圆通再现内鬼泄露客户信息,快递为何成泄露信息重灾区?谁在消费公民信息?

日前,市民王先生前往一快递代收点取快递时被告知,代收点已推出新规:为防止偷窃和误拿,所有前来取件的人必须拍照存档,才可取走快递。回到住处,王先生按照公安部门提醒,撕下写有自己姓名、地址、电话号码的运单并撕碎,但他知道这样也解决不了问题:“就算我做好自我保护,但快递企业有我的信息,信息泄露环节很多。”

就在几天前,圆通速递被曝有5名“内鬼”有偿租借员工账号,导致超过40万条公民个人信息被泄露。近年来,快递等掌握个人信息的行业泄露客户信息的情况屡屡发生,背后有一条黑色“产业链”。一些市民建议,加强源头治理,对企业采集个人信息进行规范,加大对这些掌握个人信息企业的监管力度,一旦发现存在违法行为应依法严惩。

员工倒卖信息,圆通可以免责吗?

日前,邯郸警方披露破获一起非法窃取、倒卖公民个人信息案件:不法分子与圆通速递5名“内鬼”勾结,通过有偿租用员工系统账号盗取公民个人信息,再层层倒卖公民个人信息至不同下游犯罪人员。

据了解,涉案的5名圆通公司员工,以每天500元的价格外租自己的员工账号,造成超过40万条公民个人信息被泄露。这些信息被倒卖团伙打包卖给从事电信网络诈骗的下游犯罪团伙,每条信息单价约为1元。

11月17日,圆通速递就此次客户信息泄露事件作出说明和道歉。圆通方面回应,此事系公司内部风控系统监测到异常情况后,开展内部取证调查,并主动向公安机关报案。

事实上,圆通已不是第一次发生泄露客户信息事件。早在2013年,圆通速递就曾被曝光泄露逾百万名客户信息:通过一个“单号淘”网站,以0.3元到1元不等的价格,即可买到包含收件人和寄件人姓名、地址和手机号码的完整单号信息。这些单号数据信息24小时实时刷新。记者在调查中发现,一个在圆通速递站点刚寄出的包裹,15分钟后就能在“单号淘”网站上查询到详细的寄件人和收件人信息。当时圆通方面就表示,可能存在“内鬼”,“事后已加强内部管理,杜绝此类事件再次发生”。

然而,七年过去了,圆通速递再次出现“内鬼”,造成大规模客户信息泄露。关注网络信息安全多年的法律界人士告诉记者,如果消费者的个人信息通过快递单号等途径泄露出去,消费者可以向快递员和快递公司提起诉讼,要求赔偿。

即使倒卖信息主体是员工,但快递公司因保管客户信息不当、管理不严,存在连带责任。”法律界人士指出,消费者可以向倒卖快递单号和个人信息的快递员工和快递公司追责。“尽管这次事件中,圆通速递是在日常监测中发现‘内鬼’并主动报案,但并不意味圆通就能规避监管责任。因快递公司对客户的个人信息有保密责任,按照合同法,公司泄密违约,也应承担相应责任。”

谁在“消费”个人信息?

“需求”催生“生意”。这些遭泄露的公民个人信息流向了哪里,是谁在“消费”公民个人信息?

据悉,此次圆通泄露客户信息事件中,租借“内鬼”账号的是一个专门从事公民信息窃取和倒卖的犯罪团伙,他们作为“中间商”,将非法获取的公民信息卖给下游电信网络诈骗团伙——那些骗子来电时之所以能准确说出接电话者的准确信息,正是从这些“中间商”处购买的。

据此前公安部门破获的多起案件显示,这些“中间商”有的通过开设“数据挖掘”“信息咨询”公司名义,挂羊头卖狗肉,专门从事公民信息倒卖;有的通过搭设所谓信息服务网、单号网等线上销售平台,非法出售公民信息。

“这些个人信息被出售之后,一部分被用来实施各类犯罪。”长期从事打击侵犯公民个人信息犯罪的公安民警说,当犯罪分子通过各种途径获取大量个人信息后,滋生电信诈骗、绑架、敲诈勒索等刑事犯罪的风险便大大增加。

而另一类需求个人信息的群体,则是电商平台的卖家。据业内人士介绍,一些电商卖家通过虚构客户完成虚假交易的“刷单”,获取销量及好评,从而吸引顾客、增加流量。填写真实的快递单号,是刷单的重要一环。记者发现,网上存在数以百计的“空包快递”代发平台,专为刷单提供真实物流信息,不少网站都兼顾出售单号信息和个人信息。业内人士说:“不少‘号贩’身兼数职,卖面单信息、开淘宝店,极个别的自身也是快递企业的网点加盟商。

此外,需要推销广告信息、出售假冒发票和垃圾信息发布源头的组织和个人,也对公民个人信息趋之若鹜。“包括房屋中介、装修公司、保险公司、母婴用品企业、广告公司、教育培训机构等日渐兴盛的产品推销和服务企业,也是消费公民个人信息的核心群体。”

快递为何成泄露个人信息重灾区?

不仅是圆通,记者梳理发现,近年来快递行业泄露客户信息的情况时有发生,具有明显的行业特征。

记者梳理发现,近年来快递行业泄露客户信息的情况时有发生——2016年8月,深圳南山区人民法院受理一起侵犯公民个人信息案,一名顺丰速递员工将公司系统的账号密码出售他人,导致大量个人信息泄露;2018年1月,上海嘉定警方破获一起侵犯公民信息案,一名韵达快递的快递员收集近万张包含姓名、地址和手机号码的快递底单,以150元的价格卖给一家健身房的推销人员……

“近年发生的公民信息泄露案件大多发生在快递物流领域,案件范围涉及全国多地快递子网点,具有明显的行业特征。”记者从公安部门获悉,由于快递物流企业掌握的客户个人信息内容丰富且数量巨大,犯罪方式除企业内部员工从快递公司内部系统盗取外,还出现了利用“黑客”手段作案的趋势。

不过,这仅仅是信息窃取、倒卖灰色产业链的冰山一角。记者在网上发现,宣称有快递单信息兜售的卖家不在少数。在某聊天软件的“单号交流群”“快递行业数据群”等多个群中,信息贩子定时发布出售信息的广告信息。这些信息贩子通常以一些中文拼音缩写来逃避平台监管,例如以“sfz”来代表“身份证”。

记者接触的一名信息贩子“fake”称,随着监管收紧,给他提供公民信息的“货源”越来越少,“价格肯定没的商量,量也有限,要的量大的话,需提前付定金。”他的定价为:一条包含姓名、年龄、电话和地址的信息2元;只有电话和姓名的1元。

在业内人士看来,贩卖快递单号信息之所以屡禁不止,根源在于不菲的利润。在一位快递“号贩子”出示的“价目表”上,根据快递面单的时效和种类不同,售价不尽相同,其中三个月之前的单子为0.3元/单、三个月内为0.5元/单。

反观快递企业的主业配送,由于深陷价格战,快递员、加盟商通过“正行”快递业务获利反而有限。据业内人士介绍,目前快递员、加盟商能从同城、省内件获利在0.5至1元,跨省则在2至3元不等。“但从利益角度看,出售快递单信息能让这些快递从业者从快件身上获得的收益瞬间翻倍。”

隐私泄露该如何处罚?

目前,非法获取公民个人信息源头主要有两处:一是单位“内鬼”利用职务之便盗取客户信息后出售;二是黑客直接入侵网络盗取个人信息。法律界人士指出,在全面的“个人信息保护法”尚未出台背景下,应当利用现行法律对相关人员追责。“对于‘内鬼’和黑客,应当以‘侵犯公民个人信息罪’追究其个人的刑事责任。”

根据《刑法》第253条规定,违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。

随着立法不断加大对公民个人信息的保护力度,作为信息泄露重灾区的快递行业也采取了一定措施加固信息安全“防火墙”。

据业内人士介绍,为防止快递面单的客户信息泄漏,一些快递公司推出“隐私面单”——客户姓名、电话和发收件地址等信息,只在快递公司内部系统显示。“隐私面单的出现得益于快递信息电子化,但推广起来有一定困难。比如,企业需要开发特定设备和软件,商家和站点需安装相关组件,快递员也要和新的配送方式磨合。”

业内人士指出,想要真正保护用户隐私,必须进一步完善快递公司内部监管。“真正想获取个人信息的人不需要去看一张张快递单,更多的还是快递公司‘内鬼’故意贩卖用户信息。如果快递公司不防‘内鬼’,就不能彻底杜绝消费者隐私泄露问题。

栏目主编:王海燕

本文作者:邬林桦

文字编辑:邬林桦

题图来源:图虫创意

图片编辑:邵竞