近年来，“开盒”一词频繁冲击公众视野。所谓“开盒”，即通过非法手段获取并公开他人隐私信息，实现网络身份与真实身份的互相映射，并以此实施网络暴力。早在数年前，非法获取并恶意泄露明星、大V家庭住址和联系方式的事件就已屡见不鲜。这一行为的目标正逐渐从公众人物蔓延至普通网民，数据黑产已成为实施网络暴力的重要工具。

　　随着移动互联网的发展，“开盒”成本越来越低，危害越来越广。随着海量个人敏感信息由网络攻击、内鬼泄露等渠道流入数据黑市，进入境内外各层级数据黑产“料商”手中，形成了完整的数据贩卖黑产链条。在链条末端，则存在一个个“社工库”平台，这些平台通过手机号、身份证号等具有个人唯一标识作用的信息，将多维度隐私信息拼凑整合，形成相当完整的个人数据。

　　“社工库”中个人信息的主要来源有两个。一是互联网企业等个人信息处理者在数据管理上存在重大漏洞，导致未加密的数据库意外暴露在公共互联网中，或是数据库及密钥在网络攻击中被黑客攻破并获取。二是一些企业存在内鬼，他们非法倒卖内部数据以谋取巨额经济利益。这些途径泄露的数据量达数万至数亿条不等。而用户个人安全意识的缺乏，在社交媒体等公共平台主动提及或无意间公开自己的真实姓名、手机号、定位等信息，也会使别有用心之人实现精准“开盒”。

　　究其本质，“开盒”的根源在于个人信息泄露。若不能从源头上做好数据安全保障，即便严惩“社工库”搭建者和网络暴力施暴者，也难以根治这一乱象。做好源头治理，需要自上而下构建个人信息保护“三重防线”。

　　在法律与监管层面，立法机关、政府部门和执法部门应协作打击相关犯罪，加强对个人信息处理者的监管。一是从数据源头强化执法与跨境协作，严格落实网络安全法、数据安全法、个人信息保护法等相关法律法规，严惩个人信息处理者违法违规行为，推动跨境执法打击境外“社工库”平台。二是进一步落实数据收集分级管控，仅允许符合资质的企业收集敏感信息，并强制规定敏感数据的保存期限和保存方式。同时，规定数据收集应严格遵循“最小化和必要性原则”，核心基础功能无须认证即可使用，需要进行身份认证时严控数据收集范围。三是完善国家网络身份认证体系，推动《国家网络身份认证公共服务管理办法》落地实施，推广试点以法定身份证件为信任源的多级认证机制，在保护隐私的前提下完成身份验证，减少各类平台企业对公民敏感信息的留存。

　　在个人信息处理者层面，平台与企业应当切实承担信息保护责任，技术与管理双管齐下，确保用户隐私数据安全无虞。一是采用加密技术和安全模型保护敏感数据，在使用敏感数据的过程中，采取数据脱敏、加密、假名化、匿名化等措施，确保即使敏感数据库泄露，攻击者也无法解密数据，获取隐私信息。二是进行权限控制和异常检测，建立零信任安全架构，实施基于角色的访问控制模型，限制非授权人员和设备的接入，并建立数据访问日志审计机制。三是在最小化收集的基础上，进一步最小化数据留存范围，在数据的收集、使用、留存等各个环节做好数据的全生命周期防护。

　　在用户层面，普通用户应提升个人信息保护意识。一是在社交媒体平台避免个人信息的暴露，避免毫无防备地在公开社交媒体展示与个人真实身份相关的信息，并尽量避免在朋友圈等半公开场合展示证件号码、居住地址等敏感信息。二是减少提供信息的频次和数量，使用各类软件时，不随意填写个人信息，不在非必要时进行实名认证，并关闭非必要的定位权限。三是提升网络安全主动防范意识，例如谨慎填写收集个人信息的问卷和表单，使用多样化的网名，防止身份跨平台关联，定期检查账户登录日志等。

　　综合来看，“开盒”乱象的治理需要多方协同，其中堵上数据泄露的源头至关重要。数据黑产可能无法在短时间内被消灭，但相信通过多方共同努力，逐步构建起法律、技术、意识的三重防线，就一定能实现从被动防御到主动免疫的转变，最终为“开盒”按下终止键。

　　益彰 来源：中国青年报

　　2025年04月03日 03版