“任(ren)何人无(wu)权触碰用户数(shu)据” 百度公(gong)开“开盒”事(shi)件调查详情,审计,进行,权限

同时(shi)，陈洋详细讲解了百度针对数(shu)据安全(quan)的多项防护措施：

◎ 用户注册账号阶段，即实(shi)施假名化处理(li)，降低数(shu)据泄露风险，提高数(shu)据合(he)规性；

◎ 对数(shu)据实(shi)施加密，对敏感(gan)数(shu)据进行严(yan)酷(ku)断绝，并依托(tuo)数(shu)据安全(quan)管理(li)平台，完成数(shu)据管理(li)、权限操纵及安全(quan)审计的统一管控(kong)；

◎ 遵守国际公(gong)认的风险操纵理(li)念，创建“基础防守”“轨制&本领&风险专(zhuan)项”“稽查&内(nei)部(bu)审计”三道安全(quan)防线。

截至目前，百度已先后参与体例80多项国际及国内(nei)安全(quan)标(biao)准，累计获得(de)104项权威安全(quan)认证。

百度透露表(biao)现，在相关(guan)政(zheng)府部(bu)门的指导下，积(ji)极响应和倡议推进“反开盒”同盟的建立，共同增强数(shu)据隐私防护，严(yan)厉打击非法(fa)数(shu)据盗取及泄露举动，筑(zhu)牢网(wang)络安全(quan)防线，共同保护明亮清明网(wang)络空间。

以下为相同会的部(bu)分现场实(shi)录：

Q：“开盒事(shi)件”的详细调查过程怎样？调查过程是否(fou)有第三方公(gong)证？

A：3月17日，我们接到内(nei)部(bu)举报，并马上建立了一个由内(nei)部(bu)安全(quan)专(zhuan)家构成的独(du)立专(zhuan)项小组，开展调查与审计工作。小构成员与当事(shi)人之(zhi)间没有存在任(ren)何长(chang)处关(guan)系(xi)。

经过对各个系(xi)统的反复(fu)审计，我们很快得(de)出告终论(lun)。于18日，在公(gong)司内(nei)网(wang)分享了调查结果：经过严(yan)酷(ku)的数(shu)据安全(quan)审计，清除谢广军泄露怀疑，并定位了真实(shi)泄露渠道。

我们在调查过程中，对他的“历史(shi)数(shu)据请求记录”“权限记录”“数(shu)据访问(wen)记录”以及“数(shu)据库(ku)服务器登(deng)录日志”等进行了调查和审计，确认其没有百度用户个人身份信息(xi)数(shu)据权限，也没有登(deng)录任(ren)何百度“数(shu)据库(ku)”及“服务器”。别的我们对其相关(guan)日志进行审计，在审计周期内(nei)未发明有异常访问(wen)举动。

那末，开盒事(shi)件中的数(shu)据事(shi)实(shi)来自哪里呢？我们从多个维度展开调查。首先，对被(bei)举报人进行了询(xun)问(wen)，他的女儿透露了她的“开盒”渠道，并提供了一个路径。只需在海外网(wang)站长(chang)进行搜索，就(jiu)能够找到这条(tiao)路径，而且经过这个路径很容易进入(ru)社(she)工库(ku)。

同时(shi)，经过在社(she)交媒体广泛(fan)流传的一张图片也印证了这一点。标(biao)注图标(biao)处，即为一款在外洋应用市场可下载的外洋T某加密聊天(tian)软件的应用图标(biao)；也很容易识别出，图片中的界面和外洋T某加密应用的界面是一模一样的。

但只是这样也没有足(zu)为信，我们必需要复(fu)现这个过程，并终究经过公(gong)证机构对该过程进行公(gong)证，以确保其执法(fa)效(xiao)能和公(gong)信力。

（2025）京精(jing)诚内(nei)经证字第 1642 号公(gong)证书

果没有其然，已往几天(tian)，由于媒体铺天(tian)盖地的报导，我们发明这个社(she)工库(ku)今天(tian)早上暂停了，这个结果也是保护了一些人。

Q：百度采用了哪些详细的技术和管理(li)措施来保护数(shu)据安全(quan)？百度的数(shu)据访问(wen)权限是怎么设定的？

A：我们现在实(shi)施的安全(quan)体系(xi)对照复(fu)杂(za)，以一个场景举例，我们实(shi)施了假名化的处理(li)。用户刚刚注册时(shi)，我们会给他生(sheng)成系(xi)统内(nei)对应的假名系(xi)统ID，只有这个ID，是没有知(zhi)道他是谁的。

在系(xi)统里，我们是用假名去做流转，任(ren)何营业系(xi)统中都没有存在这个信息(xi)。然后，我们把所有信息(xi)特地抽离，成为一个账号系(xi)统。当然，所有大的互联网(wang)企业都在这么做，以是只做假名化处理(li)还远远没有够，这些所有敏感(gan)信息(xi)都会进行加密。数(shu)据是加密的，没法(fa)被(bei)使用，由于加密的钥匙是断绝存储和管理(li)的。也就(jiu)是说(shuo)我们有两把钥匙，这两把钥匙分别加密着(zhe)没有同的数(shu)据，同时(shi)我们还经过数(shu)管平台对权限进行统一管理(li)和权限分离，只有钥匙配(pei)合(he)权限一路才(cai)能使用。

这只是第一层的防护，是技术手段。（我们）在内(nei)部(bu)没有断进行攻防演练，用黑客的视角查找我们的系(xi)统有无(wu)安全(quan)隐患，若是有隐患第一时(shi)候(hou)修复(fu)，构成这一套没有断演进的安全(quan)技术防御体系(xi)。

为了让我们的系(xi)统更安全(quan)，我们还要创建第二道的轨制策略，也就(jiu)是管理(li)防线；还有第三道防线，是职业道德稽查的防线，按期对敏感(gan)的举动做审计，看有无(wu)异常访问(wen)举动，这三套防线也是对应国际公(gong)认的风险操纵的理(li)念。经过三道防线和后面的一套数(shu)据安全(quan)的体系(xi)去保障数(shu)据安全(quan)。

Q：百度在数(shu)据安全(quan)与隐私保护方面的投入(ru)环境？安全(quan)团队的专(zhuan)业性？是否(fou)具有应对复(fu)杂(za)安全(quan)挑衅的本领？

A：自2014年起(qi)，百度创建了漏洞(dong)收集(ji)及应急响应平台，公(gong)开邀请第三方安全(quan)技术专(zhuan)家以及用户来提交安全(quan)漏洞(dong)并开展修复(fu)，也非常谢谢这些专(zhuan)家们。

没有仅如此，百度还积(ji)极地参加国表(biao)里各种安全(quan)标(biao)准的建设，先后参编了国表(biao)里80多项安全(quan)类标(biao)准，而且经过了104项权威安全(quan)认证。个中一些具有代表(biao)性的认证，例如，个人信息(xi)保护认证PIP，这是“个人信息(xi)保护法(fa)”发布以后特地针对个人信息(xi)保护的国家级认证，百度在认证推出很早期就(jiu)已经经过；第二，百度也是在“数(shu)据安全(quan)法(fa)”出来后，首批经过数(shu)据安全(quan)管理(li)认证DSM的企业；同时(shi)，百度照样国内(nei)首家获得(de)数(shu)据安万本领成熟度四(si)级认证的企业。这些认证代表(biao)着(zhe)，在数(shu)据安全(quan)与隐私保护上，百度已达到了国际及国内(nei)行业认可的安全(quan)管理(li)和技术标(biao)准程度。

在技术管理(li)以外，深(shen)化全(quan)体员工对信息(xi)安全(quan)与隐私保护领域的认知(zhi)与注重至关(guan)重要。在百度，除了新入(ru)职的同学(xue)会100%担(dan)当安全(quan)培训和审核外，我们每(mei)年还组织统一的全(quan)员安全(quan)意识审核考试，要责备员必需100%的经过率，事(shi)实(shi)上我们也做到了。别的，自2014年起(qi)，值每(mei)年国家网(wang)络安全(quan)宣扬周期间，百度也会配(pei)合(he)组织面向全(quan)员的“安全(quan)宣扬月”活动，会合(he)强化全(quan)体员工的安全(quan)意识与攻防技能。每(mei)年安全(quan)月的参与人数(shu)超过7万人次。别的，我们还经过常态化的摹拟真实(shi)网(wang)络钓鱼打击，让员工在实(shi)战中提升网(wang)络安全(quan)攻防技能。

Q：此次事(shi)件引发了外界对数(shu)据隐私的担(dan)忧，作为平凡用户应怎样保护本身的隐私？有哪些发起(qi)？

A：这里谈一下平凡用户应当怎样去保护本身的隐私：

◎ 谨慎分享个人信息(xi)：在社(she)交媒体和其他网(wang)络平台上，幸免泄露真实(shi)身份信息(xi)；

◎ 妥帖设置权限：公(gong)道设置社(she)交平台的隐私选项；在安装应用步(bu)伐时(shi)，仔(zai)细检察(cha)并谨慎授与应用所需的权限，幸免授与没有需要的权限，如地位信息(xi)、通信录、摄像头、麦克风等权限；

◎ 没有访问(wen)未知(zhi)网(wang)站：没有要随意点击去路没有明的链接，以防进入(ru)钓鱼网(wang)站或熏染恶意软件，导致个人信息(xi)被(bei)盗取；

◎ 多样化网(wang)名与暗码策略：在没有同平台只管使用没有同的账户名和暗码，在游戏中或其他网(wang)络社(she)区中，保持匿名或使用昵称，淘汰被(bei)搜索到的大概性；

◎ 使用安全(quan)的暗码管理(li)工具：幸免使用简单容易猜(cai)到的暗码，如姓(xing)名缩写、华诞、德律风号码等。能够采用暗码管理(li)工具管理(li)暗码；

◎ 提高鉴(jian)戒意识：没有容易置信目生(sheng)人的请乞降信息(xi)，对于一些没有明来源的调查、问(wen)卷、抽奖等活动要保持鉴(jian)戒，幸免因(yin)贪图小便宜而泄露个人信息(xi)。同时(shi)，要关(guan)注个人信息(xi)保护的相关(guan)执法(fa)法(fa)规和安全(quan)知(zhi)识，没有断提高自身的隐私保护意识和本领。

Q：下一步(bu)，百度在信息(xi)安全(quan)保护方面有哪些详细的计划和办法(fa)？

A：我们答应，在相关(guan)政(zheng)府部(bu)门指导下，百度愿联合(he)网(wang)络安全(quan)行业及社(she)会组织，共同推进“反开盒同盟”建设，经过技术手段协助受益者应对隐私泄露成绩，并协同打击黑灰产链条(tiao)。尽管这没有是一朝(chao)一夕能完成的，但我们要通力合(he)作。

最后，希望(wang)“开盒”没有能成为网(wang)络打击的“盒武器”，让我们一路来保护网(wang)络安全(quan)防线，共同保护明亮清明的网(wang)络空间；让每(mei)位网(wang)民都能安心、快乐地享受数(shu)字生(sheng)活的美好。

百度已于3月20日正式设立“打击网(wang)络黑产专(zhuan)项基金”，该基金将用于保护公(gong)民合(he)法(fa)权益与企业数(shu)据安全(quan)，遏制信息(xi)泄露、网(wang)络诈骗等守法(fa)举动，进一步(bu)革除网(wang)络犯(fan)罪的滋生(sheng)泥土，切断非法(fa)长(chang)处链条(tiao)，营造明亮清明康健的网(wang)络生(sheng)态环境。

编纂 李忆林子(zi)