日前,市民王先生前往一快遞代收點取快遞時被告知,代收點已推出新規:為防止偷竊和誤拿,所有前來取件的人必須拍照存檔,才可取走快遞。
回到住處,王先生按照公安部門提醒,撕下寫有自己姓名、地址、電話號碼的運單並撕碎,但他知道這樣也解決不了問題:“就算我做好自我保護,但快遞企業有我的信息,信息泄露環節很多。”
就在幾天前,圓通速遞被曝有5名“內鬼”有償租借員工賬號,導致超過40萬條公民個人信息被泄露。
近年來,快遞等掌握個人信息的行業泄露客户信息的情況屢屢發生,背後有一條黑色“產業鏈”。一些市民建議,加強源頭治理,對企業採集個人信息進行規範,加大對這些掌握個人信息企業的監管力度,一旦發現存在違法行為應依法嚴懲。
員工倒賣信息,圓通可以免責嗎?
日前,邯鄲警方披露破獲一起非法竊取、倒賣公民個人信息案件:不法分子與圓通速遞5名“內鬼”勾結,通過有償租用員工系統賬號盜取公民個人信息,再層層倒賣公民個人信息至不同下游犯罪人員。
據瞭解,涉案的5名圓通公司員工,以每天500元的價格外租自己的員工賬號,造成超過40萬條公民個人信息被泄露。這些信息被倒賣團伙打包賣給從事電信網絡詐騙的下游犯罪團伙,每條信息單價約為1元。
11月17日,圓通速遞就此次客户信息泄露事件作出説明和道歉。圓通方面回應,此事系公司內部風控系統監測到異常情況後,開展內部取證調查,並主動向公安機關報案。
事實上,圓通已不是第一次發生泄露客户信息事件。
早在2013年,圓通速遞就曾被曝光泄露逾百萬名客户信息:通過一個“單號淘”網站,以0.3元到1元不等的價格,即可買到包含收件人和寄件人姓名、地址和手機號碼的完整單號信息。這些單號數據信息24小時實時刷新。
記者在調查中發現,一個在圓通速遞站點剛寄出的包裹,15分鐘後就能在“單號淘”網站上查詢到詳細的寄件人和收件人信息。當時圓通方面就表示,可能存在“內鬼”,“事後已加強內部管理,杜絕此類事件再次發生”。
然而,七年過去了,圓通速遞再次出現“內鬼”,造成大規模客户信息泄露。關注網絡信息安全多年的法律界人士告訴記者,如果消費者的個人信息通過快遞單號等途徑泄露出去,消費者可以向快遞員和快遞公司提起訴訟,要求賠償。
“即使倒賣信息主體是員工,但快遞公司因保管客户信息不當、管理不嚴,存在連帶責任。”法律界人士指出,消費者可以向倒賣快遞單號和個人信息的快遞員工和快遞公司追責。“儘管這次事件中,圓通速遞是在日常監測中發現‘內鬼’並主動報案,但並不意味圓通就能規避監管責任。因快遞公司對客户的個人信息有保密責任,按照合同法,公司泄密違約,也應承擔相應責任。”
誰在“消費”個人信息?
“需求”催生“生意”。這些遭泄露的公民個人信息流向了哪裏,是誰在“消費”公民個人信息?
據悉,此次圓通泄露客户信息事件中,租借“內鬼”賬號的是一個專門從事公民信息竊取和倒賣的犯罪團伙,他們作為“中間商”,將非法獲取的公民信息賣給下游電信網絡詐騙團伙——那些騙子來電時之所以能準確説出接電話者的準確信息,正是從這些“中間商”處購買的。
據此前公安部門破獲的多起案件顯示,這些“中間商”有的通過開設“數據挖掘”“信息諮詢”公司名義,掛羊頭賣狗肉,專門從事公民信息倒賣;有的通過搭設所謂信息服務網、單號網等線上銷售平台,非法出售公民信息。
“這些個人信息被出售之後,一部分被用來實施各類犯罪。”長期從事打擊侵犯公民個人信息犯罪的公安民警説,當犯罪分子通過各種途徑獲取大量個人信息後,滋生電信詐騙、綁架、敲詐勒索等刑事犯罪的風險便大大增加。
而另一類需求個人信息的羣體,則是電商平台的賣家。
據業內人士介紹,一些電商賣家通過虛構客户完成虛假交易的“刷單”,獲取銷量及好評,從而吸引顧客、增加流量。填寫真實的快遞單號,是刷單的重要一環。記者發現,網上存在數以百計的“空包快遞”代發平台,專為刷單提供真實物流信息,不少網站都兼顧出售單號信息和個人信息。業內人士説:“不少‘號販’身兼數職,賣面單信息、開淘寶店,極個別的自身也是快遞企業的網點加盟商。”
此外,需要推銷廣告信息、出售假冒發票和垃圾信息發佈源頭的組織和個人,也對公民個人信息趨之若鶩。“包括房屋中介、裝修公司、保險公司、母嬰用品企業、廣告公司、教育培訓機構等日漸興盛的產品推銷和服務企業,也是消費公民個人信息的核心羣體。”
快遞為何成泄露個人信息重災區?
不僅是圓通,記者梳理發現,近年來快遞行業泄露客户信息的情況時有發生,具有明顯的行業特徵。
記者梳理發現,近年來快遞行業泄露客户信息的情況時有發生——
2016年8月,深圳南山區人民法院受理一起侵犯公民個人信息案,一名順豐速遞員工將公司系統的賬號密碼出售他人,導致大量個人信息泄露;
2018年1月,上海嘉定警方破獲一起侵犯公民信息案,一名韻達快遞的快遞員收集近萬張包含姓名、地址和手機號碼的快遞底單,以150元的價格賣給一家健身房的推銷人員……
“近年發生的公民信息泄露案件大多發生在快遞物流領域,案件範圍涉及全國多地快遞子網點,具有明顯的行業特徵。”記者從公安部門獲悉,由於快遞物流企業掌握的客户個人信息內容豐富且數量巨大,犯罪方式除企業內部員工從快遞公司內部系統盜取外,還出現了利用“黑客”手段作案的趨勢。
不過,這僅僅是信息竊取、倒賣灰色產業鏈的冰山一角。記者在網上發現,宣稱有快遞單信息兜售的賣家不在少數。在某聊天軟件的“單號交流羣”“快遞行業數據羣”等多個羣中,信息販子定時發佈出售信息的廣告信息。這些信息販子通常以一些中文拼音縮寫來逃避平台監管,例如以“sfz”來代表“身份證”。
記者接觸的一名信息販子“FAKE”稱,隨着監管收緊,給他提供公民信息的“貨源”越來越少,“價格肯定沒的商量,量也有限,要的量大的話,需提前付定金。”他的定價為:一條包含姓名、年齡、電話和地址的信息2元;只有電話和姓名的1元。
在業內人士看來,販賣快遞單號信息之所以屢禁不止,根源在於不菲的利潤。在一位快遞“號販子”出示的“價目表”上,根據快遞面單的時效和種類不同,售價不盡相同,其中三個月之前的單子為0.3元/單、三個月內為0.5元/單。
反觀快遞企業的主業配送,由於深陷價格戰,快遞員、加盟商通過“正行”快遞業務獲利反而有限。據業內人士介紹,目前快遞員、加盟商能從同城、省內件獲利在0.5至1元,跨省則在2至3元不等。“但從利益角度看,出售快遞單信息能讓這些快遞從業者從快件身上獲得的收益瞬間翻倍。”
隱私泄露該如何處罰?
目前,非法獲取公民個人信息源頭主要有兩處:一是單位“內鬼”利用職務之便盜取客户信息後出售;二是黑客直接入侵網絡盜取個人信息。法律界人士指出,在全面的“個人信息保護法”尚未出台背景下,應當利用現行法律對相關人員追責。“對於‘內鬼’和黑客,應當以‘侵犯公民個人信息罪’追究其個人的刑事責任。”
根據《刑法》第253條規定,違反國家有關規定,向他人出售或者提供公民個人信息,情節嚴重的,處三年以下有期徒刑或者拘役,並處或者單處罰金;情節特別嚴重的,處三年以上七年以下有期徒刑,並處罰金。
隨着立法不斷加大對公民個人信息的保護力度,作為信息泄露重災區的快遞行業也採取了一定措施加固信息安全“防火牆”。
據業內人士介紹,為防止快遞面單的客户信息泄漏,一些快遞公司推出“隱私面單”——客户姓名、電話和發收件地址等信息,只在快遞公司內部系統顯示。“隱私面單的出現得益於快遞信息電子化,但推廣起來有一定困難。比如,企業需要開發特定設備和軟件,商家和站點需安裝相關組件,快遞員也要和新的配送方式磨合。”
業內人士指出,想要真正保護用户隱私,必須進一步完善快遞公司內部監管。“真正想獲取個人信息的人不需要去看一張張快遞單,更多的還是快遞公司‘內鬼’故意販賣用户信息。如果快遞公司不防‘內鬼’,就不能徹底杜絕消費者隱私泄露問題。”
如何防止快遞泄露隱私
你有什麼好辦法?