8月28日,山东临沂准大学生徐玉玉一案的6名嫌疑人全部落网。尽管此事告一段落,但由此引发的关于个人信息泄露的讨论还在继续。事实上,网络信息时代,个人隐私泄露的渠道众多,除了助学金之类的学生数据信息,更为常见的是使用率高的快递信息。
收到快递后,不少人有这样的习惯———用笔将快递运单上的个人信息涂黑覆盖,以保护个人隐私。然而,南都记者调查发现,此举看起来有必要,其实并没有什么用。快递运单在经过电商、收件员、分拣录入等多个环节后,很多时候个人信息早已泄露,并在网上被叫卖。
乱象 快递单号可自助购买
日前,南都记者在互联网上通过搜索“快递单号”发现,在不少相关QQ群的简介中,均指向同一家快递单号自助购买网站。该网销售首页,分为单号大厅、批量购单、空包/底单等区域。而在单号大厅里,从充值到购买单号,买家都可自助完成,并根据收发货地址、快递类型和发货起止时间选择想要购买的快递单号种类。
南都记者注意到,快递单号几乎每隔15分钟就会更新一批。每条数据的价格,根据买家一次性充值的额度不一。比如,普通会员要价0.8元一单,一次性充值20元可成为3个月的VIP,每条数据0.5元;一次性充值100元以上,则不仅可成为内部会员,享受每单0.3元的优惠,还可成为代理,享受推广提成。为此,也有不少人专门驻守在快递单号群里吸纳新会员,以赚取50%的提成。为了提高成功率,这些卖家通常会提示“单上发货地址是全国热门城市”等。
此外,根据网站说明,销售的快递单号分为“已扫描单号”和“未扫描单号”。前者是指快递单信息已经录入快递公司的官网,上网即可查到,后者指快递员已经取件在手,但还没有将单号信息录入快递公司网站。为了验证快递单号是否准确,南都记者尝试购买了几条不同快递公司已扫描的单号,在对应官网一一查询,均证实确有此单。不过,为了规避网站被查封的风险,通过自助购买的快递单号的信息并不完整,比如没有寄件人姓名与电话,收发地址也只粗略到省市区。
据南都记者了解,快递单号的交易市场的形成,最初与淘宝的“刷钻”需求有关。所谓“刷钻”,就是买卖双方通过虚假交易来抬高自身的信誉,提高自己得到的好评度。由于淘宝要求店铺的交易量必须有真实的物流信息,所以,一些店铺主有购买快递单号的需求。
此外,为防备淘宝抽查,有时卖家还会购买快递空包,即真实空白的快递单号,然后填上自己所需要发送的地址,发送空包裹,或者在里面放点小东西,比如纸巾或者石头,只保留底单。一位经营花茶店的淘宝卖家就告诉南都记者,一般新开的淘宝店店主都会来购买快递单号,或找到淘宝刷单群,互换客户信息,以帮助新店铺刷单。
延展 快递面单亦可买卖
不仅快递单号可以用作商品,快递面单也有大量的市场需求。
南都记者调查发现,从快递面单上能获取的个人信息更多,包括收发件人的姓名、联系方式、准确地址及购物明细。
为了精准营销,在面单销售的方式上存在细分,有专门针对某一个行业的。比如,有人大量求购珠宝行业或者保健品行业的数据,也有专门出售或收购某一地区的面单群。这些一般以私下交易为主。
一个网名为“鱼鱼”的卖家是一名腕表微商,其告诉南都记者,自己底下有100多个代理,每天能收集到从广州或惠州发货的快递面单近百张,可提供详细的信息,如姓名、电话和具体地址,“质量绝对靠谱。”说起这份兼职,“鱼鱼”表示,“有得赚为什么不赚?”
据南都记者了解,根据顾客需求,快递面单可按数据详略或时间分类出售,价位在1至5元不等。快递信息的供应源,可能是快递公司内部,也可能是电商相关人员,因为电商掌握的客户信息与快递运单上的信息通常是一致的,而快递是电商行业的下游。
昨日下午,一名QQ上的卖家告诉南都记者,他手上的面单资源来自某知名电商网站的后台,100元起,付款就可取货。有意思的是,他还提示记者要承担信息泄露的责任,别拿去搞电信诈骗。
此外,还有从其他渠道低价回收面单然后高价售出、赚取差价的个人卖家,以及一些利用网站漏洞进而攻击盗取数据售卖的团伙。
2015年,上海市青浦区检察院曾指控,2014年9月至11月,犯罪嫌疑人鞠某为非法牟利,利用申通K8速运管理系统漏洞,非法侵入申通快递有限公司服务器,下载包含公民个人信息的快递面单信息达3万余条。后通过网络出售给他人,非法获利3万余元。
事实上,2014年即有漏洞作者制作了一份名为“国内快递行业某个疑似通用软件配置不当引发大量信息泄露”的报告。在这份报告中,作者详列了发现漏洞的步骤。没有引起重视的是,当时就有记者按照该漏洞作者所列的步骤操作,最后得到的便是一份快递单。
套路 快递员一般只卖给熟人
在上述泄密渠道中,快递公司内部人员监守自盗的情况时有发生,这也是最叫公众不能接受的。8月30日,一名在快递公司的工作人员在接受南都记者采访时就承认,快递员出售快递面单的情况并不少见,他自己也曾接到类似询问,据介绍,每单可卖2至3元。这位快递人员还透露,为规避风险,快递员一般只将面单卖给熟人。
8月29日,南都亦曾报道一名顺丰速递公司的员工被指控侵犯公民个人信息罪,将公司系统账号密码出售他人,导致大量个人信息泄露。类似快递公司员工泄露客户信息引发的案件并非孤例。比如,今年3月,上海一家快递公司的两名员工就以每条0.7元的价格出售了近万名客户快递单上的信息,非法牟利6000余元。
南都记者调查发现,虽然各快递公司都明令禁止工作人员泄露客户信息,但一条快递单信息的流转往往要经过很多环节,任何一个环节都存在信息泄露的风险。比如,快递发出的时候会生成一张印有发件人和收件人个人信息的面单,往往一式四份,发件人、收件人、快递营业厅、工作人员各一份,在这种情况下,单单靠收件人自己提高防范意识,或者加大对快递员的监控,都不能完全避免信息泄露。
至于购买快递面单的人,南都记者了解到,除了意图刷单的淘宝店主外,数据分析企业、地产、保险或金融等公司,也会购买面单数据用于电话推广、精准营销等。当然,其中不免也包括诈骗团伙。
困境 信息管理只能靠企业自觉
针对快递单据被销售的行为,有专家表示,《刑法》规定,侵犯公民个人信息罪,违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
《快递市场管理办法》也规定,快递人员不得违法提供从事快递服务过程中知悉的用户信息。中国互联网协会信用评价中心法律顾问赵占领律师告诉南都记者,“对快递公司如何保障用户的订单信息安全,要采取哪些措施管理或追究,则没有具体规定和明确保密要求。”
在赵占领看来,管理部门监管力度不够,违法成本低,信息管理只能靠企业自觉。也正因此,快递行业对于个人信息保护的力度不够,信息被贩卖的情况就比较普遍。在这种情况下,快递又实行了实名制,个人隐私泄露的问题就成为了更多人的担忧。
中国政法大学互联网金融法律研究院院长李爱君在接受南都记者采访时表示,对于快递信息被买卖的行为,应当严厉处罚,因为影响了社会基本传递信息的秩序。快递是一个新型行业,在传递商品等方面给人们提供了很多便利,如果由于这样的行为得不到监管,那将打击到快递行业的发展。
针对客户信息泄露、员工被控侵犯公民个人信息罪一事,顺丰公司近日回应称,近3年已协助警方抓获200人。顺丰信息安全相关负责人表示,将进一步加大与警方的合作,并完善自身系统的安全等级。
而就在南都记者完成调查后,昨日下午,一个有南都记者潜水的数据交易群没有任何征兆,被群主宣布解散。频繁换地方交易,逃避监管人员视线,正是这些不法交易的生存之道之一。