1
百度昨晚终于对副总裁女儿“开盒”事件做了正式回应:
从百度文心大模型4.5发布会评论区被“谢广军”刷屏,百度副总裁道歉登上热搜第一,到现在已经过了快三天时间,百度回应姗姗来迟了。
之前还有一波百度安全负责人在公司内部回应的信息流传,似乎是这家大厂当时制定的对外公关策略。这是国内公关天团一度很热衷的PR模式,出了问题,王顾左右而言他,或者找个淘宝小二貌似不经意回应,或者将公司内部邮件外传形成传播态势……似乎抖机灵成了公关的不二法门。
很正式地给一个回应很难吗?在百度正式声明之前,我就在本公号撰文说:
一个很明显的事实是,百度需要重建公众信任。如果认可这个前提,那么对开盒事件的回应方式还有什么争议吗?难道不应该是以百度(而非某个负责人)的名义,面向公众(而非内网员工),以最为正式的方式做出说明吗?
考虑到即便以上述方式做说明,可能仍无法取得公众信任。甚至有必要邀请官方或独立第三方机构参与调查全过程,由公证机构公证。
但是百度选择了最骚的一种PR方式。这是为什么呢?
章云苏,公众号:不正确百度骚操作
从结果看,百度终归还是要严肃对待此案:做正式声明并进行公证。只是危机处理的黄金48小时,已经浪费掉了。
但在这里,我还是要为百度说一句话。我个人相信,百度此次的确没有用户信息泄露,副总裁谢广军女儿自称“开盒”信息是“家长给的”的说法,更可能是吹牛。
这并不难理解。百度此前多次强调其数据存储采用匿名化、假名化处理,并实施严格的权限分离制度,即便高管也无权直接访问用户数据。这种技术架构符合现代数据安全规范,尤其是对大型互联网企业的合规要求。
即便我们假设谢广军有查询用户数据信息的权力,他会为了女儿饭圈的撕逼去违规提供吗?更何况,女儿开盒的上百人,涉及的肯定远不止是他权力范围内的用户数据。
此前文章中,我一直强调的也是,谢广军和百度要直面公众质疑,而不是抖机灵和逃避。百度在事件初期仅通过高管朋友圈和内网声明回应,未第一时间以官方口径澄清,是一个根本性失策。
当然,公众对百度的不信任更多源于其历史污点(如魏则西事件、李彦宏“隐私换便利”言论),而非本次事件那么简单。这种“舆论惯性”使得即使技术证据充分,公众仍倾向于质疑。
接下来,我们又面临一个远比副总裁泄露用户隐私更为可怕的局面:那么多人的隐私信息,在海外社工库上居然可以轻易得到,形同裸奔。
2
中国互联网平台普遍推行实名制,但数据防护能力参差不齐。如今,花300块就能从海外社工库买到精确到楼栋的户籍信息,有些甚至免费。此类数据多源于国内机构的泄露。
这种荒诞背后,是企业安全投入形同纸糊(如2019年淘宝用户数据被非法爬取1180738048 条)、是运营商内鬼把手机卡当期货炒(2013年昆明海关查获1.15万张流向电诈集团的实名卡,单张售价高达千元)……
实名制本为增强网络治理,但过度集中的敏感信息(如身份证、手机、住址)一旦泄露,反而成为黑产的“金矿”。“人肉搜索”成本极低。这种设计缺陷使得公民被迫承担隐私裸奔的风险。
最著名的信息泄露可能要属下面这个:
2023年2月12日晚,通讯软件 Telegram 多个频道大面积转发某隐私查询机器人链接,网传该机器人泄露国内 45 亿条个人信息,涉及快递、电商、购物网站等,数据包括真实姓名、电话与住址等敏感信息,并且出现多个公开查询渠道。该隐私查询机器人管理员提供截图显示,数据量为 4541420022 条,数据库大小为 435.35GB。有网友查询分析发现这些数据关联时间在 2016 年至 2022 年之间,涵盖手机号、收货地址等各类个人信息。
这数据规模,光快递地址就能铺满地球三圈,黑产直接开起“自助超市”,查你住址比查天气预报还容易。
我们不需要重新审视网络实名制范围吗?是不是该重新画条信息收集的红线了——游戏非要我身份证号?社交平台查我户口?不能推广“去标识化”技术吗?例如用虚拟身份证替代真实信息,从源头减少可被滥用的数据量。
实名制让黑产完成从“广撒网”到“精准爆破”的进化。以前骗子得编个“你中奖了”的老梗,现在则能拿着你的真实姓名、住址直接开骗。
太多这样的例子了。江苏老人被冒充通信公司员工骗走SIM卡,结果名下号码涉案20万;清华老师被骗千万的案子……精准信息让诈骗剧本杀伤力翻倍。
说到底,实名制不该是公民单方面“交底”,而该是平台、企业、法律共同织就的安全网。当我们的住址在黑市比菜价还透明时,始作俑者不需要为此负责吗?