11月17日,YTO快递回应“因‘内鬼’导致40万条个人信息泄露”事件称,怀疑部分加盟网点员工与外部不法分子勾结窃取运单信息,导致信息泄露。该公司向当地公安部门报案,并全力配合调查。相关嫌疑人于9月被逮捕。
这件事引发的关于个人信息泄露的讨论还在继续。记者梳理公开信息发现,童渊“内鬼”事件并非先例:此前,包括童渊、顺丰在内的多家快递公司都曾被曝出类似的个人信息泄露事件,部分“内鬼”受到了处罚。
除了“内鬼”之外,消费者隐私被窃取的途径还包括在面单上拍照、系统软件漏洞等等。南都记者调查发现,目前,网络上快递信息业务盛行。其中快递单号可以自助购买,而个人信息完整的“快递单号”则在网上公开出售,1元就能买到一个。个人信息买卖已形成黑色产业链。
事件:童渊被曝“内幕人士”泄露 40万条个人信息,嫌疑人被抓
近日,有媒体曝出不法分子与童渊快递多名“内鬼”勾结,通过有偿租用童渊员工系统账号窃取公民个人信息,并将公民个人信息倒卖给下游不同不法分子,40万条公民个人信息被泄露。针对此事,11月17日,YTO快递官方微博做出了回应。
对此,YTO快递表示,今年7月底,公司总部实时风控系统监测到河北YTO快递两个加盟网点账户出现网点以外的运单信息异常查询,判断为明显异常操作,第一时间关闭了风险账户。同时,立即成立由品控、安全、信息中心、网管、河北省组成的调查组,对这一事件进行取证调查。
调查发现,疑似部分加盟网点员工与外部不法分子勾结,利用员工账号和第三方非法工具窃取运单信息,导致信息泄露。该公司随后向当地公安部门报案,并全力配合调查。相关嫌疑人于9月被逮捕。
YTO运通表示,公司核心业务系统已全部通过信息安全等级保护三级评估,从技术和管理层面努力保障信息系统安全。并表示将继续以“系统+技术”的方式完善信息安全风险控制体系,实时监控内部账户,主动发现违法违规行为。
案例:多家快递公司被曝“内鬼”,数千万条个人信息被泄露。
随着快递物流业的发展,信息安全泄露问题越来越严重。
记者梳理公开信息发现,童渊“内鬼”事件并非先例:此前,包括童渊、顺丰在内的多家快递公司都曾被曝出类似的个人信息泄露事件,部分“内鬼”受到处罚。
早在2012年,就有媒体报道申通、童渊、中通等快递公司的快递单号信息被大量泄露,快递单号被放到网上公开出售,价格从0.4到2元不等。
2013年,YTO快递被曝快递信息泄露,引发关注。据媒体2013年12月报道,网站“www.17s.cm”不仅帮助电商卖家互刷信誉、冲击“皇冠”,还声称与上海童渊公司长期合作出售快递信息。童渊公司向上海青浦警方报案后,警方成立了专案组进行调查。经分析,该网站发布的快递单号信息真实有效,注册该网站的会员可以通过网络支付平台购买单号中的公民信息,包括快递单号、收货人姓名、收货人手机号、收货地址等。
警方进一步调查发现,该网站注册人与张某合作开办该网站,并设置“快递”功能模块出售公民个人信息。每条信息卖0.9元,每天卖900条左右。该信息由在公司工作的“内鬼”林提供,张以每月500元的价格大量购买。截至案发,已出售公民个人信息20余万条。
此外,2018年5月,湖北省荆州市中级人民法院宣判了一起与快递公司有关的公民信息泄露案。该案以顺丰员工为信息泄露主体,形成了快递代理、文化公司、无业人员、诈骗分子等多方参与的黑色生产链。判决书显示,2016年11月,荆州市沙市区解放路派出所在对辖区企业进行安全检查时,发现顺丰荆州某网点仓库管理员王某频繁登录公司内部系统查询,具有高度嫌疑。根据法院判决书,事情的起因是顺丰荆州公司主动报案。
判决书显示,河北顺丰快递员杜某自2015年10月起,联系顺丰荆州某网点仓库经理王某及其妻子,以每条两元的价格购买客户信息。夫妻俩出售个人信息4000余条,获利8497元。杜某自2016年底被抓后的一年多时间里,出售用户隐私1.9万余组,获利16万余元。
据悉,该案共查获涉嫌泄露的公民个人信息1000多万条,涉及交易金额200多万元。涉案嫌疑人金额达数十万元,其中杜某最高16万元,其他从几千到两万到三万元不等。
个人信息买卖已形成黑色产业链。上海市公安局相关负责人曾对南都记者表示,黑客或内部人员窃取信息,中间人从中获取大量信息并建立数据库,信息使用者向其购买信息进行精准营销,甚至用于下游的诈骗、敲诈等犯罪。除了黑客攻击,包括物流行业在内的很多行业都是信息泄露的“重灾区”。部分从业人员将个人信息作为商业信息非法买卖,非法获取、出售公民个人信息呈现职业化趋势。
乱象:快递单号可自助购买,有1张个人信息完整的“快递面单”1元
记者在杜南了解到,除了“内鬼”泄密,消费者的隐私还有其他被窃取的途径,如当面拍照、系统软件漏洞、外挂等。记者在杜南调查发现,目前,网络上流行快递单,1元钱就能买到个人信息完整的快递单。
10月17日,南都记者以“凭快递单号购买”为关键词在网上搜索,发现了几家公开出售快递单号的网站。杜南记者进入xx单号网站,注册登录后,“单号中心”一栏有“购买快递单号”、“批量购买单号”、“电商自动匹配系统”等选项,买家可以根据收货地址、收货地址、快递种类自行购买。
快递单号自助购买页面。
记者注意到,每个快递号的价格是0.5元,购买快递号需要先充值,每次充值至少需要10元。一次性充值20元可送永久VIP,一次性充值500元送100元。单个快递消息的价格会降到0.3元,还可以成为代理,推广可以享受20%的提成。
在客服的指引下,杜南记者购买了一条0.5元起的快递短信,11月13日送达广州番禺区,收件至北京潮阳区,获取了快递单号及相关物流信息。但该网站出售的快递单信息不完整,未提供收货人姓名、手机号码、具体收货地址等详细信息。
据了解,出售的快递单号主要是电商平台上的卖家使用,卖家通过虚假交易提高销量和信誉度。有的卖家还会买快递空包裹,填好地址发空包裹,或者留着底单以防电商平台抽查。
与快递单号不同,快递单包含的信息更多。除了单号,还包括寄件人姓名和收件人姓名、联系方式、准确地址等。
卖家提供的快递信息Excel文档。它包含订单编号、收件人地址和姓名等个人信息。
“我们工作室长期以来一直在诚信卖实时面(图1元证件2元拉群50元)”,南都记者在某社区平台找到了一个卖快递面的帖子,并与对方取得了联系。“我不想做照片,但现在它们都是文档的形式。”卖家说。随后,其将包含2000多条快递信息的Excel文档发给南都记者进行“测试”。
杜南记者在这份文件中看到,每条信息都包括快递单号、收件人姓名、手机号、收件地址和发件人姓名。其中,从名称上看,寄件人多为商家,收件人遍布全国各地。
杜南记者随机选择了几个快递单号进行查询,发现都是有效的。网站显示,这些订单号均来自大云快递,相关快件已于11月8日左右签收。
卖家称,这些快递信息来自各个快递公司,历史信息每条1元,实时信息每条2元。当被问及这些信息是如何获得的,对方表示“不用担心渠道,肯定是安全的”。它还说,“客户”每天需要从他们那里获得数百、数千到数万条信息。
处罚:出售或者非法提供公民个人信息是犯罪
快递用户个人信息保护一直备受关注。
2018年5月起施行的《快递暂行条例》明确规定,从事快递业务的企业应当建立快递运单和电子数据管理系统,妥善保管用户信息等电子数据,定期销毁快递运单,采取有效技术措施保障用户信息安全。从事快递业务的企业及其从业人员不得出售、泄露或者非法提供在快递服务过程中知悉的用户信息。
出售或泄露个人用户信息的快递公司可能面临重罚。《规定》明确,违反上述规定,情节严重的,最高可处10万元罚款,并可吊销快递业务经营许可证或责令停业整顿。
此外,南都记者了解到,刑法修正案九将出售、非法提供公民个人信息罪和非法获取公民个人信息罪整合为侵犯公民个人信息罪,扩大了侵犯个人信息的犯罪主体和行为范围。高亮发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》规定,“公民个人信息”包括身份信息和活动信息,即以电子方式或者其他方式记录的能够单独或者与其他信息结合使用,用以识别特定自然人身份或者反映自然人活动情况的各类信息,包括姓名、身份证号、信息和通信联系方式、地址、账号密码、财产状况、行踪轨迹等。
根据刑法规定,违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
记者注意到,在裁判文书网公布的案例中,大部分窃取、贩卖快递信息的人都是以非法获取公民个人信息罪被判处有期徒刑、罚金。例如,在湖北省荆州市中级人民法院宣判的上述涉及公民信息泄露的案件中,19名犯罪嫌疑人分别被判处1年至3年不等的有期徒刑,并处罚金。其中,快递员杜某被判处有期徒刑三年,并处罚金人民币20万元。
监制:杜南新商业法治研究中心
采写:南都记者伍嘉陵实习生欧阳伟
