澎湃界首到香港集運連日調查發現,快遞用户遭信息泄露現象涉及的不止圓通一家,網上存在販賣快遞用户信息的“黑產”鏈條,可能涉及申通、德邦、EMS(郵政速遞)、韻達等多家快遞公司。

在販賣快遞信息鏈條上,不僅有專門從事這一行的“號販子”,參與者還有做代購的商家、為商家發貨的快遞網點工作人員,甚至包括快遞員、自稱管理單號的工作人員等快遞公司“內鬼”。大量包含快遞客户姓名、住址、電話的信息被打包在網上出售,每條售價從0.8元至10元不等,有的可一次性出售上萬條,甚至可以提供特定地區的快遞用户信息。

還有人自稱在郵政系統上班,管“調單號”,可大量調取當天快遞中的信息,“每天幾千個沒有問題”。其販賣的信息中,有的是在快遞員在攬件後不到2小時即被盜取。

記者根據多份公開資料發現,這些遭販賣的快遞信息最終多流向從事詐騙活動的犯罪分子手中,為其從事詐騙活動提供信息支持。

北京市安理律師事務所高級合夥人、律師王新鋭就此分析,個人信息被泄露的用户有權要求收集其個人信息的快遞公司刪除其個人信息,若因個人信息泄露受到損害,可向法院提起訴訟請求損害賠償。

代購、網點、“內鬼”,信息漏洞無處不在

因為疫情原因,QQ用户“邵莊”的國際代購生意不好做。他轉而做起了出售用户快遞信息的“生意”:在網上發佈帖子,將原先的用户快遞信息打包出售,八毛錢一條。

11月17日下午,試探一番後,“邵莊”以210元的價格向記者提供了261條快遞信息。這些信息被“邵莊”從工作郵箱“扒”出來整理在文檔中,姓名、聯繫方式、地址對應列了三列。“邵莊”見記者有意,隨後又詢問能否“吃下”上萬條的單子,他自稱手裏最少有1.2萬條快遞信息可出售。

很快,他發來第二批1287條快遞信息,自稱是手中資源的十分之一。同樣,這些來自全國各地的快遞信息包含姓名、電話及可能精確到房間號的地址。“邵莊”稱,這些信息是此前客户在他這下單後所留,真實可查。

為驗證真實性,記者隨機撥通了其中一位來自山東淄博的畢女士電話,發現表格中所列信息完全準確。畢女士回憶,她此前的確找過人在國外買東西,沒想到信息會遭到泄露。另一位快遞信息遭泄露的顧女士在跟記者核對信息顯示無誤後,也感到很詫異。

從下單開始,商家、電商平台、快遞公司、快遞員等物流各環節的人員掌握着用户的快遞信息,信息泄露的源頭往往也是來自這些方面。

給商家代發快遞的網點工作人員也可以利用便利將快遞信息整理打包,出售獲利。

暱稱“主持淺言”的QQ用户稱,自己專為在京東、淘寶、拼多多等平台的“刷單”商家發“小禮品”快遞,涉及申通、圓通、韻達等。雖然幹這一行不久,但也積攢了幾千條“刷單”用户快遞信息。“沒有規定如何處理,都是發貨後放在後台。”其稱。

記者支付85元購買了121條用户快遞信息,這些用户均曾在電商平台“刷單”。其中一名用户趙女士向記者表示,自己此前在拼多多“刷單”,列表上的信息顯示無誤。

各類“號販子”也活躍在互聯網的各個社羣角落,尋覓着合適的客户。

一名微信暱稱為“專業底單製作”的“號販子”告訴記者,他手頭掌握着大量快遞用户單號,可通過快遞公司內部人員查詢單號對應的快遞信息,每一條用户信息10元。“我得給快遞公司‘內部人’錢。”見記者還價,他解釋,自己的單號真實可查,不是“刷單”的那些“空包,假物流”,那些只有單號,沒有其他信息。

為證明自己的“資源質優”,他稱,自己的快遞信息都配運單號且可以根據需要“定製”查,“要哪個城市,哪家快遞,我給你找”。

記者支付100元購買了上海市的10條快遞訂單。“專業底單製作”很快以圖片形式發來了10條收貨地址為上海的“德邦快遞”信息,包含快遞單號、收貨地址、收件人、聯繫方式等要素。

記者撥通電話核對信息後,收件人蔡女士對個人信息已然泄露充滿擔憂。

該“號販子”稱,只要客户想要資源,自己就能找到市面上常見的快遞公司訂單信息。“搞這個風險也很大的,現在一些‘內部人’不敢接活,但總有‘不怕死’的在。”其稱。

記者以關鍵詞“出售快遞單”檢索發現,在百度貼吧、QQ、豆瓣等平台有多個“收售”快遞信息的網帖,幾乎每一條網帖下都有其他用户留言稱想要“資源”,部分用户選擇留下聯繫方式,或直接私信。在百度貼吧,部分網帖直接發在“快遞員吧、圓通快遞吧、圓通吧、快遞吧、客服吧”等關聯性強的社區。

偷拍運單,批量調取,“內鬼”稱每天千條信息唾手可得

在引起關注的“圓通速遞40萬條快遞用户信息泄露”事件中,快遞公司的“內鬼”充當了信息竊取者的角色。

11月17日,圓通速遞稱“疑似有加盟網點個別員工與外部不法分子勾結,利用員工賬號和第三方非法工具竊取運單信息,導致信息外泄。”但圓通的迴應未明確指出“內鬼”外泄快遞用户信息的規模及販賣金額等情況。

其實,圓通泄露用户信息並非首次。有媒體報道稱,2013年10月,近百萬條圓通快遞單個人信息網上可購,單號數據24小時滾動刷新;2018年7月至2019年5月間,有人利用爬蟲軟件從圓通公司網站非法竊取公司快遞信息並獲利100萬元。

今年11月4日,河北邯鄲市永年區警方曾發佈一篇文章,披露了另一起快遞公司“內鬼”案:今年8月,該局接到邯鄲一快遞公司報警,調查發現快遞公司內部有人泄露了內部系統查詢登錄賬號,將賬號信息以每天400至500元出租給邢台沙河市一男子張某。張某夥同高某多次發佈購買、租用快遞查詢系統賬號的信息,並以每天1000元的價格將得到的賬號信息販賣給河南籍男子馬某。

記者進一步調查發現,除了圓通,市面上其他快遞公司也存在“內鬼”參與販賣快遞用户信息的現象。

在申通快遞江西宜春市袁州區的一個快遞網點,張蘋(化名)負責派送轄區內的包裹。根據他的説法,每天派送的包裹數量在300件左右,此外派送系統中還可以留存一個月的快件數據。

11月17日晚上10點,按照每條1.5元的價格,記者向其購買到11月17日的100條快遞信息。張蘋通過拍照的形式將網點100個包裹運單發給記者,其中同時包含收件人和寄件人兩方信息,部分更是直接註明包裹內的貨品是什麼。

自稱在申通快遞工作,暱稱為“初冬天微冷”的QQ用户稱,可根據需要指定搜尋特定地區的快遞用户信息。18日下午,記者以每條3元的價格,向其購買了來自江蘇南通、浙江杭州、江蘇蘇州指定的三個地區90個申通快遞用户信息。

其中來自蘇州的申通快遞用户吳先生向記者表示,11月16日自己的確有一個申通快遞寄出,但收件方還沒收到。另一位來自杭州的申通快遞用户方女士稱,自己前幾天有一個來自安徽的快遞包裹,不過在18日下午選擇拒收,她也不清楚短短几天信息在哪個環節被泄露。

一名暱稱為“-”的QQ用户向記者表示,自己在郵政系統上班,管“調單號”,可大量調取快遞用户信息,“我這邊很安全,每天幾千個是沒有問題的”。他稱,前期每天可交易一百條,過幾天熟了可以買多點。不過,要買“貨”需要提前説,他也只能下午6點後傳來,“白天同事都在,人太多”。

11月18日下午6點25分,記者以每條1.5元的價格向其購買了100條郵政用户信息,均顯示都從湖北孝感市孝南區發出。“-”稱,這些數據是他和同事在電腦前調出來,是當天的快遞,可以查詢單號驗證。記者隨機輸入其中5個單號,顯示這些快遞均在18日下午4點56分左右被郵政的快遞員攬件。這意味着,快遞員在攬件後不到2小時,快遞收件用户的信息就已經被外泄。

11月19日下午,“-”再次將1600條快遞用户信息發給記者。查詢郵政單號發現,這些快遞訂單也均在18日下午發出。

除了澎湃界首到香港集運記者調查的情況,快遞公司“內鬼”外泄用户信息的細節,此前也屢屢出現在警方公告、法院公開文書中。

2018年5月,湖北荊州中級人民法院曾宣判過一起涉及公民信息泄露案件。該案件以順豐員工為信息泄露主體,快遞代理商、文化公司,還有無業者、詐騙犯罪分子等多方參與,利用微信、QQ等軟件平台,出售、提供、非法獲取包含順豐快遞單號、面單等的公民個人信息,進行“販賣”。法院判決書中公佈了對19人的判決結果,其中順豐員工有11人。

該案查獲疑被泄露的公民個人信息千萬餘條,涉及交易金額達到200多萬元,同時查獲一個涉及全國20多個省市的非法買賣公民個人信息網絡羣。

推銷假保健品、謊稱訂單出問題,泄露的信息成詐騙“魚料”

在調查中,記者還發現,除了有人“賣”快遞信息,也有人專門高價“收”信息。

QQ暱稱為“閔”的用户聯繫記者,稱需要大量收購如“桂龍藥膏、蟻黃通絡膠囊”這類保健品的快遞用户信息,自稱用來做電話回訪,推銷他們的產品。當問及是否會從事“詐騙”這類違法活動時,對方予以否認。

記者梳理多份公開文書資料、警方公告、媒體報道發現,快遞用户信息被外泄販賣後,會流入詐騙分子手中,為其從事詐騙活動提供信息支持。

在前述邯鄲市永年區警方披露的案件中,快遞企業的系統賬號被販賣至“詐騙分子”手中用於查詢公民個人信息。荊州中院宣判的順豐“內鬼”販賣快遞用户信息案中,據荊州市公安局查明,一條完整的快遞單號信息最高可賣到10元,在抓獲的犯罪嫌疑人中,已經發現部分人員存在實施電信詐騙的行為,“他們通過推銷偽劣保健品、銷售假冒收藏品或者以回收藏品等方式進行詐騙。”

裁判文書網公開的另一起案例顯示,2016年4月以來,張峯(化名)在QQ羣內打廣告購買公民個人信息,然後再使用QQ號和出售公民個人信息的人聯繫,以每條2-3元的價錢購買公民個人信息2330條。之後,張峯將購買來的含有買家姓名、電話、商品名稱、收貨地址、快遞訂單等內容的信息資料用其QQ號以每條加價1-2元出售給進行網絡詐騙的“下家”客户,從中賺取差價,獲利12000元。

另一份刑事裁定書則披露了犯罪分子利用非法獲取的快遞用户信息實施詐騙活動的過程。

2017年2月15日起,賴文(化名)夥同他人通過QQ從“號商”處以每條9元的價格總共購買400條左右的“魚料”(淘寶訂單信息),包含名字、電話號、地址、留言等。此後,賴文利用電腦、手機等工具向網購買家謊稱其訂單的物流出現問題,需要從支付寶“螞蟻借唄”“來分期”“微信貸款”等平台操作退款,以此方式詐騙。

黑名單、高罰款、擬立法,如何堵住信息“漏洞”

國家郵政局最新的監測數據顯示,我國快遞年業務量已突破700億件,國內快遞行業從業人員已經超過300萬人。

但隨着快遞業務量不斷增長,不時曝出的快遞用户信息泄露事件像一個個“炸彈”,讓公眾對個人信息安全產生擔憂。如何在立法、監管、技術等方面,合力紮緊“籬笆”,堵住信息外泄的“豁口”,成為近年來多方探討的話題。

自2016年至今,國內70家大型快遞物流企業共同成立了快遞物流“黑名單”查詢系統,把盜竊快件、泄露客户信息、倒賣客户信息等12種違規違法行為列入黑名單。參與快遞物流企業“黑名單”系統的企業承諾,5年之內不使用“黑名單”上的快遞人員。

據中國界首到香港集運網報道,中國交通運輸協會快運分會副會長徐勇透露,系統成立5年來,累計共有2.7萬名快遞從業者被列入黑名單,近兩年來,快遞物流企業違規違法行為下降幅度超95%。

在制度層面,2018年5月1日,我國第一部專門針對快遞業的行政法規《快遞暫行條例》開始施行。《條例》規定,經營快遞業務的企業及其從業人員不得出售、泄露或者非法提供快遞服務過程中知悉的用户信息,情節嚴重的最高處10萬元罰款。

全國人大法工委今年10月21日就《個人信息保護法(草案)》徵求意見。草案的第六十二條提出,違反法規處理個人信息,或者處理個人信息未按照規定採取必要的安全保護措施的,由相關部門責令改正,沒收違法所得,給予警告;拒不改正的,並處一百萬元一下罰款,對直接負責的主管人員和其他責任人員處一萬元以上十萬元以下罰款。情節嚴重的,可吊銷相關業務許可或吊銷營業執照,對主管人員和其他直接責任人處十萬元以上一百萬元以下罰款。

北京市安理律師事務所高級合夥人、律師王新鋭分析認為,出售快遞用户個人信息的“網友”及購買個人信息的人員均違反《網絡安全法》中關於個人信息保護的規定,尚未構成犯罪的情況下,由公安機關沒收違法所得,並處違法所得一倍以上十倍以下罰款,沒有違法所得的,處一百萬元以下罰款。

而個人信息被泄露的用户有權要求收集其個人信息的快遞公司刪除其個人信息,若因個人信息泄露受到損害的,可向法院提起訴訟請求損害賠償。

他指出,非法出售、非法獲取個人信息情節嚴重的,構成“侵犯公民個人信息罪”,將被處以三年以下有期徒刑或者拘役,並處或者單處罰金;情節特別嚴重的,處三年以上七年以下有期徒刑,並處罰金。