今年30岁的河南小伙杜城(化名)原本以为找到了一条可以致富的“捷径”——从上海丽人丽妆化妆品有限公司(以下简称“丽人丽妆”)辞职后,他利用原来掌握的管理员账号,盗取公司客户个人信息,并进行倒卖。
江苏徐州警方将其抓获后,发现杜城通过违法手段获取各类公民信息达1000多万条,以女大学生和职场女白领为主。信息种类之多、数量之大令人震惊,他通过网络向全国多个地区的嫌疑人,贩卖了大量公民个人信息,获利近10万元。
中国青年报记者调查发现,很多知名互联网公司均出现了涉及消费者多个维度的数据泄露事件,内部人员泄露信息也屡禁不止。“内鬼”为何难防?
化妆品公司的“内鬼”
杜城是河南焦作人,2012年从河南科技学院毕业,2013年9月,在朋友的介绍下来到上海丽人丽妆公司工作。该公司成立于2010年5月27日,目前主营业务包括化妆品电商零售、品牌营销服务和化妆品分销。
杜城在公司一开始做客服,当时公司代理了20多个国际化妆品牌,这些品牌在天猫上开设官方旗舰店,他会利用阿里旺旺与消费者聊天。后来,他负责店铺推广运营工作。
在杜城的印象中,公司的发展速度非常快,几乎是“三天两头就开一家新网店”,他也被公司逐渐“重用”。公司原来在上海松江办公,2015年7月,他被派到徐家汇(13.410,-0.01,-0.07%)上班,成为高级运营专员。每个月底薪8500元,年收入超过10万元,相比留在河南的大学同学,他的这份工资着实令人羡慕。
然而,住在松江,每天往返,对杜城来说太远了。今年4月10日,他辞职了。
去年他花了10万元买了小轿车,然后就在上海开滴滴拼车,后来他发现违章和油钱太多,根本赚不了什么钱。他还沉迷网络赌博,渐渐把积蓄都“输光了”。
一次,他在QQ群里看到,有人在收购信息。杜城好奇地加了对方的QQ,聊天后才得知,这个人是“淘宝客”,卖汽车用品,想收购一些消费者信息数据,“最好是消费能力比较高的女性消费者”。
杜城在徐州贾汪区看守所接受采访时表示,在公司那些天猫旗舰店买化妆品的大多是女性,而且都是购买国际品牌的化妆品,收入相对较高。杜城在笔录中称,丽人丽妆公司内部网站此前并没有设置密码,他利用曾是公司管理员的账号,登录公司内部网站,下载了客户的交易订单信息,而公司也未发现。
遍布全国的线上销售网
杜城在QQ群里联系了买家,这个买家推荐了另外一个买家“我是表哥”给他认识。“我是表哥”实际姓陈,今年21岁,家住四川宜宾市长宁县。最初,他在QQ群、百度贴吧上面打广告,需要消费者数据信息。
3个月前,他在网上认识了杜城,杜城自称手中有海量的信息可以出售,每1万条价格是100元,陈某向外出售的价格是每1万条400元,从中赚取差价300元。
据徐州警方介绍,短短3个多月,陈某已获利20多万元。由于“生意”太好,陈某还邀请表哥余某给他帮忙,两个人通过网络从杜城处购买公民个人信息后,再向他人出售。
7月11日,徐州专案组民警赶赴四川宜宾市长宁县,经过一番调查和走访,在长宁县一个镇上的出租屋内将嫌疑人陈某抓获。专案组发现,在陈某的聊天软件交流群中,购买倒卖公民个人信息的活动十分频繁。
专案组民警从陈某处查获了7台计算机、5台手机和5个移动存储设备,并进行了细致勘验,调取了海量数据(41.780,0.53,1.28%)研判,从这些设备中查获非法取得的公民个人信息400万余条。民警调查发现,正是杜城一直源源不断出售公民个人信息,才让陈某的生意如此“红火”。
8月2日,贾汪警方在摸清了杜城的踪迹后,又安排专案组民警迅速赶赴上海,在上海警方的配合下,将嫌疑人杜城抓获。
在杜城的住所,民警现场查获两台计算机和1部手机,计算机和手机里都可以查到大量公民个人信息。民警发现,杜城通过违法手段获取的各类公民信息达1000多万条,他通过网络向全国多个地区的嫌疑人贩卖了大量公民个人信息,获利近10万元。
据杜城透露,最开始他把一些几年前的消费订单卖给客户,但是后来对方要求新货,就是在几月内的消费订单。但他不知道自己卖的数据最终流向哪里。
让警方最担忧的是,这些消费者信息流入诈骗团伙手中。此前,他们曾追踪一条线索,发现这些数据最终流向中缅交界区域,然后线索就断了。
9月5日,中国青年报·中青在线记者获得一个相宜本草旗舰店的客户消费者信息,随机拨通了17位买家的电话,其中只有两位是空号。
接通电话后,记者立即与对方确认信息,得到确定回答之后,记者继续询问他们详细的订单信息,很多人在听到个人的具体信息后,立刻警觉起来,好几位直接挂断电话。
其中一名消费者回忆,一两年前,她在“相宜本草旗舰店”买过商品,“平时有陌生电话,我都不接”。
还有一名消费者查看自己的消费记录后确认,2015年在淘宝相宜本草旗舰店,下单购买过洗护用品。这位消费者表示,平时会接到各种各样的诈骗电话以及推销短信,也知道自己的信息早就被泄露,但不知道自己的信息从什么渠道泄露。“前几天还接到电话说我的社保到期,但我根本没有社保。”
电商平台如何承担保护消费者信息的责任
杜城这次泄露的数据信息除了“相宜本草旗舰店”,还有欧莱雅、蜜丝佛陀、美宝莲、梦妆等化妆品知名品牌。
中国青年报·中青在线记者在天猫商城查询发现,欧莱雅官方旗舰店有409.8万粉丝,蜜丝佛陀官方旗舰店有180.3万粉丝,美宝莲官方旗舰店有419.7万粉丝,相宜本草官方旗舰店有338.5万粉丝,梦妆官方旗舰店有179.7万粉丝。这些粉丝大都是年轻的消费者。
这些账号的运营主体都是上海丽人丽妆公司。该公司目前正在筹备上市,“招股说明书”显示,公司作为国内领先的化妆品品牌正品授权网络零销服务商,截至2016年8月,与该公司合作的化妆品品牌有51家,包括兰蔻、希思黎、娇兰、雅漾、碧欧泉、雪花秀、兰芝、美宝莲、妮维雅、施华蔻等国际知名品牌。
“丽人丽妆”与品牌方的合作模式是,在天猫上开设官方旗舰店,打通品牌方与消费方之间的网络销售渠道,帮助更多化妆品品牌在中国市场获得成功。
说明书中还提到,该公司基于自身积累的庞大用户购买数据,发挥在数据挖掘和客户定位方面的优势,为品牌方提供大数据精准营销和品牌推广方案设计,提升品牌目标客户触达和转化的效率,从而实现品牌价值的最大化。
据办案警察介绍,直到6月1日国家对个人信息保护有了严格要求,丽人丽妆公司才开始对管理员登录进行升级,登录时需要发送验证码给管理员,才能登录。为此,从6月1日开始,该案的犯罪嫌疑人就再也不能从公司内部下载信息了。
日前,中国青年报未能联系上“丽人丽妆”公司予以回应。
江苏诺法律师事务所樊国民律师说,电子商务的发达,网络本身的虚拟性、开放性以及数据仓库、数据挖掘技术的兴起,导致个人信息被泄露的几率大增。非法搜集、复制、公开、利用、买卖个人信息的侵权行为愈演愈烈,甚至形成了地下产业链。
在樊国民看来,“内鬼”使得信息泄露进而导致消费者被骗,电商平台应承担侵权责任。由于电商平台安全防范措施不到位,未能尽到基本的信息安全保障义务,还应承担违约责任。另外,电商平台不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,致使用户信息泄露,造成严重后果的,构成拒不履行信息网络安全管理义务罪,应承担刑事责任。
樊国民说,对于拟上市的电商平台,证监会可以对其取得相关电信业务经营许可证的年限、诚信记录作出要求,对于最近3年因个人信息泄露受到重大民事诉讼、重大行政处罚或者刑事处罚的,还需对其网站接入地、内部控制、信息系统和安全保障等方面作出要求。 中国青年报·中青在线记者 李超 实习生 蒋丰蔓