发表自话题:快递业信息泄露再调查
2020年,超800亿件快递飞奔在路上,而2021年仅上半年,这一数字就达500亿。在不断刷新历史的快递业务量前,用户信息安全问题,始终是悬在快递企业头上的“达摩克利斯之剑”。澎湃新闻近期暗访调查发现,快递业泄露用户个人信息的现象依然猖獗,尤其是当天的实时快递面单,被高价批量售出。
活跃在社交平台上的快递信息收购者,寻求与快递公司工作人员“合作”。
记者调查发现,针对印有用户个人敏感信息的快递面单频频遭泄漏的问题,部分快递企业近年来推出了“隐私面单”服务,隐藏了个人姓名、地址和手机号等内容。但隐私保护服务尚未全面普及,不少快递企业在用户寄件时将隐私保护服务作为非常规选项,需要手动勾选才会开启;部分快递企业只有用户线下向快递员叮嘱才会开启隐私保护服务。10月11日下午,记者在中通快递微信小程序寄件页面看到,增值服务里有一项“安全号码”,该服务的内容为隐藏寄件人和收件人的电话信息。
有分析认为,快递企业不愿花大力气推广该服务,缘于隐私面单隐藏了用户的关键信息,以二维码或者条形码方式替代,快递员派件时需扫码查看信息,降低了快递网点的配送效率,进而导致快递员对隐私面单的接受程度不高。随着快递业务量不断增长,如何在立法、监管、技术等方面,合力扎紧“篱笆”,堵住信息外泄的“豁口”,成为近年来多方探讨的话题。
11月1日,《中华人民共和国个人信息保护法》(“《个保法》”)将正式生效,给个人信息加上了一把“安全阀”。
有律师分析认为,《个保法》综合运用强制性规范、禁止性规范对个人信息处理活动进行全方位规范,无论哪个环节出现数据泄露和数据滥用,均构成违法。同时,《个保法》和《数据安全法》也对企业应采取的数据保护手段提出了相应的要求,使得企业需要采取各种措施防范数据泄露,并在发生泄露时及时通知个人。
未被大规模使用的隐私面单
根据国家邮政局中国快递大数据平台监测,2020年我国快递业务量突破800亿件。2021年以来,中国快递业持续保持强劲增长态势,快递业务量突破500亿件用时仅6个月,比2018年首次达到500亿件提前近半年,比2020年提前约2个月。
寄递行业已渗透到国民经济各个角落,大数据应用也已渗透至寄递行业的各个环节。一张包含姓名、电话、住址等敏感信息的快递面单,自然也就成为个人信息“黑产”市场中的“唐僧肉”。
近年来,不法分子针对寄递行业窃取信息的手段不断推陈出新,信息泄露事件层出不穷。2020年,圆通快递被曝出企业“内鬼”泄露超40万条快递客户信息。澎湃新闻后续调查发现,快递用户遭信息泄露现象涉及的不止圆通,网上存在贩卖快递用户信息的“黑产”链条,涉及多家快递公司。大量包含快递客户姓名、住址、电话的信息被打包在网上出售,每条售价从0.8元至10元不等,有的可一次性出售上万条,甚至可以提供特定地区的快递用户信息。
泄露事件随后的打击和整治并没有根绝这种现象,澎湃新闻近期再次暗访调查发现,大量实时快递面单仍在被贩卖,最终或流入电信诈骗分子手中。
实际上,一条快递单信息的流转往往要经过很多环节,快递员、快递公司内部人员都可能是泄露者,派送环节、收件端均存在信息泄露风险。在这一背景下,部分快递企业推行“隐私面单”的服务。
2017年,一种名为“隐私面单”新型快递面单开始出现,与传统面单相比,隐私面单隐藏了用户的关键隐私信息,以二维码或者条形码方式替代。但推行几年以来,隐私面单仍未在全行业大面积普及。
有分析认为,技术、投入、派件效率等成了影响“隐私面单”全面普及的重要因素。鄂尔多斯市东胜区的一家快递网点工作人员告诉媒体,“隐私面单”主要依托电子面单和云打印技术,网购用户能否收到贴有隐私面单的快递,还取决于商家是否安装云打印组件。
此外,与传统面单相比,隐私面单需要快递员扫码后才可查看用户信息,传统快递面单一目了然,快递员配送方便,“隐私面单”则需要快递员通过手持设备扫描,才能看到收件人信息,配送时间决定收入,自然也就影响快递员积极性。
“如果把电话号码隐藏的话,派送员需要每次给我们后台打电话查询号码,这样对业务员来说派送起来非常不方便,每件货可能需要一分钟的时间,程序变多,速度就提不上来了。”某快递公司区域负责人接受媒体采访时如是说。
配送环节“动力不足”,一些快递企业将隐私面单服务列为“非常规服务”。
记者在中通快递微信小程序寄件页面看到,增值服务里有一项“安全号码”,该服务的内容为隐藏寄件人和收件人的电话信息。中通快递方面告诉记者,客户需要隐私面单服务可以给取件的快递员提要求,如果没有提,将默认和普通面单一样,出现个人信息。
在圆通速递小程序上,记者寄件时会出现“隐私面单”的增值服务,点击后才能显示该服务内容,选择开启,收件人姓名和电话不出现在运输环节。
同样,在线寄件平台菜鸟裹裹承诺保障三项服务,包括极速上门、丢损必赔和隐私保护(寄收双方手机号、寄件人地址可隐藏),而极速上门和丢损必赔是默认选项,唯有隐私保护需要消费者勾选,该服务将隐藏寄收双方手机号、寄件人地址。
除了前述平台,申通快递方面则直接向记者证实,目前他们公司尚未推行该服务项目。
德邦快递方面告诉记者,隐私面单一直在部署推广,如果客户(指发货人)同意,会进行加密处理。推广涉及到一个推广力度的问题,如果推广不到位或者客户不同意,就会出现非隐私面单的情况。但今年双十一之后,他们会全面上线隐私面单系统,如果客户不主动拒绝,默认都使用隐私面单。
就此,上海交通委邮政快递专委会副主任、快递行业专家赵小敏在接受记者采访时表示,目前各大快递企业在隐私面单推广方面效果并不突出,部分企业前期在公众呼吁比较多的情况下陆续执行了隐私面单服务,但最近一段时间,相当多的快递企业并没有继续推广该服务。
他认为,造成该现象的原因在于采用隐私免单的很多快递企业,包括快递网点觉得很麻烦,给派送带来降低效率的问题。快递隐私面单大多还是企业的自发行为,并没有“强制要求”。此外,国家关于快递信息管理的规定,并没有单独对面单信息暴露有详细要求,这一点有待在制度规定方面做进一步强化。
防“内鬼”、藏信息,如何扎紧信息安全“篱笆”
快递信息“裸奔”及带来的电信网络诈骗问题,是目前社会面临的网络安全风险挑战之一。事实上,个人信息泄露事件在快递企业内部频发,主流寄递企业对用户信息安全的重视及与之采取的保护措施,无疑是“多方共治”中的最重要一环。
根据国家邮政局和中研网的统计数据,截至2019年,全国快递从业人员超300万人,与此同时,快递企业“内鬼”泄露信息也频频发生。2016年至今,国内70家大型快递物流企业共同成立了快递物流“黑名单”查询系统,把盗窃快件、泄露客户信息、倒卖客户信息等12种违规违法行为列入黑名单。成员企业承诺,5年之内不使用“黑名单”上的快递人员。
但仅靠这一措施尚无法堵住“内鬼”漏洞。据公开报道,近期就有快递公司经内部调查发现,一线网点人员向同公司一名快递员出售客户个人信息长达2年,共计4000余条。还有一家快递公司的多名客户接到诈骗电话,经公司调查,公司某员工在一个月内大批量查询客户记录高达2万余条,并多次利用他人账号查询信息。
在近日召开的寄递行业网络安全峰会上,菜鸟公司物流科技数字化业务总监曾碧晗公开表示,从2012年开始,全球数据泄露事件的数量就呈现出递增趋势。“我们期待通过技术手段,将收件人真实手机号码转化为虚拟手机号码(可以打电话和发短信)打印在面单上,以此来保护收件人的隐私安全。”
申通方面则在峰会上表示,已在信息的采集、传输、存储和共享使用等环节采取相应的安全措施,保障客户信息的安全。在数据采集过程中,通过隐私协议征得用户同意,只采集和提供服务相关的必要的用户信息。在数据存储方面,申通对存储的敏感字段进行脱敏、去标志化处理,经过严格授权才可访问相关存储信息,同时建立流程机制、规章制度保障数据不被泄漏、非法使用。
近日,福建漳州一快递网点老板贩卖客户信息被警方抓获。
此外,今年4月19日,天猫超市宣布,正在通过快递包裹随箱赠送快递盒隐私贴。隐私贴能通过覆盖快递盒面单,一定程度上避免个人信息泄露问题。据天猫超市介绍,经过设计的隐私贴方便粘贴,防边角翻折,能够适配市场中99.9%的快递盒面单尺寸,首批隐私贴在杭州地区试点派发。天猫超市表示,目前通过技术,已经将90%的快递盒面单中消费者电话、姓名进行模糊处理。但考虑到物业代收件、丢件再投递等实际问题,消费者地址仍无法彻底隐藏;且天猫超市仍有10%的包裹通过圆通、中通等合作物流企业派送,完美保护隐私方案推出仍需时间。
今年4月19日,网上零售超市天猫超市宣布,正在通过快递包裹随箱赠送快递盒隐私贴。隐私贴能通过覆盖快递盒面单,一定程度上避免个人信息泄露问题。
快递行业专家赵小敏接受澎湃新闻采访时认为,快递企业不能只讲究效率,对主流的快递上市公司来讲,在用户权益遭到侵害后是否及时做到披露、报备,这一点有待进一步提升。他认为,针对层出不穷的快递信息泄露事件,除了继续在法规方面加强对个人信息安全的保护,快递企业应将快递信息安全和注重企业效益放在均等的位置。随着个人信息自我保护意识的提升,个人用户对快递面单上的信息也越来越敏感,有的会在收到快递后对包装上的快递面单进行处理,以防因随意丢弃等泄露个人信息。在淘宝上,记者以“涂改快递”为关键词检索发现,有不少标示保护个人快递信息的“快递涂码笔、热敏纸涂改液、保密印章、开箱涂改器”等商品销售。
律师邢鑫建议,当遇到快递泄露信息的案件时,用户首先要保存好泄露信息的相关证据,然后可向公安部门、互联网管理部门、市场监管部门部门、消协、行业管理部门和相关机构投诉举报。
记者注意到,第十三届全国人民代表大会常务委员会第十三次会议正式投票通过《中华人民共和国个人信息保护法》,该法将于2021年11月1日生效。
律师王新锐指出,《个保法》综合运用强制性规范、禁止性规范对个人信息处理活动进行全方位的规范,无论哪个环节出现数据泄露和数据滥用,均构成违法。同时,《个保法》和《数据安全法》也对企业应采取的数据保护手段提出了相应的要求,使得企业需要采取各种措施防范数据泄露,并在发生泄露时及时通知个人。