近日,有媒體報(bào)道圓通速遞5名員工將其內(nèi)部員工系統(tǒng)賬號(hào)以每日500元的價(jià)格租借給外部刷單團(tuán)伙，導(dǎo)致超過(guò)40萬(wàn)條用戶(hù)信息泄露。11月17日，圓通速遞發(fā)表聲明稱(chēng)，此案系該公司主動(dòng)發(fā)現(xiàn)并報(bào)案，并對(duì)此案件暴露的問(wèn)題深表歉意，公司將持續(xù)通過(guò)“制度+技術(shù)”手段，完善信息安全風(fēng)控系統(tǒng)。

近年來(lái)，雖然用戶(hù)信息得到越來(lái)越多的重視，但用戶(hù)信息已成為網(wǎng)絡(luò)黑灰產(chǎn)業(yè)覬覦對(duì)象，泄露事件仍時(shí)有發(fā)生。那么，用戶(hù)信息安全“防火墻”應(yīng)該如何搭建?

用戶(hù)信息成網(wǎng)絡(luò)黑灰產(chǎn)業(yè)“唐僧肉”

根據(jù)圓通速遞的聲明，今年7月底，該公司總部實(shí)時(shí)運(yùn)行的風(fēng)控系統(tǒng)監(jiān)測(cè)到，河北省區(qū)下屬加盟網(wǎng)點(diǎn)有兩個(gè)賬號(hào)存在非該網(wǎng)點(diǎn)運(yùn)單信息的異常查詢(xún)，判斷為明顯的異常操作，于第一時(shí)間關(guān)閉風(fēng)險(xiǎn)賬號(hào)，同時(shí)立即成立由質(zhì)控、安保、信息中心、網(wǎng)管等部門(mén)及河北省區(qū)組成的調(diào)查組，對(duì)此事件開(kāi)展取證調(diào)查。調(diào)查發(fā)現(xiàn)，疑似有加盟網(wǎng)點(diǎn)個(gè)別員工與外部不法分子勾結(jié)，利用員工賬號(hào)和第三方非法工具竊取運(yùn)單信息，導(dǎo)致信息外泄，其中存在敏感字段信息約為4.3萬(wàn)條。公司隨后向當(dāng)?shù)毓膊块T(mén)報(bào)案，并全力配合調(diào)查。

據(jù)悉，此案件嫌疑人馬某杰雇傭圓通速遞員工以每日500元的費(fèi)用租用其內(nèi)部員工系統(tǒng)賬號(hào)，由另外的團(tuán)伙成員登錄租用的系統(tǒng)賬號(hào)，進(jìn)入該物流系統(tǒng)，導(dǎo)出快遞信息，再把竊取的快遞信息進(jìn)行整理，通過(guò)微信、QQ等方式倒賣(mài)。

此次被泄露的信息包括發(fā)件人地址、姓名、電話(huà)以及收件人電話(huà)、姓名、地址6個(gè)維度。據(jù)馬某杰供述，他將收集到的信息打包賣(mài)出，每條信息單價(jià)約為1元。

“經(jīng)常接到詐騙電話(huà)，把我的名字、地址、最近網(wǎng)購(gòu)的東西、發(fā)件地址都說(shuō)得一字不差，我就好奇他們哪兒來(lái)的我的信息?”家住北京市西三環(huán)的白領(lǐng)邱女士最近向記者吐槽。記者了解到，掌握如此準(zhǔn)確信息的詐騙電話(huà)，很多人都接到過(guò)，感覺(jué)自己的信息已經(jīng)成了“唐僧肉”。

運(yùn)營(yíng)管理面臨挑戰(zhàn)

實(shí)際上，快遞公司員工充當(dāng)“內(nèi)鬼”泄露用戶(hù)信息的案例并不少見(jiàn)。2019年9月，南京警方破獲的一起案件中，13名嫌疑人，有6名快遞員利用職務(wù)之便竊取供職快遞公司用戶(hù)數(shù)據(jù)，涉案金額1200萬(wàn)元。

泰和泰律師事務(wù)所律師廖懷學(xué)告訴《工人日?qǐng)?bào)》記者，根據(jù)相關(guān)法律法規(guī)，個(gè)人信息的判斷標(biāo)準(zhǔn)是身份識(shí)別性，即只要能夠直接或者間接識(shí)別特定個(gè)人的真實(shí)身份信息都屬于個(gè)人信息?？爝f單上所顯示的發(fā)件人信息、收件人信息都屬于個(gè)人信息的范疇。“快遞公司或與用戶(hù)或與商家之間存在服務(wù)合同關(guān)系，無(wú)論從哪種關(guān)系看，都應(yīng)對(duì)用戶(hù)個(gè)人信息履行保密義務(wù)。”

那么，快遞企業(yè)為何成為用戶(hù)信息泄露的重災(zāi)區(qū)?他們保障用戶(hù)信息安全有哪些節(jié)點(diǎn)?廖懷學(xué)認(rèn)為，快遞服務(wù)涉及收寄、分揀、運(yùn)輸、投遞等多個(gè)環(huán)節(jié)，在此過(guò)程中接觸用戶(hù)信息的人員范圍廣泛，容易出現(xiàn)監(jiān)管死角，快遞寄遞處理流程和管理制度存在優(yōu)化完善空間。

一位不愿透露姓名的快遞業(yè)內(nèi)人士告訴記者，實(shí)行快遞實(shí)名制后，快遞企業(yè)掌握了用戶(hù)的身份信息，這些信息較為敏感，價(jià)值也高，容易引發(fā)網(wǎng)絡(luò)黑灰產(chǎn)業(yè)覬覦。而掌握這些信息的快遞企業(yè)在網(wǎng)絡(luò)服務(wù)方面需要對(duì)系統(tǒng)進(jìn)行安全性升級(jí)改造，這不僅面臨較為嚴(yán)峻的技術(shù)挑戰(zhàn)，成本也很高。

快遞行業(yè)專(zhuān)家趙小敏則認(rèn)為，許多快遞企業(yè)在“防火墻”技術(shù)上沒(méi)有問(wèn)題，技術(shù)每年也有很大的投入，關(guān)鍵還是運(yùn)營(yíng)管理方面仍面臨不小的挑戰(zhàn)。

用戶(hù)也要具備信息保護(hù)意識(shí)

此次內(nèi)部員工泄露用戶(hù)信息的事件發(fā)生后，圓通表示，將持續(xù)對(duì)員工內(nèi)部賬號(hào)進(jìn)行實(shí)時(shí)監(jiān)控，主動(dòng)發(fā)現(xiàn)違法違規(guī)行為。同時(shí)，著力提升加盟網(wǎng)點(diǎn)的依法經(jīng)營(yíng)意識(shí)和信息安全意識(shí)，更好地配合公安機(jī)關(guān)，嚴(yán)厲打擊涉及用戶(hù)信息安全的違法行為。

“在技術(shù)措施方面，應(yīng)加強(qiáng)安全驗(yàn)證建設(shè)，在采用傳統(tǒng)的賬號(hào)密碼驗(yàn)證外輔之以其他驗(yàn)證方式。加強(qiáng)信息系統(tǒng)的權(quán)限管理，僅向員工分配滿(mǎn)足工作需要的最小操作權(quán)限和最小的可訪問(wèn)信息范圍。此外，還可通過(guò)隱藏單面防止信息泄露，對(duì)用戶(hù)個(gè)人信息進(jìn)行編碼隱藏處理。”廖懷學(xué)認(rèn)為，在制度措施方面，快遞公司應(yīng)建立個(gè)人信息保護(hù)內(nèi)控機(jī)制，與內(nèi)部員工簽訂保密協(xié)議，嚴(yán)格落實(shí)違約懲戒機(jī)制;應(yīng)明確公司內(nèi)部各部門(mén)、各崗位的信息安全責(zé)任，嚴(yán)禁無(wú)關(guān)人員進(jìn)出快遞處理、存放場(chǎng)地;可安排專(zhuān)業(yè)人員對(duì)收寄、分揀、運(yùn)輸、投遞等環(huán)節(jié)的信息處理進(jìn)行安全監(jiān)控。

北京盈科(上海)律師事務(wù)所高級(jí)合伙人陳曉薇則認(rèn)為，公民在日常生活中要具備保護(hù)個(gè)人信息的意識(shí)。比如說(shuō)，快遞的收貨地址最好選擇公開(kāi)場(chǎng)合或者代收服務(wù)站，不要填寫(xiě)詳細(xì)地址，扔快遞包裝前將重要信息涂抹或者撕掉。一旦發(fā)現(xiàn)個(gè)人信息被泄露，及時(shí)向相關(guān)部門(mén)投訴舉報(bào)或向公安部門(mén)報(bào)案。

(記者 甘皙)