泄露40万条用户信息，圆通主动揪出“内鬼”

　　中国物流与采购杂志 昨天近日，《新京报》报道，在邯郸市警方的一起部督案件中，不法分子与圆通快递多位“内鬼”勾结，通过有偿租用圆通员工系统账号盗取公民个人信息，再层层倒卖公民个人信息至不同下游犯罪人员。对此，圆通方面回应称，已报案，相关嫌疑人于9月落网，坚决配合打击非法售卖和使用快递用户信息的行为。未来欢迎客户发邮件或拨打热线电话举报涉嫌信息安全违法的线索。

　　01

　　为圆通自查发现

　　该案涉及的公民信息数量超过40万条，涉案金额高达120余万元。

　　嫌疑人马某雇佣人员以每日500元的费用租用圆通快递邯郸公司内部员工系统账号，两名团伙成员再通过登录租用的系统账号进入该物流系统，导出快递信息。其他团伙成员把窃取的快递信息进行整理后交给同伙，又通过微信、QQ等方式卖到全国及东南亚等电信诈骗高发区。据嫌疑人供述，他将收集到的信息打包卖出，每条信息单价约为1元。

　　对此，圆通集团11月17日回应称：圆通一贯坚决配合打击非法售卖和使用快递用户信息的行为。圆通核心业务系统均通过了信息安全等级保护三级测评，从技术层面和管理层面着力保障信息系统的安全性。

　　今年7月底，圆通总部实时运行的风控系统监测到圆通速递河北省区下属网点有两个账号存在非该网点运单信息的异常查询，判断为明显的异常操作，于第一时间关闭风险账号，同时立即成立由质控、安保、信息中心、网管以及河北省区组成的调查组，对此事件开展取证调查。

　　经过调查发现，疑似有网点个别员工与外部不法分子勾结，利用员工账号和第三方非法工具窃取运单信息，导致信息外泄。圆通随后向当地公安部门报案，并全力配合调查。相关犯罪嫌疑人于9月落网。

　　圆通表示，感谢社会和媒体的监督，并对此案件暴露的问题深表歉意。公司将持续通过“制度+技术”手段，完善信息安全风控系统，对内部账号进行实时监控，主动发现违法违规行为。同时，着力提升加盟公司的依法经营意识和信息安全意识，并更好配合公安机关，严厉打击涉及用户信息安全的违法行为，共同织牢信息安全防护网。

　　02

　　信息泄露危害几何

　　据悉，此次被泄露的信息中包括发件人地址、姓名、电话以及收件人电话、姓名、地址六个维度。

　　援引知情人士消息称，如果以上述六个维度的信息共同组成一条信息来计算，此次被泄露的信息数量实际超过40万条。经过警方和检察院确认，被泄露信息中，存在某个维度以“*”来匿去的“不完全信息”，例如发件人为“张三”，但发件电话却为“*”。经过统计，六个维度完整的信息约为45000条。

　　因为快递行业的面单信息涉及的不单是姓名、电话号码，还有更为敏感的家庭住址等信息，属于犯罪分子看来“信息变现能力最强”的类型，所以信息泄露后往往会流向诈骗渠道，造成更大的危害。例如，这些信息目前经常出现在“到付诈骗”等精准骗局中。

　　根据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》，非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息50条以上的将入罪，自2017年6月1日起已实施。根据《网络安全法》第42条的规定：不按规定采取技术措施和其他必要措施，未确保其收集的个人信息安全，导致信息泄漏的，企业要承担相关法律责任。

　　03

　　快递企业需警钟长鸣

　　事实上，不少快递公司都有类似被“内鬼”伤害的经历。去年就发生了一起“内鬼”交易案，某快递公司的6名快递员利用职务之便，窃取其公司的全国用户数据提供给电商；而圆通公司也并非出现首次“内鬼”事件。7年前，“刷钻”网站就打着圆通公司的旗号长期出售快递面单信息。在“内鬼”林某的“神助攻”之下，包括快递单号、收货人姓名、收货人手机号、收货地址等20余万条公民个人信息被泄露。

　　这种“内鬼”行为伤害的不只是被泄露个人信息的民众，也是对快递公司商誉的重大伤害。鉴于此，快递公司显然应该时刻警钟长鸣，持续通过“制度+技术”手段，完善信息安全风控系统，对内部账号进行实时监控，主动发现违法违规行为。只要监管到位，补上管理漏洞，不法分子的违法企图就很难得逞。

　　网络信息时代，保护公民个人信息，防范行业“内鬼”是重中之重。对银行、教育、工商、电信、快递、证券、电商等“内鬼”容易出没的行业，不仅司法执法机关应严厉打击，让潜在“内鬼”不敢下手，还应关口前移，修筑起防范堤坝，第一时间抓住“内鬼”的黑手。如此，公民个人信息才有更安全的“港湾”。