摘要：近日，某网友被指在社交平台多次对他人“开盒”（非法获取并公开他人隐私信息），该网友被曝系百度高管谢某某不满14周岁的女儿，更被质疑相关隐私信息由其父亲通过百度数据库获取，引发公众愤懑。

原创 林义杰 蓟门决策Forum

林义杰

北京市中闻律师事务所律师

近日，某网友被指在社交平台多次对他人“开盒”（非法获取并公开他人隐私信息），该网友被曝系百度高管谢某某不满14周岁的女儿，更被质疑相关隐私信息由其父亲通过百度数据库获取，引发公众愤懑。

在此次人肉“开盒”事件中，该网友仅因对素人孕妇发表的评论不满，便联合饭圈粉丝对该名孕妇展开网暴，更将获取的个人隐私信息包括个人姓名、住址、联系方式等公布在网络上，对孕妇及其家人进行电话骚扰。

事件发酵后，其父亲谢某某在朋友圈发文致歉，百度公司也发表声明称相关信息实际源自海外社工库（此类数据库通过非法爬取、交易等途径收集隐私数据）。

公众的质疑和愤怒并未平息。一名不满14岁的女孩，竟能在短时间内采取如此极端的行动，当下个人信息保护的薄弱以及非法获取、披露个人信息所产生的危害，可见一斑。

这起影响甚大的人肉“开盒”事件，自然不能止于家长道歉、公司声明，其背后潜藏的问题，仍有待进一步讨论。

1

一

1

未成年人肉“开盒”，是否承担法律责任

本案的特殊性在于，行为人是未满14周岁的未成年人，由于未满刑事责任年龄，自然无法让其承担侵犯公民个人信息罪等刑事责任。《治安管理处罚法》也明确规定，对不满14周岁违法行为人不予处罚，由其监护人严加管教。《民法典》也同样规定，对于限制民事行为人造成的侵权损害，由监护人承担侵权责任。

社会公众产生的愤懑恐怕也在于此，影响如此恶劣的事件，作为未成年人的惯犯却能凭借年龄逃脱制裁。为何不能像邯郸初中生杀人案一样，通过程序性追诉，让其承担相应的法律责任？

我国《刑法》规定，已满12周岁不满14周岁的，仅对“故意杀人、故意伤害罪，致人死亡或者以特别残忍手段致人重伤造成严重残疾”，且“情节恶劣”的情形，经最高检核准追诉，方承担刑事责任。去年引发社会广泛关注的邯郸三名初中生杀害同学案，即是由检察机关层报至最高检核准追诉，最终判处一名被告人无期徒刑，一名被告人有期徒刑十二年。

人肉“开盒”网暴孕妇的行为，亦涉嫌刑事犯罪。同为未成年人涉嫌刑事犯罪的案件，两起事件本身亦有一定的相似之处。

邯郸事件中，三名初中生长期对同学进行校园霸凌，最终导致其生理性死亡；本起事件中，该名网友联合饭圈粉丝，以公开隐私信息、进行电话骚扰等方式，施行网络暴力，实际上导致多名受害人社会性死亡。而在互联网时代，社会性死亡的危害，不仅在于个人尊严和隐私的丧失，还潜藏着社会关系破裂，商业机会丧失等一系列风险，堪称是一种“数字谋杀”。这样的行为却免于制裁，难免令人产生刑事责任年龄过低的疑虑。

根据西南政法大学姜敏教授的研究，联合国各成员国的最低刑事责任年龄在0-16岁之间，而自1989年起，由于国内犯罪因素的影响，法国、日本等7个国家降低了刑事责任年龄。以日本为例，《日本刑法典》规定最低刑事责任年龄为14岁，但是其2007年最新修订的《少年法》，将送往少年院的最低年龄下调至11岁，且由于少年院需要剥夺相应未成年人的人身自由，有学者认为其实质上属于以教育矫正为名的犯罪制裁措施。

我国《刑法修正案（十一）》附条件地将刑事责任年龄降低至12岁，这一设置符合联合国《儿童权利公约》的倡议。但是，将承担刑事责任的范围局限于故意杀人以及故意伤害致人死亡等特别严重的暴力性犯罪，在遇到互联网时代颇为恶劣的“开盒”网暴行为时，则显得范围过分狭窄、程序过分严格。

值得注意的是，我国对未成年人犯罪，还缺乏有效的配套教育、惩戒措施。

《刑法修正案（十一）》在法律层面同步废除了收容教养制度，改以专门学校对不满刑事责任年龄的未成年人矫治教育。但根据教育部统计，截至2022年，全国共有119所专门学校，且已设立的专门学校中，只有部分学校满足“专门场所+闭环管理”的条件，有的省份甚至还未设置专门学校。并且，未成年人送往专门学校进行闭环管理，需要监护人或所在学校提出申请，这在包括本起事件在内的未成年人犯罪案件中，难以适用。

1

二

1

百度及谢某某，是否有责任

本起事件引发热议的另一重因素，在于行为人的身份。该网友的父亲系百度公司高管，本人亦曾在社交平台自曝相关开盒信息“是我家长给我”，从而引发公众对百度公司数据安全性的广泛质疑，并进行举报。

百度公司收到举报后，明确声明：“事件相关信息并非来源于百度，任何职级员工及高管均无权限触碰用户数据。网上流传的‘当事人承认家长给她数据库’的截图，内容为不实信息。”

《个人信息保护法》第十六条明确：“个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由，拒绝提供产品或者服务；处理个人信息属于提供产品或者服务所必需的除外。”无论相关信息是否由谢某某通过内部权限，从百度数据库获取，不可否认的是，在信息时代，包括百度在内的各大互联网厂商，对于用户敏感信息的过度索取，已成为个人信息泄露的重要根源之一。对于用户个人信息的泄露，相关互联网公司不可避免地要承担相应法律责任。

为加强对公民个人信息的保护，我国2021年出台的《个人信息保护法》明确规定，互联网厂商等个人信息处理者应当履行加密、去识别化等个人信息保护义务。因此，如百度公司等互联网厂商因未履行相关义务导致个人信息泄露，应当根据《个人信息保护法》的规定，对公司进行警告、没收违法所得，对相关应用程序责令暂停或终止服务，对相关业务停业整顿，对拒不改正的公司及相关责任人员进行罚款等行政处罚。

从上述规定不难看出，谢某某作为百度公司高管，其对于百度公司掌握的用户个人信息，自然承担相关的保密义务，不得非法提供给他人。而倘若谢某某确实将用户的个人信息提供给其女儿，用于网上挂人使用，则其本人在前述行政责任之外，还涉嫌将“提供服务过程中获得的公民个人信息，出售或者提供给他人”。根据最高法、最高检《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》的规定，如提供的行踪轨迹信息、通信内容、征信信息、财产信息达到25条以上的，则已构成《刑法》第二百五十三条之一规定的侵犯公民个人信息罪。对于谢某某不满14周岁的女儿，由于其对孕妇等受害人的个人信息取得本身即是非法的，应当优先适用《治安管理处罚法》《刑法》的相关规定。

即便秉持最大的善意，相信该网友用于“开盒”的个人信息，确系通过海外社工库获取。但是，谢某某作为一家掌握大量公民个人信息的公司的高管，若是在日常生活中能够尊重他人隐私，在其言传身教之下的女儿，想来也不会多次做出开盒他人的恶劣行为。

舆论发酵后，谢某某在朋友圈发文道歉，称其“未能及时察觉并引导她正确处理问题，未能及时教会她尊重、保护他人及自己隐私”，同样也能证明，其作为百度高管，显然不具备应有的隐私意识，没有充分尊重用户享有的个人信息权益。

1

三

1

如何防止人肉“开盒”事件重演

需要强调的是，互联网的重要特点在于，被上传的信息宛如永不褪色的数字刺青，即便进行删除处理，也仍有可能被以截图、存档的方式二次传播。因此，人肉“开盒”行为，对被侵权人的伤害，往往是不可逆的。对此类行为的治理，其重心也不应止于事后的惩戒，而更应当在于事前的预防。

从比较法的视角观察，各国普遍对开盒挂人、网络暴力的行为，规定了较为严格的惩戒措施。

如欧盟《通用数据保护条例》（CDPR）明确，非法收集或传播个人信息可被处以全球营业额4%或2000万欧元的高额罚款，并赋予用户“被遗忘权”，要求平台彻底删除个人信息；美国《计算机欺诈与滥用法》规定，未经授权或超越授权故意访问计算机并通过这种手段获取特定数据的行为构成犯罪；新加坡2019年4月修正《防止骚扰法案》，将“恶意起底他人”，即“人肉搜索”列入刑事犯罪，等等。但是，上述规定本质上均属于对相关行为人的事后惩戒以及对被侵权人的事后救济。

本次事件的触目惊心之处也在于此，该网友被曝已进行多次开盒行为，其对于这一手段的熟稔，也是这一说法的有力佐证。试想，如本次事件不因其百度高管女儿的身份、不满十四周岁的年龄等因素引起广泛关注，其本人与相关饭圈粉丝，通过类似手段继续进行开盒挂人，是不难预见的事情。

因此，对于类似事件的预防，自然不能仅依靠网友自身的道德和自律。如欧盟《数字服务法案》（DSA） 明确要求，超大型在线平台必须采取技术措施主动识别和管控非法内容，包括通过自动化审核系统检测违规信息（如虚假信息、仇恨言论、侵权内容等）。上述做法，在人工智能兴起的时代，或许可以对公民的个人信息提供新一重保障。

我国去年6月发布的《网络暴力信息治理规定》第十五条同样规定，网络服务提供者发现涉网络暴力的违法信息的，应当立即停止传输，采取删除、屏蔽、断开链接等处置措施。相关互联网平台是否依法及时对有关信息进行删除，避免损害扩大，同样是值得审视的问题。本次事件中，相关互联网平台在遏制个人敏感信息传播方面的缺位，也是引发公众对开盒挂人行为忧惧的重要根源之一。

在互联网大规模普及的背景之下，每个人都有可能成为人肉“开盒”受害者。对此，在互联网使用者个人保持克制，避免戾气的扩散之外，落实相关互联网平台对个人信息保护的法定义务，更是重中之重。

来源：澎湃新闻客户端