泄露40萬條用戶信息，圓通主動揪出“內鬼”

　　中國物流與采購雜志 昨天近日，《新京報》報道，在邯鄲市警方的一起部督案件中，不法分子與圓通快遞多位“內鬼”勾結，通過有償租用圓通員工系統賬號盜取公民個人信息，再層層倒賣公民個人信息至不同下游犯罪人員。對此，圓通方面回應稱，已報案，相關嫌疑人于9月落網，堅決配合打擊非法售賣和使用快遞用戶信息的行為。未來歡迎客戶發郵件或撥打熱線電話舉報涉嫌信息安全違法的線索。

　　01

　　為圓通自查發現

　　該案涉及的公民信息數量超過40萬條，涉案金額高達120余萬元。

　　嫌疑人馬某雇傭人員以每日500元的費用租用圓通快遞邯鄲公司內部員工系統賬號，兩名團伙成員再通過登錄租用的系統賬號進入該物流系統，導出快遞信息。其他團伙成員把竊取的快遞信息進行整理后交給同伙，又通過微信、QQ等方式賣到全國及東南亞等電信詐騙高發區。據嫌疑人供述，他將收集到的信息打包賣出，每條信息單價約為1元。

　　對此，圓通集團11月17日回應稱：圓通一貫堅決配合打擊非法售賣和使用快遞用戶信息的行為。圓通核心業務系統均通過了信息安全等級保護三級測評，從技術層面和管理層面著力保障信息系統的安全性。

　　今年7月底，圓通總部實時運行的風控系統監測到圓通速遞河北省區下屬網點有兩個賬號存在非該網點運單信息的異常查詢，判斷為明顯的異常操作，于第一時間關閉風險賬號，同時立即成立由質控、安保、信息中心、網管以及河北省區組成的調查組，對此事件開展取證調查。

　　經過調查發現，疑似有網點個別員工與外部不法分子勾結，利用員工賬號和第三方非法工具竊取運單信息，導致信息外泄。圓通隨后向當地公安部門報案，并全力配合調查。相關犯罪嫌疑人于9月落網。

　　圓通表示，感謝社會和媒體的監督，并對此案件暴露的問題深表歉意。公司將持續通過“制度+技術”手段，完善信息安全風控系統，對內部賬號進行實時監控，主動發現違法違規行為。同時，著力提升加盟公司的依法經營意識和信息安全意識，并更好配合公安機關，嚴厲打擊涉及用戶信息安全的違法行為，共同織牢信息安全防護網。

　　02

　　信息泄露危害幾何

　　據悉，此次被泄露的信息中包括發件人地址、姓名、電話以及收件人電話、姓名、地址六個維度。

　　援引知情人士消息稱，如果以上述六個維度的信息共同組成一條信息來計算，此次被泄露的信息數量實際超過40萬條。經過警方和檢察院確認，被泄露信息中，存在某個維度以“*”來匿去的“不完全信息”，例如發件人為“張三”，但發件電話卻為“*”。經過統計，六個維度完整的信息約為45000條。

　　因為快遞行業的面單信息涉及的不單是姓名、電話號碼，還有更為敏感的家庭住址等信息，屬于犯罪分子看來“信息變現能力最強”的類型，所以信息泄露后往往會流向詐騙渠道，造成更大的危害。例如，這些信息目前經常出現在“到付詐騙”等精準騙局中。

　　根據《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》，非法獲取、出售或者提供行蹤軌跡信息、通信內容、征信信息、財產信息50條以上的將入罪，自2017年6月1日起已實施。根據《網絡安全法》第42條的規定：不按規定采取技術措施和其他必要措施，未確保其收集的個人信息安全，導致信息泄漏的，企業要承擔相關法律責任。

　　03

　　快遞企業需警鐘長鳴

　　事實上，不少快遞公司都有類似被“內鬼”傷害的經歷。去年就發生了一起“內鬼”交易案，某快遞公司的6名快遞員利用職務之便，竊取其公司的全國用戶數據提供給電商；而圓通公司也并非出現首次“內鬼”事件。7年前，“刷鉆”網站就打著圓通公司的旗號長期出售快遞面單信息。在“內鬼”林某的“神助攻”之下，包括快遞單號、收貨人姓名、收貨人手機號、收貨地址等20余萬條公民個人信息被泄露。

　　這種“內鬼”行為傷害的不只是被泄露個人信息的民眾，也是對快遞公司商譽的重大傷害。鑒于此，快遞公司顯然應該時刻警鐘長鳴，持續通過“制度+技術”手段，完善信息安全風控系統，對內部賬號進行實時監控，主動發現違法違規行為。只要監管到位，補上管理漏洞，不法分子的違法企圖就很難得逞。

　　網絡信息時代，保護公民個人信息，防范行業“內鬼”是重中之重。對銀行、教育、工商、電信、快遞、證券、電商等“內鬼”容易出沒的行業，不僅司法執法機關應嚴厲打擊，讓潛在“內鬼”不敢下手，還應關口前移，修筑起防范堤壩，第一時間抓住“內鬼”的黑手。如此，公民個人信息才有更安全的“港灣”。