內(nèi)鬼潛伏，如何不讓信息 裸奔？

陳冰

目前在打擊非法獲取買賣個(gè)人信息行為上，企業(yè)和行政司法部門一樣，面臨著主體難以確定、證據(jù)難以固定、行為認(rèn)定標(biāo)準(zhǔn)模糊、同時(shí)對(duì)違法者的懲戒力度小等這樣一些問題。

雙十一聲勢(shì)浩大地沖入每個(gè)人的生活。在瘋狂剁手的同時(shí)，個(gè)人信息被泄露的話題再次引發(fā)人們的關(guān)注。我們的個(gè)人信息到底都是誰泄露的？各大快遞公司紛紛推出的隱私面單能否有效避免信息外泄？

誰在泄露我們的信息？

電信詐騙年年有，天天有。但是去年發(fā)生的山東準(zhǔn)大學(xué)生被騙猝死，清華大學(xué)教授被騙巨款1760萬元的事件還是深深刺痛人們的神經(jīng)，也讓公民個(gè)人信息泄露再次成為輿論焦點(diǎn)。

數(shù)據(jù)顯示，北京近6年，有1.6億多條公民個(gè)人信息被泄露。掌握這些信息資源的快遞、網(wǎng)購、物業(yè)、教育等機(jī)構(gòu)甚至還有公安機(jī)關(guān)個(gè)別人是信息泄露的源頭，而保健品、保險(xiǎn)、理財(cái)、房地產(chǎn)中介等行業(yè)以及職業(yè)倒賣人員是這些信息的主要購買者。

2013年至2016年，北京各法院共審理了涉及侵犯公民個(gè)人信息的案件67件（案發(fā)時(shí)間為2010年至2016年）。這些案件中，平均最便宜的一條信息售價(jià)不到半分錢，最貴的一條信息賣到了5.7元。其中涉及泄露信息量最多的一起案件達(dá)到了驚人的1.3億多條，這是北京法院公開判例中最多的一起。

那么這些信息都是如何被泄露的呢？

公安機(jī)關(guān)、快遞公司、購物網(wǎng)站有大量機(jī)會(huì)接觸公民的個(gè)人信息，一旦制度不嚴(yán)，“內(nèi)鬼”出現(xiàn)，這些機(jī)構(gòu)會(huì)首當(dāng)其沖成為信息泄露者。

在北京市處理的67起案件中，出售公民個(gè)人信息獲利最多的一起就是快遞公司信息泄露。

李某是某快遞公司信息部的員工，有權(quán)查詢公司客戶信息數(shù)據(jù)庫。利用這一權(quán)限，自2012年3月至2014年6月，他頻繁進(jìn)入公司客戶信息數(shù)據(jù)庫拷貝信息，后通過郵箱、QQ等方式將13.2萬余條信息出售給竇某，獲利28.8萬元。

有網(wǎng)購經(jīng)歷的人都知道，貼在快遞盒上的面單含有收件人和寄件人的大量信息，包括姓名、地址、電話以及購買的物品種類。而在網(wǎng)上，這類快遞面單出售的信息比比皆是。

通過QQ平臺(tái)搜索面單群，即有多個(gè)群顯示出售面單信息，一個(gè)名為快遞面單選購的群就公告稱，每單3.5元，50單起購，一次性購買300單，價(jià)格則為每單3元。

這些信息不少是被商家買來推銷自有產(chǎn)品，一些商家就較為青睞那些有過購買相關(guān)產(chǎn)品的客戶信息。相應(yīng)的，在面單銷售中，也有專門針對(duì)某一個(gè)行業(yè)的面單群，如一個(gè)群名就為順豐保健品數(shù)據(jù)面單群，主要用來銷售通過順豐購買保健品的客戶資料。還有的人則專門在網(wǎng)絡(luò)上求購手機(jī)行業(yè)的相關(guān)面單信息。

在百度上，搜索面單出售信息，同樣也可以出現(xiàn)多條有關(guān)的消息，甚至還有人求購提取順豐面單信息的工具。由于順豐普通員工往往只能查詢訂單，并沒有批量下載訂單的權(quán)限，因而有一款在順豐系統(tǒng)內(nèi)提取、批量下載客戶信息的工具，顯然將大大提高作案的效率。

2016年7月，深圳市南山區(qū)法院審理的一起案件顯示，一名順豐員工伙同他人，于2014年下半年到2015年7月左右，半年時(shí)間通過批量下載軟件盜取順豐客戶的個(gè)人信息10多萬條。

被告人陳洋于2008年9月入職順豐公司，成為該公司東莞市石碣分部倉管員，主要負(fù)責(zé)快遞件的入出倉及問題件的處理等。直到2014年間，陳洋結(jié)識(shí)了懂得編寫計(jì)算機(jī)程序的楊維保，兩人商量由楊維保編寫一個(gè)批量下載的工具，來從順豐公司系統(tǒng)內(nèi)下載個(gè)人信息。

這一工具操作簡(jiǎn)單方便，由陳洋裝載在手機(jī)之中，通過手機(jī)連接公司的電腦，再打開軟件，隨后進(jìn)入公司的系統(tǒng)，即可以批量下載相關(guān)的客戶信息。

由于楊維保發(fā)現(xiàn)順豐的單號(hào)有一定的規(guī)律性，且市場(chǎng)上對(duì)保健品、減肥、豐胸等面單的信息需求旺盛，他開發(fā)的這一軟件還可以批量下載指定的訂單信息，針對(duì)性極強(qiáng)。除此之外，一旦軟件出現(xiàn)問題，楊維保還可以立即予以修復(fù)，重新投入使用。

除了這些普通員工利用多種途徑出售個(gè)人信息之外，具有較大便利的則是研發(fā)工程師。2015年2月，福田區(qū)人民法院一審宣判的一宗案件中，顯示順豐公司的研發(fā)工程師利用工作之便大量出售個(gè)人信息。

法院審理認(rèn)定的內(nèi)容顯示，2012年8月，被告人嚴(yán)某入職順豐速運(yùn)有限公司，任研發(fā)工程師。2013年10月份開始，被告人嚴(yán)某利用其任研發(fā)工程師的職務(wù)便利，從順豐速運(yùn)有限公司的數(shù)據(jù)庫里導(dǎo)出客戶信息資料（包括個(gè)人姓名、住址、聯(lián)系電話）到互聯(lián)網(wǎng)上其自己的網(wǎng)盤內(nèi)，回到住處后將網(wǎng)盤內(nèi)的客戶信息資料數(shù)據(jù)下載保存到自己的電腦上，再進(jìn)行出售。

嚴(yán)某出售的個(gè)人信息每條價(jià)格在0.2元— 0.5元之間，截至2014年6月，不足一年的時(shí)間，嚴(yán)某獲利達(dá)到36萬元人民幣。依此推算，嚴(yán)某出售的個(gè)人信息達(dá)到百萬條。

其實(shí)不止順豐，其他快遞公司也存在類似的信息安全隱患。這些被售出的個(gè)人信息除了被用于企業(yè)營銷之外，還有一部分被用于實(shí)施詐騙。

今年3月11日，山東濟(jì)南的李蒙接到一個(gè)自稱淘寶客服的來電，問她是不是在某淘寶店買了一身衣服：“一件上衣是襯衣泡泡袖，下裝是西裝褲”——完全符合李蒙的購物信息。

隨后，該人員稱這一批衣服甲醛超標(biāo)，工廠需要召回，需李蒙配合他在系統(tǒng)上操作進(jìn)行退款。

得知李蒙的支付寶賬號(hào)后，隨即有一個(gè)自稱支付寶退款中心的經(jīng)理加李蒙為支付寶好友，并給她發(fā)了一個(gè)淘寶鏈接，她在該鏈接上輸入了身份證號(hào)、銀行卡號(hào)、支付密碼等信息，隨后便發(fā)現(xiàn)銀行卡中的資金被接連轉(zhuǎn)出，不到10分鐘，李蒙銀行卡上的71561元已被轉(zhuǎn)移到某基金網(wǎng)站上。

這樣的騙術(shù)幾乎每天都在上演。我們經(jīng)常會(huì)接到各類騷擾詐騙電話，向你介紹投資理財(cái)、房產(chǎn)買賣、兒童早教、旅游產(chǎn)品，他們可以叫出你的姓名，知道你的性別，甚至非常清楚你消費(fèi)的內(nèi)容，這已成為我們生活的常態(tài)。

物流快遞業(yè)的網(wǎng)絡(luò)安全和信息安全問題亟待整治。endprint

隱私面單是否靠譜？

3月31日，菜鳥網(wǎng)絡(luò)聯(lián)合上海公安局啟動(dòng)行業(yè)安全自律平臺(tái)——對(duì)于販賣客戶信息的人員，平臺(tái)將聯(lián)手封殺，永不錄用。中國郵政、EMS、圓通、中通、申通、德邦、韻達(dá)、宅急送等多家物流快遞企業(yè)已經(jīng)加入平臺(tái)。

所謂的共享平臺(tái)，即黑名單的共享。菜鳥網(wǎng)絡(luò)安全負(fù)責(zé)人王樂表示，黑灰產(chǎn)對(duì)物流行業(yè)的關(guān)注在持續(xù)上升，在過去一年，相當(dāng)大部分的信息泄露案件，與物流快遞行業(yè)內(nèi)部從業(yè)人員有關(guān)，大部分是專職從事于黑灰產(chǎn)的產(chǎn)業(yè)人員，這些人流竄于各個(gè)行業(yè)、各個(gè)公司、各個(gè)崗位。比如北京一家電商企業(yè)的安全人員，因泄露信息被抓獲，該案涉及用戶信息50億條。

王樂介紹，目前消費(fèi)者隱私被竊取的主要方式有面單拍照、內(nèi)鬼泄密、系統(tǒng)軟件漏洞以及外掛等。從趨勢(shì)上看，通過線下的面單信息泄露隱私的比率逐漸上升。

在配送端，為保護(hù)用戶隱私，目前圓通、菜鳥和京東都宣布啟用更安全的隱私面單，在面單上隱去消費(fèi)者的姓名電話等信息。

今年1月，圓通速遞率先推出“隱形面單”，對(duì)快遞單上的個(gè)人信息進(jìn)行加密隱藏，提高并加強(qiáng)快遞單的信息保密和綜合防偽功能，相當(dāng)于給消費(fèi)者的個(gè)人信息再加上一把“安全鎖”。

圓通相關(guān)負(fù)責(zé)人在接受《新民周刊》采訪時(shí)表示，目前隱形面單主要有三大“隱藏功能”，可實(shí)現(xiàn)對(duì)用戶的手機(jī)號(hào)、姓名和地址等信息的加密處理。例如，對(duì)用戶的手機(jī)號(hào)，會(huì)通過技術(shù)手段隱藏部分的數(shù)字。盡管面單上不顯示用戶的完整手機(jī)號(hào)碼，但圓通快遞員可以通過公司自主研發(fā)的行者App，直接撥號(hào)至收件人，及時(shí)安全高效地聯(lián)系到收件用戶。目前圓通已經(jīng)開始在大客戶進(jìn)行試點(diǎn)推行自己的隱私面單系統(tǒng)。

除了圓通，其他快遞公司也在研發(fā)自己的隱私面單系統(tǒng)。3月，菜鳥就推出了類似系統(tǒng)。商家采用菜鳥的隱私面單系統(tǒng)之后，菜鳥提供給快遞公司的將是不完整的收件信息。

與此同時(shí)，京東推出了“微笑面單”。京東方面在接受《新民周刊》采訪時(shí)指出，近年來，因“快遞單”隱私信息泄露致使個(gè)人人身財(cái)產(chǎn)安全受到傷害的事件和新聞屢見不鮮，迫使消費(fèi)者開始關(guān)注個(gè)人隱私信息安全的保護(hù)，很多人在收到快遞包裹后會(huì)有意識(shí)地將快遞面單撕掉或?qū)⑿畔⑦M(jìn)行涂抹，但是此舉費(fèi)時(shí)費(fèi)力，并且快遞包裹在遞送過程中信息仍然是不被保護(hù)。針對(duì)此隱患，京東物流推出了“微笑面單”，利用技術(shù)手段將包裹面單上用戶手機(jī)號(hào)等個(gè)人重要信息以笑臉（^_^）代替，以一種更溫情化的方式有效保護(hù)用戶隱私。

“基于京東自建物流的優(yōu)勢(shì)，我們可以實(shí)現(xiàn)全供應(yīng)鏈的有力管控， 更有利于在全國范圍內(nèi)推廣實(shí)施‘微笑面單?！本〇|方面表示，從去年6月試行到今年3月全面推行，截止到目前，京東是唯一一家正式在全國推廣應(yīng)用“微笑面單”的企業(yè)。

技術(shù)如何防范內(nèi)鬼？

相關(guān)數(shù)據(jù)表明，很多信息泄露都出在“內(nèi)鬼”身上?！拔⑿γ鎲巍庇质侨绾畏乐埂皟?nèi)鬼”泄密的呢？京東方面表示，在快遞員實(shí)際操作層面，快遞員只能通過京牛App掃描“微笑面單”上的條碼才能“撥打電話”聯(lián)系用戶。而在公司管理層面則建立了嚴(yán)格的權(quán)限管理制度，有較為完備的系統(tǒng)審計(jì)、預(yù)警功能，一旦出現(xiàn)違規(guī)操作，系統(tǒng)能立刻捕獲信息，達(dá)到有效的監(jiān)控及迅速止損。

“餓了么”公共事務(wù)總監(jiān)張奕說，目前在打擊非法獲取買賣個(gè)人信息行為上，企業(yè)和行政司法部門一樣，面臨著主體難以確定、證據(jù)難以固定、行為認(rèn)定標(biāo)準(zhǔn)模糊、同時(shí)對(duì)違法者的懲戒力度小等這樣一些問題。這一定程度上造成了實(shí)踐中違法者違法成本過低、違法行為頻發(fā)，打擊難以起到震懾作用。

餓了么為此特別設(shè)置了匿名購買和匿名評(píng)價(jià)的功能以減少消費(fèi)者信息在整個(gè)交易鏈條當(dāng)中的泄露?！叭绻眠^我們的App，下單時(shí)有個(gè)選項(xiàng)是匿名購買，如果勾選，出現(xiàn)在商戶或者快遞小哥訂單上的就是一個(gè)簡(jiǎn)化代碼，不是真實(shí)姓名，電話號(hào)碼也是一個(gè)虛擬號(hào)碼，個(gè)人真實(shí)電話號(hào)碼是不顯示的，這是技術(shù)上加強(qiáng)保護(hù)的手段。”

張奕說，公司內(nèi)部規(guī)定了非常嚴(yán)格的制度，我們所看到的外漏的消費(fèi)者信息包括姓名、電話、地址在互聯(lián)網(wǎng)企業(yè)數(shù)據(jù)庫當(dāng)中只是一系列代碼，只有非常高權(quán)限的管理人員才有權(quán)限把這些代碼翻譯成看得懂的信息，這些不是一般人員可以做得到的。對(duì)于互聯(lián)網(wǎng)企業(yè)來說，并不擔(dān)心員工通過比如手抄或者電腦里面下載一些excel表格獲得消費(fèi)者信息，只有通過非常高的技術(shù)手段從服務(wù)器上竊取這個(gè)數(shù)據(jù)，有比較高的權(quán)限讀懂破譯它才可以獲得有效的消費(fèi)者信息?！斑@個(gè)權(quán)限管理上我們?cè)O(shè)定了非常嚴(yán)格的制度，什么崗位的，什么級(jí)別的你才能夠讀到什么內(nèi)容的信息，都是有非常嚴(yán)格的規(guī)定的?！?/p>

“我們?cè)O(shè)置了預(yù)警機(jī)制，如果內(nèi)部員工或外部黑客通過技術(shù)手段獲取消費(fèi)者信息，一旦發(fā)現(xiàn)，我們會(huì)配合相關(guān)司法部門介入，進(jìn)行嚴(yán)厲打擊?！?張奕說。

菜鳥網(wǎng)絡(luò)的王樂則認(rèn)為，除了隱私面單，更安全的解決方案是啟用物流云，通過對(duì)數(shù)據(jù)全程加密，將從源頭上保護(hù)消費(fèi)者隱私。

作為一個(gè)物流平臺(tái)，菜鳥可以定期為物流合作伙伴提供安全檢測(cè)，隨時(shí)預(yù)警、提醒。一旦發(fā)現(xiàn)問題，會(huì)第一時(shí)間定位泄露點(diǎn)，并緊急跟進(jìn)修復(fù)。

2016年10月，菜鳥網(wǎng)絡(luò)監(jiān)測(cè)到某家物流公司系統(tǒng)出現(xiàn)嚴(yán)重安全漏洞，如果被黑客利用，可能導(dǎo)致400余臺(tái)服務(wù)器被控制，可能波及大量消費(fèi)者信息。菜鳥緊急對(duì)該企業(yè)發(fā)出預(yù)警，并協(xié)助其完成了漏洞修補(bǔ)。

據(jù)菜鳥網(wǎng)絡(luò)介紹，其聯(lián)合業(yè)內(nèi)企業(yè)，2016年成功阻止了數(shù)億條消費(fèi)者信息泄露?！拔覀円呀?jīng)開始建立安全的評(píng)估模型和量化標(biāo)準(zhǔn)指標(biāo)?！蓖鯓犯嬖V記者，未來，是否能保障消費(fèi)者的隱私安全，將成為商家和消費(fèi)者選擇快遞公司的重要參考之一。endprint