□本報記者隋秀勇
“雙十一”前夕，當(dāng)電商和快遞企業(yè)紛紛摩拳擦掌、積極備戰(zhàn)之際，當(dāng)消費者找到心儀的寶貝等待在11月11日當(dāng)天購買之時，包括申通、圓通、中通、韻達(dá)在內(nèi)的多家快遞公司客戶信息被泄露一事，引發(fā)社會各界的廣泛關(guān)注。
    這也讓很多“網(wǎng)購達(dá)人”頗感不安。家住北京海淀區(qū)東北旺東馨園小區(qū)的牟先生不無憂慮地告訴記者，填在快遞單上的姓名、地址、電話等個人信息在互聯(lián)網(wǎng)上公開出售，很可能造成自己的財產(chǎn)損失甚至威脅人身安全。
    據(jù)金山公司的統(tǒng)計，目前泄露的數(shù)據(jù)總條數(shù)達(dá)到了141萬條，其中涉及用戶名信息的條目近25萬條，其中淘寶的信息就有9萬多條。快遞單號的信息被大面積泄露，暴露出我國快遞行業(yè)在客戶信息監(jiān)管方面存在哪些漏洞？如何避免此類事件的再次發(fā)生？誰惹的禍
    在搜索引擎中輸入“買快遞單號”等類似的關(guān)鍵詞，便會出現(xiàn)大量聲稱“單號銷售系統(tǒng)，出售當(dāng)天快遞單號”等網(wǎng)站，諸如“淘單114”、“淘單網(wǎng)”、“淘單8”、“單號網(wǎng)”等。買賣快遞單號經(jīng)媒體曝光后，此類網(wǎng)站隨即也被查封。但是讓牟先生想不通的是，客戶信息是怎樣被泄露出去的？
    其實，可能流出單號的環(huán)節(jié)很多，例如收件人單位的收發(fā)中心，以及接入快遞IT信息系統(tǒng)的快遞公司之外的其他相關(guān)單位，甚至還有黑客入侵快遞公司信息系統(tǒng)的可能。中國快遞咨詢網(wǎng)首席顧問徐勇接受本報記者采訪時也表示，信息被泄露，可能有3個環(huán)節(jié)：快遞公司、電商、錄單公司�？爝f公司作為與快遞單接觸最多的環(huán)節(jié)之一，牟先生很自然將其列為第一“嫌疑人”。
    不過，申通快遞11月9日在其官網(wǎng)上發(fā)表聲明稱：“近日有新聞媒體曝出‘EMS申通圓通等快遞客戶信息遭販賣’、‘真實單號只售0.5元’等新聞……經(jīng)自查未發(fā)現(xiàn)我公司有泄露客戶的信息的情況。但是，我公司對客戶信息泄露事件表示十分關(guān)切……我公司將與相關(guān)電商溝通，再次簽署客戶信息保密協(xié)議，杜絕一切可能發(fā)生客戶信息泄露的渠道。加強對接觸客戶信息員工教育和管理，制定嚴(yán)格的處罰制度，如果發(fā)現(xiàn)有快遞員泄露客戶信息的行為，一經(jīng)查實立即開除；情節(jié)嚴(yán)重者將移送司法機關(guān)處理。”
    記者致電泄露客戶信息的另一家當(dāng)事企業(yè)——上海圓通速遞有限公司，外聯(lián)部總經(jīng)理段小剛表達(dá)了相同的觀點：客戶信息絕不是圓通泄露出去的。按照常理，能接觸到快遞單或者說是客戶信息的，都有可能成為信息的泄露者。快遞公司是信息外泄的罪魁禍?zhǔn)走�是一只“替罪的羔羊”？
    快遞公司的辯解，得到了德利得物流總公司運營總監(jiān)惲綿的聲援。惲綿在接受本報記者采訪時分析說，快遞公司泄露客戶信息是自砸飯碗，它沒有動機也沒有理由做這種事情。如果說快遞公司泄露了信息，這一定是快遞公司員工的個人行為。這只能表明是快遞公司管理的問題，沒有約束好自己的員工。
    然而，快遞公司并不認(rèn)同快遞員是泄露客戶信息主要來源的說法。圓通速遞副總裁胡瑞琦接受媒體采訪時表示，不能將信息泄露單純指向快遞員，電商網(wǎng)站也能泄露客戶信息。不久前，1號店信息泄露事件剛剛被查處。
    不過，有業(yè)界人士認(rèn)為，一個快遞員每天收單、送單的總量，一般在幾十單甚至上百單，如果有意為之，是有機可乘的。北京某快遞公司的一位快遞員告訴記者，由于公司對泄露客戶信息的處罰措施非常嚴(yán)歷，所以快遞員販賣信息的現(xiàn)象并不普遍，但是也并不是沒有。只不過，量很少而已。然而，惲綿則認(rèn)為，如果只接觸到零散信息的話，價值很低。快遞員沒有時間去將快遞信息抄錄下來。末端絕對不會是泄露客戶信息的源頭，應(yīng)該是掌握著核心數(shù)據(jù)的人，而絕不是發(fā)生在末端。漏洞百出
    雖說客戶信息外泄并不能全部歸罪于快遞公司，但是記者采訪的多位業(yè)界人士均認(rèn)為，快遞單號信息的泄露，至少說明快遞企業(yè)對客戶信息的監(jiān)管存在漏洞。
    北京如風(fēng)達(dá)快遞有限公司執(zhí)行總經(jīng)理張建軍在接受本報記者采訪時說，單據(jù)發(fā)改、流通、保存甚至是銷毀等流轉(zhuǎn)程序不夠嚴(yán)謹(jǐn)，信息系統(tǒng)的查詢權(quán)限、硬件設(shè)施的安全級別不高都可能造成客戶信息的外流。
    正如張建軍所說，目前，快遞企業(yè)都非常重視信息平臺的建設(shè)，營業(yè)網(wǎng)點的電腦直接與總公司的信息系統(tǒng)對接。有的快遞公司對快遞員的查詢權(quán)限幾乎沒有作出限制�？爝f公司幾乎每一個員工都能很容易地獲得很多客戶信息，加之快遞員素質(zhì)不高，這對客戶信息安全是一個極大的隱患。
    而且，目前快遞單號通過掃描方式錄入電腦，而姓名、聯(lián)系方式等信息則通過手工輸入。每當(dāng)遇到節(jié)假日快遞量飆升之際，輸入操作根本來不及做。不少快遞營業(yè)點會請臨時工來代為錄入，同樣存在信息批量泄露的危險�！斑@迫切要求快遞公司提高信息系統(tǒng)的安全等級�！睆埥ㄜ姾粲�。
    但是快遞公司加強對客戶信息的監(jiān)管力度，提高信息安全級別，往往是有心無力。張建軍告訴記者，僅一個安全信息官的薪金就很高，這還不包括在軟件和硬件方面的投入。
    雖然快遞公司總部對加盟商的信息安全有著嚴(yán)格的要求，但我國大多數(shù)民營快遞公司都是憑借傳統(tǒng)加盟模式迅速成長起來的，是一個松散的管理機構(gòu)。在實際執(zhí)行過程中，快遞總公司對加盟商的管理和控制力度較小，很難完全杜絕信息泄露現(xiàn)象。
    如果說對加盟商的監(jiān)管存在漏洞，那么快遞公司對上游網(wǎng)店和電商的信息安全監(jiān)管則可以說是一片空白�？爝f公司會根據(jù)網(wǎng)店的需求，向他們提供一些空白的快遞單。這些快遞單是未經(jīng)掃描的。此外，“外埠發(fā)過來的快件，由于是落地配公司發(fā)到各個區(qū)域分公司的，這些快件由快遞員通過快遞單上收件人的信息直接配送。像我們這種區(qū)域性的分公司基本不會對快遞單號進(jìn)行備案。”國內(nèi)知名快遞公司北京分公司的負(fù)責(zé)人告訴記者。
    對此，徐勇建議，一方面快遞行業(yè)要加強自律，建立誠信體系。一旦查出泄露客戶信息的，列入黑名單。另一方面，快遞公司要建立多層的防火墻，從高工起對員工素質(zhì)進(jìn)行把關(guān)，對其進(jìn)行培訓(xùn)和職業(yè)道德教育。相關(guān)人員要簽署保密協(xié)議，包括離職人員。依法治理網(wǎng)上公開叫賣快遞單號，泄露了個人信息，侵犯了個人隱私，涉嫌非法交易，并存在諸多安全隱患。而且，更讓包括牟先生在內(nèi)的許多“網(wǎng)購達(dá)人”擔(dān)憂的是，在我國有關(guān)保護信息安全的法律中，相應(yīng)法條比較籠統(tǒng)。而且，對于信息泄露的處罰力度不大，導(dǎo)致相關(guān)違法成本較低，助長了信息泄露行為的泛濫。
    2009年10月1日起正式實施的《郵政法》明確規(guī)定：“除法律另有規(guī)定外，郵政企業(yè)及其從業(yè)人員不得向任何單位或者個人泄露用戶使用郵政服務(wù)的信息�！薄犊爝f市場管理辦法》中也明確規(guī)定，快遞企業(yè)和從業(yè)人員不得違法泄露在從事快遞服務(wù)過程中知悉的用戶信息。而違反規(guī)定的將對快遞企業(yè)處以5000元以上，30000元以下的罰款；對直接責(zé)任人員處以1000元以上，5000元以下的罰款；構(gòu)成犯罪的，依法追究刑事責(zé)任。
    這里所說的“刑事責(zé)任”是指《刑法修正案(七)》中規(guī)定，出售或者非法提供給他人，情節(jié)嚴(yán)重的，處3年以下有期徒刑或者拘役，并處或者單處罰金。不過，有專家指出，刑法修正案中對“情節(jié)過重”沒有具體界定。需要對販賣信息數(shù)量、涉案金額等方面進(jìn)行細(xì)化。
    徐勇也認(rèn)為，雖然泄露和販賣客戶信息，法律中有明確的規(guī)定。但是，客戶信息大面積泄露，關(guān)鍵在于違法成本比較低，而消費者維權(quán)成本很高。受害者很難界定個人信息是在哪個環(huán)節(jié)被泄露出去的，取證過程難度較大。“這需要政府相關(guān)部門加快相關(guān)立法進(jìn)程，客戶與商家之間信息安全的從屬關(guān)系等方面的責(zé)任。用法律明確個人信息泄露行為，使消費者維權(quán)時能夠有法可依，讓違法者受到應(yīng)有的處罰�！睆埥ㄜ娭赋�。
    惲綿也認(rèn)為國家出臺相應(yīng)的法律是當(dāng)務(wù)之急。不能僅僅依靠道德規(guī)范和行業(yè)自律來約束快遞公司，還得秉承法律。讓企業(yè)意識到，信息泄露，企業(yè)要承擔(dān)比較嚴(yán)重的管理責(zé)任和連帶責(zé)任，這才能促使企業(yè)加強自身內(nèi)部信息安全的管理。惲綿特別強調(diào)，要將公民的維權(quán)意識，與立法和行業(yè)自律有機地融合，從國家、企業(yè)和個人三方面共同維護公民個人的信息安全。
    除要完善信息安全方面的法律，有分析人士指出，還需要在技術(shù)上防范信息的泄露、拷貝和復(fù)制。顯然，這僅靠快遞公司一己之力是一個不可能完成的任務(wù)。國家對掌握大量公民私人信息的企業(yè)和行業(yè)，出臺相關(guān)的標(biāo)準(zhǔn)，并要求企業(yè)進(jìn)行強制性認(rèn)證。這不僅有利于企業(yè)完善自身的信息系統(tǒng)和管理系統(tǒng)，而且通過強制性的認(rèn)證，有利于先進(jìn)的加密和信息安全技術(shù)，融入到企業(yè)信息安全管理體系之中。這也需要國家給予企業(yè)一些資金、技術(shù)和政策上的支持�！皞�人信息泄露，從根本上說是國家整個社會文化的意識和水平問題，只不過表現(xiàn)在快遞行業(yè)而已。從根本上逐步解決信息安全，要靠法律和社會誠信體系建設(shè)，應(yīng)該強調(diào)社會綜合治理�！毙煊乱馕渡铋L地說。