你在网上购物，除了电商平台、商家、快递，其他人能看到你的个人信息吗？答案是肯定的。近日，南都记者调查发现，在网购订单信息的流通链条中，存在不为大众所知的第三方服务商。它存储了各大电商平台的网购订单，在后台搜索网名、地址、电话等关键词，甚至可以在系统中找到一个买家几年来记录的所有订单信息。专家认为，电信诈骗涉及的网购订单信息有时是从第三方软件中泄露出来的，因为第三方服务商的信息安全能力普遍较弱，屡屡成为黑客和内部人员的攻击目标。但由于通常隐藏在电商平台和商家的背后，很容易被忽视。

除了商家和平台，还有谁知道我的网购订单信息？

近日，淘宝买家陈嘉告诉南都记者，当她在淘宝上买东西时，发现商品被损坏。经与商家协商，商家答应补办两次。然而，她没有收到补发的货物，因为它们是三年前寄到她的地址的。矛盾的是，三年前陈嘉从未向该公司提供过地址。企业是怎么知道的？

陈嘉与淘宝商家的聊天记录截图。受访者供图。

原来，在淘宝、商家、快递公司、用户之间，还隐藏着其他第三方——陈嘉遇到的这个地址匹配错误，就是这个第三方的“锅”。

商家解释，为了方便管理各电商平台的订单和货物仓储，他们与一家名为“广州我的配送网仓有限公司”(以下简称“我的配送网仓”)的仓储公司合作。他进一步解释说，许多商家与同一家仓储公司合作，使用相同的订单管理软件。可能陈嘉三年前在其他商家购物时提供了地址，所以软件保存了陈嘉的订单信息，这次刚好自动匹配。根据商家展示的软件后台截图，搜索陈嘉的淘宝ID，可以找到她使用过的所有地址信息。但商家强调，“我们这里不会给你任何信息。放心吧。”“我感觉有点恐怖。”陈嘉告诉南都记者，在她的认知里，应该只有商家和快递公司知道她的订单信息，其他第三方的存在她完全不知情。“但他们保留了我的个人信息。”

第三方服务提供商可以看到所有订单信息大部分是未加密的。

杜南记者从官网了解到，一家为多家电商平台卖家提供货物仓储、收发管理、信息对接等服务的仓储管理服务商。对接的电商平台包括淘宝、JD.COM、唯品会、拼多多等知名电商平台。

我的分销网络仓库官方介绍图。

与我们网上仓库合作的订单管理软件——“网店管家”，是电商平台的第三方服务商。其主要功能包括处理门店订单、门店订单、库存管理等。，其在淘宝服务市场的销量为4.3万。

杜南记者以电商平台商家谈合作为由，联系了我们网上仓的业务来往赵翔。他介绍了订单信息的流通方式:通常情况下，商家把货放在我的配送仓库进行存储。买家下单后，商家审核后，我的配送仓会自动从电商平台的API接口抓取订单给网店管家，网店管家再推送到我的配送仓，配送仓会配送货物，联系快递公司发货。也就是说，无论是仓储公司还是第三方订单管理软件，都有能力获取和存储电商平台买家的订单信息。

网店管家业务流程图。

当被问及订单信息是否会被删除时，我们网络仓库的技术人员张虹表示，“基本上，客户的订单会一直存在于系统中”。管家冯路也证实，所有导入这个系统的网购订单信息，在软件后台都能看到，正常情况下，这些订单信息不会被删除。他们都表示，通过搜索淘宝id、订单号、电话、地址等关键词，可以在系统中找到所有买家的订单。张虹说，“太久没查了，但是半年一年的信息都可以查。”从陆丰展示的网店管家后台，杜南记者看到，淘宝虽然对网购订单进行了部分编码，但只要单鼠标左键或双击某个具体订单信息，就可以“解码”，完整显示订单号、交易时间、用户名、收货人、地址、物流方式等信息。

网店管家后台截图。

陆丰还透露，其合作的200多家电商平台中，只有拼多多办理了手机号的虚拟号，淘宝正在尝试通过编码的方式对订单信息进行部分加密，其他电商平台并没有对订单信息进行加密。

第三方服务商应及时删除订单信息。电商平台有审核义务。

虽然陈嘉的遭遇可能是概率极低的系统错误，但只要这些隐藏在用户视线之外的第三方继续存在，侵犯隐私的感觉就很难消除。那么，第三方服务商的存在是否合理？第三方服务商是否有权在未经用户同意的情况下存储其个人信息？App违法违规收集使用个人信息专项治理工作组专家何延哲表示，一个商家往往在多个电商平台开店。如果其中一个电商平台开发了订单管理软件，可能会涉及到平台之间的数据竞争。独立第三方服务商有其存在的理由，这个结果是在长期的磨合下形成的。北京大学法学院副院长薛军也认为，第三方服务商保留相关信息有其合理性和必要性。但是保存期限要有一个合理的界限，不适合长期保存和未经同意的分享。国家标准《信息安全技术个人信息安全规范》要求，个人信息控制人委托第三方处理个人信息时，被委托人应当严格按照个人信息控制人的要求处理个人信息。委托关系解除时，不再存储相关个人信息。薛军表示，如果商家授权第三方服务商帮助其管理配送，第三方服务商收集相关信息属于履行合同所必需的范围，但商家也应当明确告知用户委托第三方配送的经营模式。北京市网络行业协会法律委员会副主任王薇薇也持类似观点:“以前仓储公司和商家共享信息的目的是为了给用户拿货。交付后，原则上应及时删除，但不得保留。”她认为，商家在收集用户信息时，应当根据《网络安全法》的规定，明确表明收集信息的目的和方式，并征得用户同意，还需要告知用户在为其提供服务时，将与第三方共享信息。此外，电商平台也有义务审核第三方获取用户信息的渠道。

存在网购电信诈骗，因第三方信息泄露，建议增加审核制度。

除了在个人信息存储时间长短方面可能存在的违规风险，薄弱的信息安全能力也使得第三方服务商屡屡成为黑客和内部人士的目标，用户个人信息屡遭泄露，进而引发诈骗。“请问你在XXX平台买过XXX品牌的衣服吗？我是XXX平台客服。”近年来，网购退款诈骗猖獗。冒充客服的诈骗分子以各种名义要求用户汇款、转账，而很多人上当的原因就是假客户能准确说出自己的网购订单信息。网购订单信息泄露在哪里？根据36Kr之前的分析，电商平台和商家之间泄密的可能性较低，问题出在他们之间的交接上:为了提高工作效率，快速填写打印快递单，自动发货等。，商家通常使用第三方订单管理软件。

第三方管理软件容易被黑客攻击。图:36Kr。

根据以上分析，第三方软件开发公司的信息安全能力往往不如电商平台强大，因此成为黑客主攻的薄弱环节——黑客可以轻易找到某些软件的后门，在软件工作过程中扫描所有订单信息并打包下载。除了黑客，内奸也是泄密的主要来源之一。网店管家冯路透露，曾经有新员工把顾客的订单信息拿出来卖，干了几天就走了。目前网店管家正在配合电商平台整改，后续电商平台也可能会对订单信息进行完全加密。何延哲告诉南都记者，从电商平台、商家、第三方管理软件、仓储公司，到物流配送，已经形成了非常成熟的体系。如果网购订单信息泄露，首先想到的可能是电商平台和商家。很少有人注意到，第三方服务商也是一个潜在的泄露渠道。电信诈骗、金融诈骗涉及的网购订单信息，有时会从第三方软件泄露。他指出，商家可以通过正常的商业渠道获取大量的订单信息，这些信息存储在第三方软件中。"业务结构的这一缺陷可能会增加信息泄露的风险."中国交通运输协会快递分会副会长徐勇提出，应建立第三方管理软件的审核制度，检查软件是否存在缺陷和信息泄露风险。技术上要建立内部防火墙，审计系统，登录记录，防止内部人员泄露信息。何彦哲还建议，如果订单管理由通过技术安全检查的第三方技术平台进行，那么这个环节会变得更加可靠。此外，还应加强对该环节信息泄露的打击力度，增强商家和第三方软件维护人员的个人信息保护意识。(为保护采访对象隐私，陈嘉、赵翔、张虹、冯路均为化名)采写:见习记者孙超。