x0z7blog01的部落格

　　晨報記者李東華實習生鄔林樺

　　昨天，在本報披露瞭圓通快遞百萬客戶信息被實時兜售後，上海郵政管理局已經責令圓通公司“一查到底，並及時進行整改”。圓通公司在開展內部自查的同時，也已向警方報案。

　　然而，出賣快遞信息並沒有就此收斂。曝光的“單號淘”網站雖已不能打開，但又跳出瞭具有相同功能的“單號7”及“有單啦”網站，並依然大肆售賣圓通顧客的個人信息。

　　各網點信息查詢權限不大

　　昨天下午，記者來到圓通速遞公司位於青浦區的總部。圓通總裁顧問徐祖蔭說，早上一看到新聞晨報的報道，圓通總公司馬上調集相關負責人回到總部研究對策。

　　圓通速遞的信息技術管理中心高級總監田冰說，圓通速遞信息錄入流程大致過程是：快遞員收到快件即掃描條形碼，快件到圓通網點後進行收入掃描，然後直接被送往當地的分揀中心；各網點再根據快件底單錄入單號信息包括收寄人姓名、電話和地址，跟快遞單上的條形碼關聯；快件進入分揀中心後掃描條形碼，根據關聯的單號信息按不同區域自動分揀，然後各個快件在被簽收之前的每個環節都將被記錄，最後錄入簽收信息。

　　這個過程中，所有的信息通過聯網同步上傳到圓通的數據中心，在網點和數據中心都可以看到。“但是網點的權限是很小的，比如上海青浦公司，就隻能查詢到在該網點錄入的信息，其他地方的單號信息是沒有權限查詢的。”田冰解釋說，“我們的權限管理是按功能權限和數據權限兩個維度分類，一般的網點隻有功能權限。數據權限是針對特殊崗位像財務統計之類的，需要用到特定的數據信息。”

　　核心人員密碼每月換一次

　　田冰強調瞭圓通數據中心的安全管理，總數據中心位於上海，設置瞭兩道防火墻，核心工作人員的密碼每月更換一次，且設置的密碼在5次之內不能重復，“我們數據中心的機房連我的門禁卡也進不去，需要最高級別的安全認證才能進入。”

　　記者瞭解到，圓通速遞分為8大管理區，每個管理區都有相對比較大的分公司，“這些管理區的部分工作人員會有比較大的權限，他們的賬號可能接觸到比較廣泛的信息數據。”田冰說。

　　內部人員泄密嫌疑很大

　　對於這次的單號信息被兜售的情況，像“單號淘”這樣基本與圓通同步數據的網站，田冰分析可能是某些管理區域的工作人員泄露瞭賬號密碼，“內鬼”嫌疑很大。按照圓通的信息防護措施，從外網進入數據中心抓取單號信息數據的可能基本為零，“如果掌握瞭權限較大的賬號密碼，一些黑客就可以接觸到這些數據，然後通過技術手段直接抓取單號信息的數據，這樣很難被發現。”

　　田冰同時透露，一個多月以前，圓通協助上海公安部門破獲瞭一起圓通內部人員泄密的案件，“嫌疑人是天津公司的一個質管員，女性，二十幾歲，可能是被金錢誘惑，將自己的內部賬號和密碼賣給他人，造成瞭部分客戶信息外泄，公安機關已經抓獲這個員工。”

　　圓通報案並公佈舉報熱線

　　針對近日發現有不法分子倒賣圓通速遞快件信息，給部分客戶造成困擾的情況，圓通速遞昨天強調，對受影響的客戶深表歉意，並表示針對此次快件信息倒賣事件，已依法向公安部門報案，將采取以下緊急措施：

　　一、進行公司內部全面排查，尋找信息泄漏源頭；

　　二、聯合信息技術合作夥伴，排除隱患、提升快件信息安全管理等級；

　　三、會同各主要業務合作夥伴，進行信息系統接口互查；

　　四、將及時公佈事態進展。

　　此外，圓通公佈瞭信息倒賣舉報專線021-69777936。承諾凡舉報該違法犯罪行為的，經查實並由公安機關立案受理，圓通公司將給予獎勵。

　　[晨報再調查]

　　“單號淘”被封又出“單號7”

　　記者昨天再次嘗試登錄“單號淘”，但是這個網站已經打不開。記者聯系瞭“單號淘”的客服“A圓通單號”，對方回復說“進不去瞭”，至於原因他也不知道。記者詢問充值的錢能退嗎，對方說：“被封瞭，我也弄不出來。”

　　過瞭5分鐘左右，“A圓通單號”給記者發瞭一個新的網址，“去這裡面充值吧，我現在也在裡面拿。”

　　點擊發現，這個叫“單號7”的網站服務項目比“單號淘”要多一些，除瞭提供單號信息購買業務之外，還有“空包”業務。不過記者發現，這個“單號7”簡直就是“單號淘”的克隆版，整個頁面都是一樣。

　　記者在網站註冊後購買瞭一個單號，和之前記者在“單號淘”上購買的信息一樣完整，包括收寄件人的姓名、電話和詳細地址。

　　和“單號淘”不同的是，“單號7”還有代發“空包”業務。所謂“空包”是指發一個並沒有實際收發的快遞，在快遞公司的數據庫裡虛假登錄一條完整的快件物流信息。相比於購買單號，購買“空包”業務更具個性化，包括收寄件人的姓名之類都可隨買傢控制。“單號7”網站目前出售的單號信息也是圓通的。

　　隨後，記者又在某論壇上看到一個“有單啦”的單號購買網站。這個網站看上去比“單號淘”和“單號7”內容更加完善，首頁還有滾動廣告。

　　和“單號7”一樣，“有單啦”也提供代發“空包”服務，不過隻能代發港中能達和飛康達速遞兩傢快遞公司的“空包”，價格都是3元一個。

　　記者註冊登錄之後網頁直接跳到“管理中心”，該網站給用戶的告示上寫著：“每天11點後開始更新單號，每隔15分鐘更新一次，一天大概可以更新5萬-10萬單，所以請白天刷好單子，下午4點之後發貨時再去購買單號”。

　　在“單號大廳”裡，記者看到“有單啦”的全部單號信息也都是圓通的。但是“有單啦”出售的單號信息隻有收寄件地址，並沒有收寄件人的個人信息。

　　[律師觀點]

　　客戶如發生意外相關公司要擔責

　　如此大規模的買賣快遞單信息是否構成違法？長期關註公民個人信息泄露問題的上海海華永泰律師事務所高級合夥人賀強律師介紹，按照法律規定，非法提供和獲取個人信息屬於違法行為，應追究信息泄露者的法律責任。“出於需要，客戶將個人信息提供給快遞公司，快遞公司就有義務保護好顧客的個人信息，快遞單上記載有收發貨人的聯系電話、住址、姓名等個人信息，從這個角度來看，倒賣快遞單與直接倒賣公民個人信息的性質是一樣的。”

　　目前從表面上看，買賣的快遞單信息多被用來“刷鉆”和“電話營銷”。然而，快遞單上有姓名、具體地址、聯系方式等完整的個人信息，其背後隱藏的社會危害性更大，極易滋生冒領快件、入室搶劫殺人、敲詐勒索等刑事犯罪。

　　賀強說：“實際上，‘單號淘’等快遞單銷售網站也已經認識到泄露公民個人信息所隱藏的巨大風險。除具體的操作人員會被追責外，如果客戶發生意外事件，而又有證據顯示意外事件是與該條信息泄漏相關，那相關公司也要承擔相應責任。”

　　[主管部門]

　　郵政管理局：一查到底及時整改

　　昨天，上海市郵政管理局及青浦區郵政管理局的相關領導也來到圓通公司召開公司高層會議，並要求公司就此次事件一定要一查到底，查出問題企業要及時整改。市郵政管理局監管處負責人介紹，希望企業能及時與警方配合，盡快破案。

　　該負責人表示，現行《快遞市場管理辦法》可操作性較差，而且未對快遞企業做出相關的保密要求，也沒有相關的責任追究制度，個人信息的安全管理隻能靠企業自律。

　　[記者手記]

　　信息監管再也不能失之於軟

　　晨報記者倪冬

　　沒有想到，幾分鐘前，當你帶著信任的目光，數著錢支付快遞費時，你的信息在幾分鐘後就被堂而皇之地出賣；更沒有想到，在晨報曝光圓通快遞百萬客戶信息被實時兜售的消息後，又冒出來一個“單號7”網站，依然兜售客戶信息。

　　如此有恃無恐，帶給我的早已不是驚愕，而是毛骨悚然。這說明，出賣公民信息者早已不將監管放在眼裡，或者認為監管形同虛設。

　　更不敢想象，這些詳細的個人信息在被不法分子泄露出去後，可能產生的“害命”後果。

　　憑借準確的信息，冒充快遞，入室搶劫、強奸、謀殺……這其中的隱憂與漏洞令人不寒而栗，令人不敢多想，更不敢在報紙上過多展開。

　　實際上，大量客戶信息從快遞公司泄露、販賣，已非一日一時之事，且屢屢被媒體曝光，隻不過這次圓通快遞百萬客戶信息被實時兜售的事實，實在太過令人觸目驚心。

　　按照這個邏輯，快遞信息的被兜售無異於圖財害命。如此，快遞公司、快遞行業的監管部門這些年又為何無動於衷？

　　對於那些泄露客戶信息的快遞公司，我相信，消費者會用腳進行投票。但是，如果這種漏洞不是圓通快遞一傢的漏洞，而是整個行業的漏洞，消費者又該如何選擇？作為快遞行業的監管部門，是否需要承擔長期以來監管失察的責任？

　　面對快遞信息的兜售，成為市民生命財產安全的隱憂，成為整個城市公共安全的一大漏洞之時，我們的相關部門早該到瞭重拳出擊的時候，工商、消協、公安、行業協會等各方力量必須形成合力，加強信息共享和聯動機制，嚴厲處罰違法違規企業和個人；我們的相關條例，更需隨著信息時代的變化不斷升級，不能再將希望寄托於一部《快遞市場管理辦法》。

　　事實證明，當監管失之於軟、失之於寬，泄密勢必無休無止。