“開盒”無關，事件發生后的大量傳播信息均為不實。

同時，陳洋詳細講解了百度針對數據安全的多項防護措施：

用戶注冊賬號階段，即實施假名化處理，降低數據泄露風險，提高數據合規性；

對數據實施加密，對敏感數據進行嚴格隔離，并依托數據安全管理平臺，實現數據管理、權限控制及安全審計的統一管控；

遵循國際公認的風險控制理念，建立“基礎防守”、“制度&能力&風險專項”、“稽查&內部審計”三道安全防線。

截至目前，百度已先后參與編制80多項國際及國內安全標準，累計獲得104項權威安全認證。

百度表示，在相關政府部門的指導下，積極響應和倡議推進“反開盒”聯盟的成立，共同加強數據隱私防護，嚴厲打擊非法數據竊取及泄露行為，筑牢網絡安全防線，共同維護清朗網絡空間。

以下為溝通會的部分現場實錄：

Q：“開盒事件”的詳細調查過程如何？調查過程是否有第三方公證？

A：3月17日，我們接到外部舉報，并立即成立了一個由內部安全專家組成的獨立專項小組，開展調查與審計工作。小組成員與當事人之間不存在任何利益關系。

經過對各個系統的反復審計，我們很快得出了結論。于18日，在公司內網分享了調查結果：經過嚴格的數據安全審計，排除謝廣軍泄露嫌疑，并定位了真實泄露渠道。

我們在調查過程中，對他的“歷史數據申請記錄”、“權限記錄”、“數據訪問記錄”以及“數據庫服務器登錄日志”等進行了調查和審計，確認其沒有百度用戶個人身份信息數據權限，也沒有登錄任何百度“數據庫”及“服務器”。此外我們對其相關日志進行審計，在審計周期內未發現有異常訪問行為。

那么，開盒事件中的數據究竟來自哪里呢？我們從多個維度展開調查。首先，對被舉報人進行了問詢，他的女兒透露了她的“開盒”渠道，并提供了一個路徑。只要在海外網站上進行搜索，就可以找到這條路徑，并且通過這個路徑很容易進入社工庫。

同時，通過在社交媒體廣泛流傳的一張圖片也印證了這一點。標注圖標處，即為一款在國外應用市場可下載的國外T某加密聊天軟件的應用圖標；也很容易識別出，圖片中的界面和國外T某加密應用的界面是一模一樣的。

但只是這樣也不足為信，我們必須要復現這個過程，并最終通過公證機構對該過程進行公證，以確保其法律效力和公信力。

（2025）京精誠內經證字第 1642 號公證書

果不其然，過去幾天，因為媒體鋪天蓋地的報道，我們發現這個社工庫今天早上暫停了，這個結果也是保護了一些人。

Q：百度采取了哪些具體的技術和管理措施來保護數據安全？百度的數據訪問權限是怎么設定的？

A：我們現在實施的安全體系比較復雜，以一個場景舉例，我們實施了假名化的處理。用戶剛剛注冊時，我們會給他生成系統內對應的假名系統ID，只有這個ID，是不知道他是誰的。

在系統里，我們是用假名去做流轉，任何業務系統中都不存在這個信息。然后，我們把所有信息專門抽離，成為一個賬號系統。當然，所有大的互聯網企業都在這么做，所以只做假名化處理還遠遠不夠，這些所有敏感信息都會進行加密。數據是加密的，無法被使用，因為加密的鑰匙是隔離存儲和管理的。也就是說我們有兩把鑰匙，這兩把鑰匙分別加密著不同的數據，同時我們還通過數管平臺對權限進行統一管理和權限分離，只有鑰匙配合權限一起才能使用。

這只是第一層的防護，是技術手段。（我們）在內部不斷進行攻防演練，用黑客的視角查找我們的系統有沒有安全隱患，如果有隱患第一時間修復，形成這一套不斷演進的安全技術防御體系。

為了讓我們的系統更安全，我們還要建立第二道的制度策略，也就是管理防線；還有第三道防線，是職業道德稽查的防線，定期對敏感的行為做審計，看有沒有異常訪問行為，這三套防線也是對應國際公認的風險控制的理念。通過三道防線和前面的一套數據安全的體系去保障數據安全。

Q：百度在數據安全與隱私保護方面的投入情況？安全團隊的專業性？是否具備應對復雜安全挑戰的能力？

A：自2014年起，百度建立了漏洞收集及應急響應平臺，公開邀請第三方安全技術專家以及用戶來提交安全漏洞并開展修復，也非常感謝這些專家們。

不僅如此，百度還積極地參加國內外各種安全標準的建設，先后參編了國內外80多項安全類標準，并且通過了104項權威安全認證。其中一些具有代表性的認證，例如，個人信息保護認證PIP，這是“個人信息保護法”發布以后專門針對個人信息保護的國家級認證，百度在認證推出很早期就已經通過；第二，百度也是在“數據安全法”出來后，首批通過數據安全管理認證DSM的企業；同時，百度還是國內首家取得數據安全能力成熟度四級認證的企業。這些認證代表著，在數據安全與隱私保護上，百度已達到了國際及國內行業認可的安全管理和技術標準水平。

在技術管理之外，深化全體員工對信息安全與隱私保護領域的認知與重視至關重要。在百度，除了新入職的同學會100%接受安全培訓和考核外，我們每年還組織統一的全員安全意識考核考試，要求全員必須100%的通過率，事實上我們也做到了。此外，自2014年起，值每年國家網絡安全宣傳周期間，百度也會配合組織面向全員的“安全宣傳月”活動，集中強化全體員工的安全意識與攻防技能。每年安全月的參與人數超過7萬人次。此外，我們還通過常態化的模擬真實網絡釣魚攻擊，讓員工在實戰中提升網絡安全攻防技能。

Q：此次事件引發了外界對數據隱私的擔憂，作為普通用戶應如何保護自己的隱私？有哪些建議？

A：這里談一下普通用戶應該如何去保護自己的隱私：

謹慎分享個人信息：在社交媒體和其他網絡平臺上，避免泄露真實身份信息；

妥善設置權限：合理設置社交平臺的隱私選項；在安裝應用程序時，仔細查看并謹慎授予應用所需的權限，避免授予不必要的權限，如位置信息、通訊錄、攝像頭、麥克風等權限；

不訪問未知網站：不要隨意點擊來路不明的鏈接，以防進入釣魚網站或感染惡意軟件，導致個人信息被盜取；

多樣化網名與密碼策略：在不同平臺盡量使用不同的賬戶名和密碼，在游戲中或其他網絡社區中，保持匿名或使用昵稱，減少被搜索到的可能性；

使用安全的密碼管理工具：避免使用簡單容易猜到的密碼，如姓名縮寫、生日、電話號碼等。可以采用密碼管理工具管理密碼；

提高警惕意識：不輕易相信陌生人的請求和信息，對于一些不明來源的調查、問卷、抽獎等活動要保持警惕，避免因貪圖小便宜而泄露個人信息。同時，要關注個人信息保護的相關法律法規和安全知識，不斷提高自身的隱私保護意識和能力。

Q：下一步，百度在信息安全保護方面有哪些具體的計劃和舉措？

A：我們承諾，在相關政府部門指導下，百度愿聯合網絡安全行業及社會組織，共同推進“反開盒聯盟”建設，通過技術手段協助受害者應對隱私泄露問題，并協同打擊黑灰產鏈條。盡管這不是一朝一夕能實現的，但我們要共同努力。

最后，希望“開盒”不能成為網絡攻擊的“盒武器”，讓我們一起來維護網絡安全防線，共同維護清朗的網絡空間；讓每一位網民都能安心、快樂地享受數字生活的美好。