法制经济

法制经济

​快递业何以成为信息泄露的重灾区

6727
发表时间:2020-12-03 09:42作者:宋媛媛来源:法治周末

圆通速递“内鬼”泄露40万条个人信息事件虽然风头已过,圆通官方也已经发表声明致歉,但整个事件并没有就此结束。根据上海市网信办微信公众号11月25日消息,圆通速递被约谈并责令整改。

近年来,快递业的迅速发展给人们的生活带来了便利,然而快递单个人信息泄露事件的频频出现,也引发了公众对信息安全的担忧。

快递信息为什么会被泄露?泄露出现在哪一环?谁来监管,又如何监管?这恐怕是公众当下最为关注的问题。

圆通被约谈并责令整改事件回顾

上海市网信办的相关消息显示:“今年7月,圆通速递有限公司河北省区内部员工与外部不法分子勾结,利用员工账号和第三方非法工具窃取运单信息,导致40万条个人信息泄露,相关犯罪嫌疑人于9月落网。11月16日起,境内多家媒体刊载相关报道,‘圆通内鬼租售账号导致40万条个人信息泄露’等相关话题引发网民热议。”

11月17日,圆通官方微博做作出回应。回应显示,公司风控系统监测到河北省区下属网点有两个账号存在异常后,于第一时间关闭风险账号,同时对此事件开展取证调查。查明事实后,公司向当地公安部门报案,并全力配合调查。

在回应中,圆通还表示:“公司核心业务系统均通过了信息安全等级保护三级测评,从技术层面和管理层面着力保障信息系统的安全性。”

然而,对于这份回应,很多网友表示并不“买账”:“明明是企业内部监管不力造成的后果,为何圆通的回应却给人一种自我表扬之感”“事后,圆通并没有进行针对性的整改和相关信息系统的安全优化”……

一时间,圆通“敷衍”的道歉行为,引发了比泄露40万条用户信息更大的风波。

就在圆通作出回应的当晚,央视《新闻1+1》节目中,中国社科院法学研究所副所长周汉华就此问题进行解读。

周汉华在接受采访时表示,“自我发现”“自己报案”“配合参与全过程”……圆通的回应确实给人“自我表扬”这种印象。

周汉华指出,执法部门应该跟进,“拒不履行信息网络安全管理义务罪”这个武器要用上,否则此类事件将会层出不穷。

另外,周汉华还表示:“治理信息泄露,不打‘老虎’没有用。”他认为,此次圆通案件中的涉事员工就属于是“苍蝇”,而平台、大公司就是“老虎”。要真正解决个人信息滥用的问题,不打“老虎”是没有用的,国际上都是打“老虎”。类似案件如果发生在发达国家,对于平台公司会有很大冲击。当然,“苍蝇”也不能放过。

上海网信办信息显示,11月19日下午,上海市网信办网安处会同其他部门约谈了圆通公司,责令要求圆通公司认真处理员工违法违纪事件。

快递单个人信息泄露事件频出

圆通泄露用户个人信息并非首次。

有媒体报道称,2013年10月,近百万条圆通速递单个人信息网上可购,单号数据24小时滚动刷新。另外,2018年7月至2019年5月间,有人利用爬虫软件从圆通公司网站非法窃取公司快递信息并获利100万元。

有专家指出,圆通信息泄露事件频现与其加盟制度密不可分。除了顺丰、京东采用直营体系以外,“三通一达”(圆通速递、中通快递、申通快递和韵达快递)都是依靠加盟制起家的民营快递公司。近年来,随着加盟网点的快速扩张,某些地区的加盟网点出现了信息安全隐患、服务质量下降、员工素质低等问题。

快递专家赵小敏在接受媒体采访时表示,目前快递行业的这种加盟模式最多可以达到6层至7层。由于层层外包,很容易造成总部政策传达受阻。部分加盟商对用户信息安全方面所知甚少。

赵小敏说:“有些加盟商可能对网络安全领域,或者是其所属公司的相关规则都不清楚。一些企业虽然表示企业总部很重视网络信息安全,但是加盟的商业模式决定了,只有总部重视是没有用的,应该是每个人都要了解它的规则、它的边界在哪里。”

对于上述观点,中国交通运输协会快运分会副会长徐勇提出了不同的意见。徐勇向法治周末记者表示,快递公司信息泄露事件频出,原因不仅在于加盟模式,更在于买方市场的大量存在。信息购买人群主要是电商,他们通常用于网店的刷单,即通过制造虚假交易,提高自身的销售和信誉度,还有不少是电信诈骗和境外博彩网站购买。

公开资料显示,直营模式的顺丰也曾涉及个人信息泄露。

2018年4月,湖北荆州中级人民法院曾宣判过一起涉及公民信息泄露案件。判决书显示,该案件以顺丰员工为信息泄露主体,快递代理商、文化公司,还有无业者等多方参与其中。2015年以来,他们为了牟取非法利益,利用微信、QQ等软件平台,出售、提供、非法获取包含顺丰快递单号、面单(即包含顺丰快递单号、地址、电话号码的图片)中公民的个人信息,进行“贩卖”。该案查获疑被泄露的公民个人信息千万余条,涉及交易金额达到200多万元。

仅靠行业自律还不够 监管仍需加码

对于频频出现的信息泄露事件,快递行业也作出了应对之策。

徐勇向法治周末记者表示,“快递行业早已自发成立了诚信联盟‘黑名单’系统,且该系统已经起到了一定的自律监管作用”。

公开资料显示,自2016年至今,国内70家大型快递物流企业共同成立了快递物流“黑名单”查询系统。将盗窃快件、泄露客户信息、倒卖客户信息等12种违规违法行为列入黑名单。参与快递物流企业“黑名单”系统的企业承诺,5年之内不使用“黑名单”上的快递人员。

据徐勇透露,快递物流企业“黑名单”系统成立以来,累计共有2.7万名快递从业者被列入黑名单,近两年,快递物流企业违规违法行为下降幅度超95%。

“然而,仅靠行业自律还不够。”徐勇向法治周末记者表示,想要杜绝信息泄露,最重要的是提高违法成本。不仅对泄露公民信息的企业员工加大处罚力度,还要对购买方甚至整个产业链条进行严厉打击。徐勇认为,未来应当进一步完善相关法律法规,加大惩戒力度,才能从根本上解决信息泄露问题。

对于完善法律法规方面,周汉华在接受采访时表示:加强网络信息保护的相关法律法规很多,刑法修正案专门确立了侵犯公民个人信息罪,最高刑期是7年以下。但是,现在面临的问题在于“牙齿不够锋利”,规定往往处于沉睡状态。民事维权成本非常大,收益非常低。

北京志霖律师事务所副主任赵占领律师曾指出,在法律实践中,个人信息保护领域,个人提起民事诉讼的案例极少,难度相对较大。

赵占领表示,自己曾代理过类似案件,发现最大的难点在于,被泄露个人信息的用户很难证明两点:第一是很难证明信息泄露的途径是否来自于被告,因为有可能很多渠道主体均掌握用户的个人信息;第二是证明损失,由于一些信息泄露并不直接导致财产损失,或者有些间接的损失不好证明。

目前,作为普通用户,在个人信息被泄露的情况下,一般还是选择报案,通过形式立案这种方式来查询具体的犯罪嫌疑人以及犯罪的手法和路径,然后再去提起相应的民事诉讼,才有可能来实现自己的救济目的来挽回个人损失。

据悉,个人信息保护法(草案)提出,企业出现相关违法行为可对其处以5000万元以下或上一年度营业额百分之五以下的罚款,同时要对直接责任人处以10万元以上100万元以下的罚款。个人隐私保护或即将迎来风清气正的新阶段。