文 | 维辰

日前，百度副总裁谢广军的女儿“开盒”事件引起热议。按照百度回应，“开盒”网友的数据并非从百度泄露，而是来自海外社群网站，很多信息还是免费的，百度安全负责人对此表示“吃惊”。

石头再次激起千层浪：“与百度无关更可怕”“‘开盒’成本之低让人没有安全感”“我们的数据隐私，究竟在多大程度上被随意获取、传播和滥用？”……

网友的担心不是多余。3月19日，南都记者调查发现，海外社群网站上，确有不少可以购买他人信息的群组，甚至包括银行卡流水、开房同住人员、带备注的微信好友列表等隐私信息。经同事授权后，记者花300元买到的同事户籍信息不仅是对的，还有客服表示“其中240元是公安网站户籍截图的费用”。警方回应，该手法涉及技术问题，会把情况反馈给上级部门进行调查。

另有来自奇安信的数据显示，2024年全年境内政企机构共发生个人信息泄露风险事件112起，涉及个人信息数据266.9亿条，尽管这一数据较2023年减少54.5%，但也反映出政企机构的网络安全形势仍不容乐观。专业人士表示，一桩个人信息泄露案件可能有前端信息泄露问题，也有后端侵害人的手段问题，还有末端受害人的注意义务问题，且个人信息数据提供商存在层层转包现象，数据中介数量众多，导致信息泄密源头难以确定。这往往意味着，找不到谁该承担负责，打击难度大。

根据过往经验，信息泄露可以分为两种。一种是“内鬼”主动泄露。以前，就有警务人员、快递企业员工、银行职员等因此获刑的案例。海内外社交平台上，也有公然寻求和内部人员合作、宣称“日薪10万元起”的帖子。另一种是由于信息保护没做到位、黑客攻击网站，导致信息被动泄露。无论主动还是被动，都提醒相关单位设置好“防火墙”，对信息安全始终打起十二分精神。学者建议，在个人信息侵权领域构建惩罚性赔偿制度，使侵害个人信息权利的违法成本高于收益，值得考虑。

个人信息一旦产生，就不可避免会面临隐私和效率的平衡问题。更深一层追究，一些单位收集个人信息时，是否遵循了个人信息保护法等法律法规要求的“最小必要原则”呢？

3月15日，中国网络空间安全协会发布的《个人信息超范围收集与泄露问题分析研究报告》指出，个人信息超范围收集与泄露问题主要发生在互联网应用、金融、医疗、教育等重要领域，其中互联网应用领域问题尤为突出。由于信息化的普及与数据的规模效应，个别个人信息处理者掌握的个人信息量级极大，数据规模的扩大一方面加大了安全管理的难度，另一方面也催生了安全风险的聚集。可见，进一步细化“最小必要”相关标准，从源头规范数据收集，也能降低数据泄露风险。