用户信息泄露事件 一文看懂电商用户数据泄露为何成常态？

一、事件背景

近日，公安部破获一起严重的窃取、贩卖公民信息案件，窃取、贩卖公民信息多达50亿条。据公安部调查，JD.COM网络安全部门工作人员郑默鹏长期暗中窃取、伙同黑客，为黑客入侵网站提供重要信息，包括物流信息、交易信息、个人身份等JD.COM、QQ等数据信息，为犯罪团伙开展违法犯罪活动提供强大的技术支持。

JD.COM发布声明称，在腾讯和JD.COM联合打击信息安全地下黑产业链的日常行动中，2016年6月底加入JD.COM、目前仍在试用期的网络工程师郑默鹏是黑产帮的重要成员，并立即向公安机关提供线索。

以下是JD的原话。COM:

几天前，JD.COM和腾讯的安全团队联手帮助公安部破获了一起盗窃和出售公民个人信息的严重案件。据报道，在腾讯和JD.COM联合打击信息安全地下黑产业链的日常行动中，发现2016年6月底加入JD.COM、目前仍在试用期的网络工程师郑默鹏是黑产帮的重要成员，并立即向公安机关提供线索。

据了解，郑默鹏在加盟JD.COM之前，曾在国内多家知名互联网公司工作。他与长期窃取个人信息的犯罪团队合作，交换从他工作的公司窃取的个人信息数据，并以各种方式在互联网上出售。在掌握大量证据的基础上，根据公安部的统一部署，安徽、北京、辽宁、河南等14个省市公安机关同步开展集中收网行动，将韩某、翁某、郑默鹏等主要犯罪嫌疑人全部抓获。目前，此案正在进一步调查中。

JD.COM和腾讯的安全负责人表示，JD.COM和腾讯作为密切的战略合作伙伴，自2015年以来在各种信息安全领域开展了深入合作，建立了一整套合作互助机制。双方在打击手机木马、保障互联网金融安全、打击个人信息泄露等领域联合开展了多项专项行动。今年2月，JD.COM还联合腾讯、百度、沃尔玛等企业建立了“阳光诚信联盟”，进一步建立了跨行业的信息安全保护体系。

双方表示，在复杂的网络和信息安全环境下，个人信息安全问题日益严峻和复杂，双方将进一步配合相关部门开展积极打击，共同维护用户和企业的合法权益，确保行业健康发展。

二、相关背景资料

随着“3·15”国际消费者权益保护日的临近，中国电子商务研究中心发布了《2016中国电子商务用户体验与投诉监测报告》。该报告通过了淘宝/天猫、Tesco、苏宁易购、唯品会、国美在线、亚马逊中国、品多多、聚美优品、当当、一号店等数百家主流电商的统计。发货问题、物流问题、客服问题、退款问题、退货难、虚假促销、产品质量、疑似销售、错货、信息泄露等都在2016年十大零售电商之列

从我国电子商务投诉维权公共服务平台的专家处了解到，用户信息泄露是指消费者在电子商务平台上购物后，因购物信息泄露而被欺骗并遭受精神和经济损失的投诉，信息泄露在电子商务市场中较为常见。

根据中国电子商务研究中心对1000名用户进行的在线调查，21.7%的用户经历过因网上购物、论坛、微信等导致的信息泄露。，11.2%的用户接到过疑似欺诈电话；56.8%的用户对互联网信息安全表示担忧，他们会对需要填写个人信息的互联网游戏和注册持谨慎态度。但仍有43.2%的用户认为互联网信息的披露与个人无关，因此不太关注。

据中国电商投诉维权公共服务平台近年来收到的类似用户投诉，近年来互联网/电商行业“泄密”事件频频出现，包括:5173中国网络服务网数次“被盗款”、当当多个用户账号被盗、“一号店”员工内外勾结泄露客户信息、支付宝漏洞导致用户信息泄露、如家般七天开房信息泄露、腾讯7000多条。

根据中国电子商务研究中心监控的许多案例，绝大多数新的网络诈骗都与个人信息泄露有关。他们要么充分利用被盗受害者的个人信息实施网络诈骗，要么将受害者的个人信息作为网络诈骗的目标。个人信息的非法交易正是网络诈骗泛滥的根本原因。

三.相关法律法规

1.《中华人民共和国刑法》第二百八十六条:破坏计算机信息系统罪。违反国家规定，删除、修改、增加或者干扰计算机信息系统功能，致使计算机信息系统不能正常运行，造成严重后果的，处五年以下有期徒刑或者拘役；后果特别严重的，处五年以上有期徒刑。违反国家规定，删除、修改、增加计算机信息系统中存储、处理、传输的数据和应用程序，造成严重后果的，依照前款规定处罚。故意制作或者传播计算机病毒等破坏性程序，影响计算机系统正常运行，造成严重后果的，依照第一款的规定处罚。

2.《全国人民代表大会关于加强网络信息保护的决定》规定，任何组织或者个人不得窃取或者以其他方式非法获取公民个人电子信息，不得向他人出售或者非法提供公民个人电子信息。公民发现泄露个人身份、散布个人隐私等侵犯其合法权益的网络信息，或者受到商业电子信息侵害的，有权要求网络服务提供者删除相关信息或者采取其他必要措施予以制止。互联网服务提供者、其他企业、事业单位及其工作人员必须对在经营活动中收集的公民个人电子信息严格保密，不得泄露、篡改、损坏、出售或者非法提供给他人。

3.国务院《互联网交易管理办法》第十八条规定，网络商品经营者和相关服务经营者在经营活动中收集和使用消费者或者经营者信息，应当遵循合法、公正、必要的原则，明确收集和使用信息的目的、方式和范围，并征得被收集人的同意。网络商品经营者和相关服务经营者在收集和使用消费者或者经营者信息时，应当披露其收集和使用规则，不得违反法律法规规定和双方约定收集和使用信息。网络商品经营者、相关服务经营者及其工作人员必须对收集的消费者个人信息或者经营者商业秘密严格保密，不得泄露、出售或者非法提供给他人。网络商品经营者和相关服务经营者应当采取技术措施和其他必要措施，确保信息安全，防止信息泄露和丢失。一旦出现信息泄露或丢失，应立即采取补救措施。

4.《快递市场管理办法》规定，快递企业和快递从业人员不得非法披露其在从事快递服务过程中知悉的用户信息。违反本条款的，依照《邮政法》的有关规定处罚，即邮政企业、快递企业非法向用户提供使用邮政业务或者快递业务的信息，尚不构成犯罪的，由邮政管理部门责令改正，没收违法所得，并处1万元以上5万元以下罚款；对邮政企业直接负责的主管人员和其他直接责任人员给予处分；对于快递企业，邮政管理部门也可以责令其停业整顿，直至吊销其快递业务经营许可证。

5.《中华人民共和国电子商务法》:此外，2016年12月19日，第十二届全国人民代表大会常务委员会第二十五次会议首次审议了NPC财经委员会提交的《中华人民共和国电子商务法》，这是中国电子商务领域的第一部综合性法律。《草案》重点对第三方平台做出明确规定，要求运营商接受审查，提供稳定安全的服务；对电子商务投机、恶意骚扰、信息泄露等做出明确规定。电子商务经营者应当建立制度，完善技术手段，防止信息泄露、丢失和损坏，保障电子商务数据和信息的安全；当用户个人信息泄露、丢失或损坏时，电子商务经营单位应当立即采取补救措施，及时告知用户，并向有关部门报告。

6.《央行银行卡收购业务管理办法》第二十八条:“收单机构不得以任何形式存储银行卡轨迹信息或芯片信息、卡验证码、卡有效期、个人识别码等敏感信息，并采取有效措施防止特约商户和外包服务机构存储银行卡敏感信息。”

7.2008年，中国银联风险管理委员会发布了《银联卡收单机构账户信息安全管理标准》，规定本地银行卡信息不得保存:“每个收单机构系统只能存储交易清算和错误处理所需的最基本账户信息，不得存储银行卡追踪信息、卡验证码、个人识别码和卡到期日。”

第四，专家意见

针对频繁发生的电子商务信息泄露事件，中国电子商务研究中心发布此快速点评，以供参考。

律师和专家争论:谁对用户数据的安全负责？

对此，中国电子商务研究中心特约研究员、辽宁亚太律师事务所律师董一智认为，根据现行法律，如果用户信息泄露，企业需要承担一定的赔偿责任。

因为公司与用户有合同关系，所以有义务保证用户的信息安全。如果事故是内部人员造成的，说明公司存在管理问题，安全管理责任没有履行，公司应承担相应的民事责任，赔偿用户损失。如果事故是由外部攻击造成的，需要分析公司是否采取了保证信息安全的基本技术措施，进而判断公司是否有过错。

其中一个重要的问题是，企业发现数据泄露时做了什么，是否立即发出警报并采取措施，直接反映了有关公司是否履行了相关责任。在类似事件中，一些企业往往担心自己的声誉受损，对数据泄露持保密态度。这种心态正是网络攻击者所期待的，也是攻击者无所畏惧的原因之一。

根据美国的法律，企业一旦泄露信息，可能会因违反银行规定而受到惩罚。根据我国法律，对侵犯用户隐私的约束力有限，用户维权和寻求民事赔偿的成功率不高，损失评估金额难以确定，因此追究隐私泄露责任人非常困难。尽管发生了大规模的信息泄露和频繁的数据安全事件，但企业的负责人从未被追究责任。

中国电子商务研究中心特约研究员、广州市金鹏律师事务所合伙人詹律师认为，违法成本低、缺乏法律监管是导致“泄密”事件频发的根本原因！

从法律的角度来看，各类服务提供者基于提供服务所收集的用户信息数据，都有严格保密的法律义务。类似的规定散见于《互联网交易管理办法》和国家工商行政管理局发布的《全国人民代表大会常务委员会关于加强网络信息保护的决定》等相关法律、法规和规章。虽然有很多规定，但是相关规定中并没有相应的处罚，违法成本极低。

在日益复杂的在线交易中，服务提供商忙于处理各种业务。用户信息的保密只是基于商业道德或品牌荣誉，其实施力度可想而知。可以毫不夸张地说，缺乏法律监督是类似事件反复爆发的根源。工商局、银监会、证监会、管理局等行政部门应形成联动机制，严厉打击泄露用户信息甚至“出售”用户信息的行为，给消费者以安全和放心。

中国电子商务研究中心特约研究员、浙江泽达律师事务所律师傅永勇曾表示，因商业过失造成的经济损失，消费者应当得到赔偿。

根据《消费者权益保护法》，经营者及其工作人员收集的个人信息必须严格保密，不得披露、出售或非法提供给他人。经营者应当采取技术措施和其他必要措施，确保信息安全，防止消费者个人信息泄露或者丢失。

一旦出现信息泄露或丢失，应立即采取补救措施。此外，《互联网交易管理办法》也有同样的规定。因经营者过错造成消费者经济损失的，应当承担相应的赔偿责任。

对此，中国电子商务研究中心主任曹磊认为，用户信息泄露不仅存在于个人定价电商平台，几乎是当前电商行业普遍存在的问题，被动消费者受信息泄露之苦最大。要避免购物过程中的信息泄露，需要消费者、电子商务平台和相关部门的共同努力。

据悉，我国首部《电子商务法》加强了信息安全保护，明确了信息安全保护的责任主体，包括第三方电子商务平台、平台内运营商、支付服务提供商和快递物流服务提供商。对未履行保护义务的，提出50万元罚款并吊销许可证；构成犯罪的，依法追究刑事责任。此外，根据《刑法》第二百五十三条规定:“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，出售或者非法提供本单位公民在执行职务或者为他人提供服务过程中获得的个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金。

如何防止个人信息泄露？

对此，中国电子商务研究中心主任曹磊给出了建议:

首先，网站用户披露信息的方式有很多可能。现在很多应用、网站、微信官方账号、小程序都需要用户注册账号才能正常使用。所以每个网友都有多个账号是很常见的。网站注册时一般需要填写一些个人信息，比如常用账号、密码、邮箱地址等。一些电子商务、婚恋交友网站也需要实名认证，这就需要更详细的信息。平台上泄露用户数据的方式有几种:黑客利用平台上的安全漏洞入侵网站，窃取用户数据库；网站内部人员转卖用户信息；通过库攻击窃取用户数据；利用网络钓鱼攻击窃取用户信息；通过木马和病毒窃取用户隐私信息。

二是法律规定需要细化，相关部门要及时介入。我国关于网络信息安全的法律规定不够明确，适用范围不够精确。相关规定必须进一步细化和规范，以更加公平公正地惩罚网络信息安全事件的肇事者，保护公民的切身利益。“不说，不处理”的原则不适用于此类信息泄露事件。相反，执法部门应主动积极介入案件调查，追究实施者的责任。

第三，信息安全不是小事，用户必须增强信息保护意识。警惕重新输入账户信息，否则会阻止信用卡账户等邮件，不要回复或点击邮件的链接，以免掉入陷阱。同时，避免打开来源不明的邮件和文件，安装防病毒软件并及时升级病毒知识库和操作系统补丁，将敏感信息输入隐私保护，打开个人防火墙。网银中，转账交易选择使用网上券和约定账户，不要在网吧、公众电脑、不知名地下网站做网上交易或转账。不要在多个网站上使用相同的注册帐户名和登录密码，以防网络黑客故意窃取并导致多个网站的个人信息被连续窃取。

第四，要求网站平台在收集和使用用户信息时遵循“合法、正当、必要”三大原则。对收集到的用户信息要采取安全措施，如有泄露必须及时采取补救措施，否则可能面临用户的行政处罚或诉讼。

知名网购维权专家、中国电子商务研究中心法律维权部助理分析师姚建芳认为:

第一，信息安全不是小事，忽视必然要付出沉重的代价。鉴于大多数互联网企业可以关注用户信息安全问题，加强相关数据安全保护、技术监督和内部管理。防止任何形式的信息泄露。如果出现信息安全问题，请尽快进行补救，以防止情况失控。同时，一旦可能威胁到用户的信息安全，应在第一时间公开宣布告知用户，并主动承担责任，给予相应赔偿。监管部门要加强对互联网、电子商务和快递行业的监管，完善个人信息保护相关法律法规，完善立法，严格执法。

二是用户信息保护意识增强，网上支付需谨慎

1.忽略重新输入账户信息等电子邮件，否则信用卡账号将被停止。不要回复或点击邮件的链接。如果要验证邮件信息，用手机代替鼠标；如果你想访问一家公司的网站，直接使用浏览器访问，而不是点击电子邮件中的链接。

2.注意网址。大多数合法网站都有相对较短的网址，通常以。com或。假冒网站通常有很长的地址，其中只包括合法的商业名称。

3.避免打开来源不明的邮件和文件，安装防病毒软件，及时升级病毒知识库和操作系统补丁，将敏感信息输入隐私保护，开启个人防火墙。

4.使用网银时，选择使用网上凭证和约定账户进行转账交易，不要在网吧、公众电脑或不知名的地下网站进行网上交易或转账。

5.不要在多个网站上使用相同的注册帐户名和登录密码，以防网络黑客故意窃取并导致多个网站的个人信息被连续窃取。

6.鉴于最近用户网银频繁被盗，建议最好有单独的银行卡开通网银进行网上消费，尽量不要选择工资卡等存款较多的银行卡。

第三，互联网信息披露存在诸多隐患。除了熟悉的购物网站账号被盗、CDSN信息被泄露之外，日常的手机软件下载、WIFI上网、移动支付都存在一定的风险。然而，所有信息泄露都是由于三个原因:

有个人信息的商业机构被从外部窃取或内部泄露:航空公司空公司旅客出行信息泄露，某快递公司数百万客户信息泄露，发生针对性欺诈；

由于技术上的漏洞:比如一些快捷酒店由于开放记录的第三方存储导致客户信息泄露，导致大量用户隐私内容泄露；

由于信息保存不当，用户被犯罪分子获取，特别是在互联网应用中使用简单的密码或相同的密码。

对此，建议广大互联网/电商公司加强技术监管，确保用户信息安全；互联网用户加强个人信息保护，保护个人信息不受侵犯；监管部门加快相关法律法规建设，严格执法。

动词 （verb的缩写）盘点:近年来电商用户信息泄露的典型案例

从雅虎2亿用户的数据泄露，到前段时间10G裸贷照片和视频压缩包在互联网上的广泛传播，再到JD.COM的12G数据泄露，数据泄露一直是互联网公司无法言说的痛。一个个都表现出了当前大数据时代大家都在裸奔的普遍常态。

根据国内知名电商用户投诉维权第三方平台近几年收到的用户投诉和监控，发现很多大型互联网公司内部管理存在重大漏洞，其内部人员故意泄露和出售网站用户个人信息，侵犯了网上交易用户的信息隐私权。以下是近年来呼叫者行业中11起典型用户信息安全事件的清单:

事件1: 5173中国互联网服务网被“偷”了几次。2010年1月20日，涉嫌盗窃的李豪被兰溪检察院逮捕。经调查，李豪前后盗窃了5173家网站的100多个账户，并获得赃款12万余元。犯罪分子首先在互联网上搜索5173网络账户，以出售游戏币和游戏设备的信息，通过简单的交易获得信息，然后计算网络账户的密码，从而进行网上盗窃。

事件二:当当账户被盗刷。2012年3月，当当网账户被集体盗，余额用于购买电子产品、金银首饰等大宗商品。当年6月13日，一位网名为“我就是那个向日葵”的微博用户发布微博，称面值500元的10张“当当购物卡”被盗。2014年3月，当当113用户账户余额被盗，损失金额超过6万元。而当当网是第一次摆脱用户账号被盗，只是迫于舆论压力才给予赔偿。

事件三:“一号店”员工内外勾结，泄露客户信息。2012年5月底，微博用户被踢爆1号店员工内外勾结泄露客户信息的消息，90万用户信息居然以500元的价格卖出。一些消费者很快就遇到了账户余额被盗、电话诈骗等问题。之后一号店冻结了用户账号。一号店副总刘彤回应:一号店在事件发生后进行了内部检查，对系统、流程、权限进行了清理和升级，防止类似事件再次发生。被消费者质疑“很不真诚”。直到2013年3月，仍有不少消费者声称1号店没有妥善处理信息泄露事件，仍未得到应有的赔偿。

事件4:支付宝漏洞信息泄露。2013年3月27日晚，网友爆料支付宝存在重大漏洞，称使用Google和360可以搜索出大量支付宝交易记录，包括支付账号、收款账号、姓名、日期，甚至电子邮件地址和手机号码，并附上Google搜索截图和多个详情页截图。消息在27日被广泛转发后，支付宝官方于27日下午23: 53在微博上回应，称已处理完毕。这一次，付费结果页面被包括在内，可能是因为极少数用户主动将他们的付费结果页面分享到公共区域。回应遭到网友质疑。支付宝回应称，支付宝生活助手转账支付结果页面一般用于双方显示支付结果，不包含实名、密码等重要信息。支付宝对这个页面链接加了安全保护，正常情况下任何搜索引擎都无法抓取。目前，一些信息已经从用户的支付结果页面中隐藏起来，以进一步帮助用户保护个人隐私信息。

事件五:在家待七天的信息泄露。2013年10月，如家快捷酒店、七天连锁酒店等连锁酒店被互联网曝光，泄露客户开业信息多达2000万条。你只需要输入你的名字或身份证号码，就可以找到真实的信息，包括身份证号码、生日、地址、手机号码、电子邮件地址、公司、注册日期等。事发前一周，国内安全漏洞监控平台五云发布报告称，多家酒店开业记录由无线互联网认证管理系统提供商浙江汇达站网有限公司保存，存在系统漏洞隐患。

事件6:腾讯7000多万QQ群被泄露，隐患危及微信支付。2013年11月20日，国内安全漏洞监控平台五云发布报告称，腾讯QQ群关系数据泄露，数据下载链接在迅雷快递很容易找到。根据QQ号，可以找到很多个人隐私，比如备注姓名、年龄、社交网络甚至工作经历等。腾讯也承认有7000多万QQ群被泄露。对此，业内人士担心泄密会直接牵连微信安全。“黑客一旦掌握了QQ号和银行卡号，就可以注册微信，用微信支付了。盗取用户资金几乎是一件轻而易举的事情。”

事件7:携程的技术漏洞导致用户个人信息和银行卡信息泄露。早在2009年，携程的信息安全漏洞就多次受到用户质疑，但并没有引起公司足够的重视。2014年1月，携程再次被媒体指出，存储敏感信用卡信息存在泄密风险。携程回应称，采用的信用卡支付方式符合国际惯例，再次选择忽视自身信息安全。2014年3月22日晚18:18，五云漏洞平台发布消息称携程存在技术漏洞，可能导致用户个人信息和银行卡信息泄露。泄露的信息包括用户名、身份证号、银行卡类型、银行卡号码、银行卡CVV码、银行卡6位Bin，可能被黑客读取。

事件8:快递订单被卖进“灰色产业链”。快递订单成了信息泄露的另一种方式。“淘114”“淘8”“单号网”等网站明确出售快递订单，0.5元可以购买一份快递信息。快递订单的销售成了灰色产业链。然而，大量的淘宝卖家已经成为快递订单的重要来源之一。目前，近90%的淘宝卖家都在利用真实的快递订单来“炮制”真实的假快递。

事件9:小米“泄密门”泄露800万用户信息。2014年5月13日晚，安全平台五云发布重大安全漏洞消息。小米论坛被撤下，约800万小米社区用户数据泄露，可能影响小米移动云等敏感信息。后来，一些用户接到了诈骗电话，而电话的来源可以提供准确的信息，如用户的姓名、地址、电话号码、商品购买记录、密码、电子邮件地址、注册IP等。，并以货到付款的方式进行产品销售等欺诈行为。

事件10:130000 12306用户信息泄露。2014年12月25日上午，中国铁路票务网站12306的漏洞报告出现在漏洞报告平台Wuyun.com。危害级别为“高”，漏洞类型为“用户数据大量泄漏”。这意味着该漏洞可能导致所有注册12306用户的账户、明文密码、身份证和邮箱等敏感信息被泄露。瑞星公司通过对12306网站用户隐私泄露的调查，发现12306网站主域名下6个子站存在严重的Strust2框架远程执行漏洞。

犯罪嫌疑人姜某某和石某某被捕后。经警方初步审查，两人供认，通过收集互联网上某游戏网站等网站泄露的用户名和密码信息，非法获取用户其他信息，谋取非法利益，试图登录其他网站“撞入图书馆”。

事件11:携程“瘫痪”。2015年5月28日11点，Ctrip.com瘫痪，web版和手机APP无法正常使用。Ctrip.com回答说，这是由服务器上的未知攻击造成的，正在紧急恢复。5月28日下午，携程官网在首页上方贴出通知，“携程网站暂时无法提供服务，正在紧急抢修。你可以访问鳄龙旅游网”。5月28日17: 00，鳄龙旅游主页无法正常访问，半小时后恢复正常。至于事故原因，携程瘫痪后不久就出现了内部员工辞职报复、物理删除数据库等网络谣言。5月28日22时45分，携程官方称，携程官网和APP经技术人员修复后恢复正常。经过调查，数据没有丢失，预订数据保存完好。5月29日1时30分，携程官方表示，经过技术调查，确认事件是员工操作失误造成的。由于涉及众多的业务、应用和服务，验证应用和服务之间的功能是否正常运行需要很长时间。携程官网和APP已经在28日23: 29全面恢复正常。