“麗人麗妝”前員工被指販賣個人信息 電商“內鬼”泄露信息為何難防

　　中國青年報·中青在線記者 李超 實習生 蔣豐蔓

　　今年30歲的河南小伙杜城(化名)原本以為找到了一條可以致富的“捷徑”——從上海麗人麗妝化妝品有限公司(以下簡稱“麗人麗妝”)辭職后，他利用原來掌握的管理員賬號，盜取公司客戶個人信息，並進行倒賣。

　　江蘇徐州警方將其抓獲后，發現杜城通過違法手段獲取各類公民信息達1000多萬條，以女大學生和職場女白領為主。信息種類之多、數量之大令人震驚，他通過網絡向全國多個地區的嫌疑人，販賣了大量公民個人信息，獲利近10萬元。

　　中國青年報記者調查發現，很多知名互聯網公司均出現了涉及消費者多個維度的數據泄露事件，內部人員泄露信息也屢禁不止。“內鬼”為何難防？

　　化妝品公司的“內鬼”

　　杜城是河南焦作人，2012年從河南科技學院畢業，2013年9月，在朋友的介紹下來到上海麗人麗妝公司工作。該公司成立於2010年5月27日，目前主營業務包括化妝品電商零售、品牌營銷服務和化妝品分銷。

　　杜城在公司一開始做客服，當時公司代理了20多個國際化妝品牌，這些品牌在天貓上開設官方旗艦店，他會利用阿裡旺旺與消費者聊天。后來，他負責店鋪推廣運營工作。

　　在杜城的印象中，公司的發展速度非常快，幾乎是“三天兩頭就開一家新網店”，他也被公司逐漸“重用”。公司原來在上海鬆江辦公，2015年7月，他被派到徐家匯上班，成為高級運營專員。每個月底薪8500元，年收入超過10萬元，相比留在河南的大學同學，他的這份工資著實令人羨慕。

　　然而，住在鬆江，每天往返，對杜城來說太遠了。今年4月10日，他辭職了。

　　去年他花了10萬元買了小轎車，然后就在上海開滴滴拼車，后來他發現違章和油錢太多，根本賺不了什麼錢。他還沉迷網絡賭博，漸漸把積蓄都“輸光了”。

　　一次，他在QQ群裡看到，有人在收購信息。杜城好奇地加了對方的QQ，聊天后才得知，這個人是“淘寶客”，賣汽車用品，想收購一些消費者信息數據，“最好是消費能力比較高的女性消費者”。

　　杜城在徐州賈汪區看守所接受採訪時表示，在公司那些天貓旗艦店買化妝品的大多是女性，而且都是購買國際品牌的化妝品，收入相對較高。杜城在筆錄中稱，麗人麗妝公司內部網站此前並沒有設置密碼，他利用曾是公司管理員的賬號，登錄公司內部網站，下載了客戶的交易訂單信息，而公司也未發現。

　　遍布全國的線上銷售網

　　杜城在QQ群裡聯系了買家，這個買家推薦了另外一個買家“我是表哥”給他認識。“我是表哥”實際姓陳，今年21歲，家住四川宜賓市長寧縣。最初，他在QQ群、百度貼吧上面打廣告，需要消費者數據信息。

　　3個月前，他在網上認識了杜城，杜城自稱手中有海量的信息可以出售，每1萬條價格是100元，陳某向外出售的價格是每1萬條400元，從中賺取差價300元。

　　據徐州警方介紹，短短3個多月，陳某已獲利20多萬元。由於“生意”太好，陳某還邀請表哥余某給他幫忙，兩個人通過網絡從杜城處購買公民個人信息后，再向他人出售。

　　7月11日，徐州專案組民警趕赴四川宜賓市長寧縣，經過一番調查和走訪，在長寧縣一個鎮上的出租屋內將嫌疑人陳某抓獲。專案組發現，在陳某的聊天軟件交流群中，購買倒賣公民個人信息的活動十分頻繁。

　　專案組民警從陳某處查獲了7台計算機、5台手機和5個移動存儲設備，並進行了細致勘驗，調取了海量數據研判，從這些設備中查獲非法取得的公民個人信息400萬余條。民警調查發現，正是杜城一直源源不斷出售公民個人信息，才讓陳某的生意如此“紅火”。

　　8月2日，賈汪警方在摸清了杜城的蹤跡后，又安排專案組民警迅速趕赴上海，在上海警方的配合下，將嫌疑人杜城抓獲。

　　在杜城的住所，民警現場查獲兩台計算機和1部手機，計算機和手機裡都可以查到大量公民個人信息。民警發現，杜城通過違法手段獲取的各類公民信息達1000多萬條，他通過網絡向全國多個地區的嫌疑人販賣了大量公民個人信息，獲利近10萬元。

　　據杜城透露，最開始他把一些幾年前的消費訂單賣給客戶，但是后來對方要求新貨，就是在幾月內的消費訂單。但他不知道自己賣的數據最終流向哪裡。

　　讓警方最擔憂的是，這些消費者信息流入詐騙團伙手中。此前，他們曾追蹤一條線索，發現這些數據最終流向中緬交界區域，然后線索就斷了。

　　9月5日，中國青年報·中青在線記者獲得一個相宜本草旗艦店的客戶消費者信息，隨機撥通了17位買家的電話，其中隻有兩位是空號。

　　接通電話后，記者立即與對方確認信息，得到確定回答之后，記者繼續詢問他們詳細的訂單信息，很多人在聽到個人的具體信息后，立刻警覺起來，好幾位直接挂斷電話。

　　其中一名消費者回憶，一兩年前，她在“相宜本草旗艦店”買過商品，“平時有陌生電話，我都不接”。

　　還有一名消費者查看自己的消費記錄后確認，2015年在淘寶相宜本草旗艦店，下單購買過洗護用品。這位消費者表示，平時會接到各種各樣的詐騙電話以及推銷短信，也知道自己的信息早就被泄露，但不知道自己的信息從什麼渠道泄露。“前幾天還接到電話說我的社保到期，但我根本沒有社保。”

　　電商平台如何承擔保護消費者信息的責任

　　杜城這次泄露的數據信息除了“相宜本草旗艦店”，還有歐萊雅、蜜絲佛陀、美寶蓮、夢妝等化妝品知名品牌。

　　中國青年報·中青在線記者在天貓商城查詢發現，歐萊雅官方旗艦店有409.8萬粉絲，蜜絲佛陀官方旗艦店有180.3萬粉絲，美寶蓮官方旗艦店有419.7萬粉絲，相宜本草官方旗艦店有338.5萬粉絲，夢妝官方旗艦店有179.7萬粉絲。這些粉絲大都是年輕的消費者。

　　這些賬號的運營主體都是上海麗人麗妝公司。該公司目前正在籌備上市，“招股說明書”顯示，公司作為國內領先的化妝品品牌正品授權網絡零銷服務商，截至2016年8月，與該公司合作的化妝品品牌有51家，包括蘭蔻、希思黎、嬌蘭、雅漾、碧歐泉、雪花秀、蘭芝、美寶蓮、妮維雅、施華蔻等國際知名品牌。

　　“麗人麗妝”與品牌方的合作模式是，在天貓上開設官方旗艦店，打通品牌方與消費方之間的網絡銷售渠道，幫助更多化妝品品牌在中國市場獲得成功。

　　說明書中還提到，該公司基於自身積累的龐大用戶購買數據，發揮在數據挖掘和客戶定位方面的優勢，為品牌方提供大數據精准營銷和品牌推廣方案設計，提升品牌目標客戶觸達和轉化的效率，從而實現品牌價值的最大化。

　　據辦案警察介紹，直到6月1日國家對個人信息保護有了嚴格要求，麗人麗妝公司才開始對管理員登錄進行升級，登錄時需要發送驗証碼給管理員，才能登錄。為此，從6月1日開始，該案的犯罪嫌疑人就再也不能從公司內部下載信息了。

　　日前，中國青年報未能聯系上“麗人麗妝”公司予以回應。

　　江蘇諾法律師事務所樊國民律師說，電子商務的發達，網絡本身的虛擬性、開放性以及數據倉庫、數據挖掘技術的興起，導致個人信息被泄露的幾率大增。非法搜集、復制、公開、利用、買賣個人信息的侵權行為愈演愈烈，甚至形成了地下產業鏈。

　　在樊國民看來，“內鬼”使得信息泄露進而導致消費者被騙，電商平台應承擔侵權責任。由於電商平台安全防范措施不到位，未能盡到基本的信息安全保障義務，還應承擔違約責任。另外，電商平台不履行法律、行政法規規定的信息網絡安全管理義務，經監管部門責令採取改正措施而拒不改正，致使用戶信息泄露，造成嚴重后果的，構成拒不履行信息網絡安全管理義務罪，應承擔刑事責任。

　　樊國民說，對於擬上市的電商平台，証監會可以對其取得相關電信業務經營許可証的年限、誠信記錄作出要求，對於最近3年因個人信息泄露受到重大民事訴訟、重大行政處罰或者刑事處罰的，還需對其網站接入地、內部控制、信息系統和安全保障等方面作出要求。

分享讓更多人看到