對(duì)于圓通“內(nèi)鬼”致40萬條個(gè)人信息泄露的報(bào)道，圓通速遞11月17日回應(yīng)稱，調(diào)查發(fā)現(xiàn)，疑似有加盟網(wǎng)點(diǎn)個(gè)別員工與外部不法分子勾結(jié)，利用員工賬號(hào)和第三方非法工具竊取運(yùn)單信息，導(dǎo)致信息外泄。圓通對(duì)此案件所暴露的問題深表歉意。

在這起信息泄露事件中，圓通應(yīng)該承擔(dān)什么責(zé)任？被泄露信息的用戶可以索賠嗎？中國互聯(lián)網(wǎng)協(xié)會(huì)法治工作委員會(huì)副秘書長胡鋼對(duì)中新經(jīng)緯客戶端分析，用戶與圓通速遞發(fā)生合同買賣關(guān)系，但由于圓通速遞管理不嚴(yán)、保管不善，造成用戶信息泄露，圓通速遞應(yīng)承擔(dān)相應(yīng)的民事賠償責(zé)任。

圓通承認(rèn)“公民個(gè)人信息外泄”

據(jù)新京報(bào)，邯鄲市公安局近期偵辦發(fā)現(xiàn)，有不法分子與圓通快遞邯鄲區(qū)多位“內(nèi)鬼”勾結(jié)，通過有償租用圓通員工系統(tǒng)賬號(hào)盜取公民個(gè)人信息，再層層倒賣公民個(gè)人信息至不同下游犯罪人員。

據(jù)了解，被泄露的信息中包括發(fā)件人地址、姓名、電話以及收件人電話、姓名、地址六個(gè)維度。據(jù)新京報(bào)援引知情人士透露，如果以上述六個(gè)維度的信息共同組成一條信息來計(jì)算，此次被泄露的信息數(shù)量實(shí)際超過40萬條。據(jù)該人士透露，經(jīng)過警方和檢察院確認(rèn)，被泄露信息中，存在某個(gè)維度以“*”來匿去的“不完全信息”，例如發(fā)件人為“張三”，但發(fā)件電話卻為“*”。經(jīng)過統(tǒng)計(jì)，六個(gè)維度完整的信息約為4萬五千條。據(jù)馬某杰供述，他將收集到的信息打包賣出，每條信息單價(jià)約為1元。

11月17日早間，圓通速遞對(duì)此作出回應(yīng)。圓通方面表示，2020年7月底，公司總部實(shí)時(shí)運(yùn)行的風(fēng)控系統(tǒng)監(jiān)測到，河北省區(qū)下屬加盟網(wǎng)點(diǎn)有兩個(gè)賬號(hào)存在非該網(wǎng)點(diǎn)運(yùn)單信息的異常查詢，判斷為明顯的異常操作，于第一時(shí)間關(guān)閉風(fēng)險(xiǎn)賬號(hào)，同時(shí)立即成立由質(zhì)控、安保、信息中心、網(wǎng)管等部門及河北省區(qū)組成的調(diào)查組，對(duì)此事件開展取證調(diào)查。調(diào)查發(fā)現(xiàn)，疑似有加盟網(wǎng)點(diǎn)個(gè)別員工與外部不法分子勾結(jié)，利用員工賬號(hào)和第三方非法工具竊取運(yùn)單信息，導(dǎo)致信息外泄，其中存在敏感字段信息約為4萬3千條。

圓通方面稱公司隨后向當(dāng)?shù)毓膊块T報(bào)案，并全力配合調(diào)查。相關(guān)犯罪嫌疑人于9月落網(wǎng)。

律師：圓通速遞承擔(dān)相應(yīng)民事賠償責(zé)任

胡鋼表示，目前依據(jù)《反恐法》《郵政法》規(guī)定，用戶收發(fā)快遞必須實(shí)名制，郵政企業(yè)、快遞公司有義務(wù)要求用戶提供真實(shí)的個(gè)人信息。法律同時(shí)規(guī)定，在這種情況下，快遞公司必須嚴(yán)格保護(hù)公民個(gè)人信息。從此次圓通被泄露的信息中也可以看出，快遞信息一般包括發(fā)件人地址、姓名、電話以及收件人電話、姓名、地址六個(gè)維度，均為敏感的個(gè)人信息。

胡鋼表示，目前即將實(shí)施的《民法典》、《消費(fèi)者權(quán)益保護(hù)法》及《網(wǎng)絡(luò)安全法》中均對(duì)個(gè)人信息保護(hù)提出了明確要求，收集、使用均要遵循合法正當(dāng)必要原則?！缎谭ā访魑囊?guī)定了侵犯公民個(gè)人信息罪。違反國家有關(guān)規(guī)定，向他人出售或者提供公民個(gè)人信息，情節(jié)嚴(yán)重的，處三年以下有期徒刑或者拘役，并處或者單處罰金；情節(jié)特別嚴(yán)重的，處三年以上七年以下有期徒刑，并處罰金?！跋嚓P(guān)責(zé)任人，比如在公司內(nèi)部沒有采取保護(hù)措施，或者放任手下去出售個(gè)人信息，或沒有采取有效措施及時(shí)制止手下出售個(gè)人信息行為，也要承擔(dān)相應(yīng)的刑事責(zé)任。”

胡鋼表示，值得提出的是，除了直接、相關(guān)責(zé)任人需承擔(dān)相應(yīng)刑事責(zé)任外，公司經(jīng)營者如圓通速遞，要承擔(dān)相應(yīng)的民事賠償責(zé)任。胡鋼說，“用戶與圓通速遞發(fā)生買賣合同關(guān)系，并不是與圓通速遞加盟網(wǎng)點(diǎn)員工發(fā)生合同關(guān)系，用戶出于對(duì)企業(yè)信任，將個(gè)人信息提交，結(jié)果由于公司管理不嚴(yán)、保管不善，造成用戶信息泄露及潛在損失，用戶理應(yīng)提出民事賠償要求?！?/p>

至于如何賠償，胡鋼表示很難確定?！啊断M(fèi)者權(quán)益保護(hù)法》第55條有規(guī)定，如果存在消費(fèi)欺詐，賠償應(yīng)按照退一賠三，最低500元執(zhí)行，我認(rèn)為至少應(yīng)按照500元賠付?！焙摻ㄗh，負(fù)責(zé)偵破案件的公安機(jī)關(guān)應(yīng)披露泄露信息的時(shí)間、區(qū)域等大致范圍，讓用戶知曉自己可能是受害者?！坝脩粢部梢酝ㄟ^個(gè)人訴訟、公益訴訟、代表人訴訟等方式，提出民事賠償要求。

北京市京師事務(wù)所律師孟博對(duì)中新經(jīng)緯客戶端表示，《網(wǎng)絡(luò)安全法》規(guī)定，網(wǎng)絡(luò)運(yùn)營者不得泄露、篡改、毀損其收集的個(gè)人信息；網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施，確保其收集的個(gè)人信息安全，防止信息泄露、毀損、丟失；在發(fā)生或者可能發(fā)生個(gè)人信息泄露、毀損、丟失的情況時(shí)，應(yīng)當(dāng)立即采取補(bǔ)救措施，按照規(guī)定及時(shí)告知用戶并向有關(guān)主管部門報(bào)告。企業(yè)若違反該規(guī)定，需承擔(dān)相應(yīng)法律責(zé)任。

從圓通公司的回應(yīng)來看，此次事件涉及“內(nèi)外勾結(jié)”作案。孟博表示，按照《刑法》規(guī)定，對(duì)于將在履行職責(zé)或者提供服務(wù)過程中獲得的公民個(gè)人信息，出售或者提供給他人的行為，從重處罰。

快遞信息泄露現(xiàn)象由來已久

快遞信息泄露、被販賣現(xiàn)象一直是媒體關(guān)注的焦點(diǎn)。

2012年11月，有媒體報(bào)道，快遞單號(hào)的信息被大面積泄露，甚至衍生出多個(gè)專門交易快遞單號(hào)信息的網(wǎng)站。這些交易網(wǎng)站顯示，被交易的快遞單號(hào)來自包括申通、圓通、中通、韻達(dá)在內(nèi)的多個(gè)快遞公司。

2013年8月，央視曾報(bào)道，一份填寫完整的快遞單，在網(wǎng)上可賣到四毛錢一張。而在線下，快遞網(wǎng)點(diǎn)也有販賣面單的情況，購買者多是電商賣家，通過購買快遞單上的單號(hào)等信息制造虛假交易而提高信譽(yù)。被曝光的快遞公司有圓通、申通、天天快遞等。

2018年，上海嘉定警方破獲了一起快遞員私自販賣底單的案子?？爝f員付某以1萬張快遞底單150元的價(jià)格賣給了某家健身房銷售人員。最終付某和健身房銷售韋某，因涉嫌侵犯公民個(gè)人信息，被嘉定警方刑事拘留。

有網(wǎng)絡(luò)信息安全資深業(yè)內(nèi)人士分析，因?yàn)榭爝f行業(yè)的面單信息涉及的不單是姓名、電話號(hào)碼，還有更有敏感的家庭住址等信息，屬于犯罪分子看來“信息變現(xiàn)能力最強(qiáng)”的類型，所以信息泄露后往往會(huì)流向詐騙渠道，造成更大的危害。例如，這些信息目前經(jīng)常出現(xiàn)在“到付詐騙”等精準(zhǔn)騙局中。

胡鋼認(rèn)為，對(duì)于快遞行業(yè)發(fā)生的用戶個(gè)人信息泄露，必須追究相應(yīng)責(zé)任人的刑事責(zé)任、行政責(zé)任和民事責(zé)任?！盁o論是意識(shí)上的，還是技術(shù)上的，或者管理制度上，任何漏洞都應(yīng)該堵住。同時(shí)有損失一定要賠償，要賠到每一個(gè)人，否則此類事情以后會(huì)無限發(fā)生。”胡鋼說。