電商平臺用戶信息保護難題

文 《法人》記者 李立娟

電商平臺用戶信息保護難題

文 《法人》記者 李立娟

電商用戶數據外泄極大危及了網絡購物的安全性，監管部門、電商平臺和消費者自身，都應為問題的解決作出貢獻

2016年12月網傳的疑似京東12GB用戶數據泄露事件，又一次吸引了公眾的關注。畢竟這牽涉了太多的人，且相關數據包括用戶名、密碼、郵箱、QQ號、電話號碼、身份證等多個維度，數量龐大。

據相關報道顯示，經京東信息安全部門初步判斷，該數據源于2013年Struts2的安全漏洞問題，當時國內幾乎所有互聯網公司及大量銀行、政府機構都受到了影響，導致大量數據泄露。

電商平臺的數據泄露問題并非只有京東個案。在2014年初，支付寶也因“內部作案”出現用戶信息泄露事件；2014年底，中國鐵路購票網站12306也出現用戶數據外泄。

電商以及網絡平臺用戶數據的保護，并不是一家平臺的責任，用戶數據的保護如何進行，網絡信息安全如何進一步防范，均有待進一步探索。

數據外泄問題凸顯

“本次京東用戶數據泄露，只是凸顯互聯網信息安全問題的一小部分，其實很多網民個人信息都曾被泄露，而電商則是用戶數據泄露的重災區，1號店、當當網、支付寶等都出現過用戶數據泄露事件。”中研普華研究員邱少梅在接受《法人》記者采訪時如是說。

她進一步表示，電商平臺信息泄露主要存在幾方面的原因：一是網站內部人員偷盜售賣；二是消費者忽視個人信息的保護，如隨意在購物網站填寫個人信息等；三是黑客入侵，破解公司網站漏洞，竊取用戶信息。

參與過多起網購詐騙事件、協助數百名受害消費者依法維權的北京律師張新年在接受《法人》記者采訪時認為：“近年來網絡購物異軍突起，勢不可當，與此同時，非法盜取、泄露、買賣用戶信息、網絡詐騙等問題隨之彰顯，甚至形成了地下產業鏈。”

在眾多知名品牌電商平臺上發生的網購消費者被詐騙事件，一度呈現大規模爆發之態勢，已然演化為社會公共事件，嚴重損害了消費者的權益，動搖了部分消費者的網購信心，也損害了電商的利益，妨礙了互聯網經濟的健康發展。

資深IT撰稿人，專欄作家孟永輝在接受《法人》記者采訪時表示，當前的信息泄露已經由傳統的以個體特征為代表的基本信息泄露轉移到了交易、財務等隱私性的信息泄露。主要導致個人隱私侵害、財產損失等后果。

可以看到的是，電商平臺也一直在努力應對用戶信息泄露的風險。京東相關負責人在接受《法人》記者采訪時說：“對京東而言，用戶的個人信息保護、防止信息泄露上，有著一系列的措施。”

該負責人介紹，在戰略層面，京東的網絡安全措施包括幾方面：首先，對于用戶數據進行了嚴格的加密，數據存儲權限進行嚴格限制，不管從程序上還是人員管理上，都進行了嚴格規范，建立安全防范意識，技術上實現了信息的HTTPs加密傳輸，保證傳輸數據是機密；其次，對于數據管理方面，建立了規范化的按數據應用范圍分類的管理體系，對于數據的存取和傳輸也進行了嚴格的規定。

她進一步對《法人》記者說，在安全防范方面，為了防止數據泄露，有專門的團隊負責安全漏洞的捕捉和數據分析，找出潛在的威脅。針對互聯網各種欺詐行為進行定位，建立一整套安全管理系統，進行監督控制。

個人信息保護意識亟待增強

“越來越多的交易在互聯網上發生，吸引了很多黑客的關注，黑客與安全體系的博弈會一直繼續下去。”京東上述負責人對《法人》記者表示，作為行業生態中的一員，電商平臺必須致力于攜手為用戶打造健康安全的生態環境。但面對互聯網安全的嚴峻局面，也提醒用戶要不斷提高警惕性，與時俱進。

就如何保護個人信息安全，她進一步解釋道，盡量不要使用公共場所或他人的免費網絡進行網絡購物，避免個人賬戶或敏感信息泄露。在涉及到資金問題的電商、支付類系統中使用獨特的用戶名和密碼，避免被撞庫攻擊的風險。不要把敏感信息如銀行卡、身份證等信息隨意暴露在網上，尤其是現在的社交網站，注意個人信息的安全。

此外，還應注意保護個人電腦、手機等信息終端的信息安全，不要讓病毒入侵、植入木馬等。同時，家中Wi-Fi密碼、路由器管理后臺密碼，要使用字母加數字的高強度密碼。消費者應特別注意甄別網絡安全，不要被各類虛假信息迷惑，進入釣魚網站，警惕藏匿在短信、郵件、微信中的釣魚網址，不打開、不發送來路不明的促銷鏈接，對于打著電商名義而來的電話、QQ聊天應該格外小心，避免點擊通過即時通信軟件發過來的所謂退貨、用戶中心網址。

邱少梅則從監管對《法人》記者表示，面對頻發的用戶信息泄露事件，首先，相關部門要健全法律制度，讓執法行為有法可依；其次，相關部門要加強監管，加大執法力度，以預防為主，主動介入調查信息泄露事件；再次，運營電商平臺的企業，要增強行業自律，加強信息保密措施；最后，消費者要增強安全意識，不要隨意在購物網站留下個人信息。

邱少梅強調，消費者可以將相關的轉賬記錄、通話記錄、銀行流水等證據材料及時保存下來，并在被盜時第一時間向公安機關報警。在執法機構將犯罪嫌疑人控制、檢方提起公訴之后，受害者可以提起刑事附帶民事訴訟，要求返還被詐騙的財產。同時受騙者也可以向法院提起民事訴訟，要求追究網站管理者的侵權責任。

對于電商運營平臺的內鬼問題，張新年對《法人》記者建議道，涉案電商應該展開自查，工商部門、電信管理部門等應開展行政調查，公安機關也應開展刑事立案偵查。如果確系電商內鬼所為，則涉案員工涉嫌非法獲取公民個人信息罪，對網購消費者的民事賠償上，則由電商承擔單位賠償責任。

信息泄露如何追責

張新年對《法人》記者解釋道，在“消費者—電商—犯罪分子”這個關系鏈中，電商與消費者之間建立了合同關系，如果因為電商沒有盡到基本的信息安全保障義務，導致消費者被騙，電商應承擔違約責任。如果是電商出了內鬼，使得信息泄露導致消費者被騙，則又構成了侵權責任，電商向消費者承擔責任后最終有權向內鬼追償。

張新年表示，網絡詐騙分子的手段雖然高明，但方式相對單一，涉案電商如果沒能積極應對，其安全技術防范措施沒有相應地提升，不足以保障消費者的信息安全，顯然應當承擔法律責任。而對于網購被騙消費者而言，利益最大化的維權途徑便是向電商主張權利，并經由行政主管部門和司法部門向電商施壓。

張新年認為，從行政法的角度來看，工商行政機關負有監督管理各類市場交易行為，以及網絡商品交易及有關服務的法定職責；工信部及各地通信管理局等電信管理機構則對互聯網用戶個人信息保護工作實施監督管理；新成立的國家互聯網信息辦公室，也具有保障網絡安全和信息化發展的職能。

張新年說，消費者可以向上述政府部門了解情況，反映情況，并申請行政調查。如果有關部門疏于監管，疏于查處，可以申請政府信息公開、提起行政復議、行政訴訟，或向監察部門舉報，追究其行政不作為、失職甚至瀆職的責任。

從刑法的角度來看，網購消費者被騙后要及時報警，如果達到刑事立案標準，公安機關除了應該對直接實施詐騙活動的犯罪分子展開偵查外，也應當對電商及其內部相關人員展開全面的調查。

張新年表示，在真相未明之前，可以合理懷疑電商平臺在非法泄露消費者信息或者其內部存在內鬼。此外，消費者亦可借助自媒體和新聞媒體的輿論監督，以及消費者協會或司法援助中心的幫助。

“應說明的是，定紛止爭不一定通過訴訟。訴訟只是維護社會公平正義的最后一道防線。”張新年對《法人》記者表示，鑒于訴訟的人力、物力、財力和時間成本相對較高，并且在舉證上存有一定的難度，一般不適合普通消費者的維權需求。故被騙消費者可以先與對方交涉，并采取組合維權方式，不斷給對方施壓，為談判增加籌碼，爭取達成雙方的和解。