4月14日，陳京宏提供的5000條外賣訂餐用戶個人信息中，包括酒店等公共場所。文件截圖

4月14日，陳京宏發(fā)來包括姓名、電話、地址在內(nèi)的信息表格，共5000條。手機截圖

外賣騎手李德發(fā)來的一張用戶訂單。手機截圖

“騷擾電話太多了，讓人心里很不舒服。”市民許昕反映，因為在一外賣平臺訂過一次外賣，他所住的酒店地址、房間號碼、聯(lián)系電話等隱私信息被泄露。而許昕的信息，這只是記者獲取的數(shù)千條外賣訂餐信息中的一條。

用戶每訂一次外賣，就意味著要將自己的信息上傳一次。但這些隱私信息是否足夠安全?近日，新京報記者臥底多個“電話銷售”群發(fā)現(xiàn)，有賣家專門出售外賣訂餐客戶的信息。包括電話姓名、訂餐地址在內(nèi)，每條信息的售價不到一毛錢。還有網(wǎng)絡運營公司借助軟件搜集用戶的訂餐信息，打包后倒賣給電話銷售公司，甚至還有一些外賣騎手也做起了客戶信息倒賣的“生意”。

記者隨機在網(wǎng)上調(diào)查發(fā)現(xiàn)，在一些QQ群里，有人叫賣餓了么、百度外賣、美團等外賣平臺的客戶信息。

網(wǎng)絡訂餐平臺美團一位客服人員表示，美團內(nèi)部對于信息的管理非常嚴格，但用戶訂單信息涉及商家、騎手等多個環(huán)節(jié)，不排除有其它因素導致信息泄露。

有專家表示，商業(yè)公司應完善信息管理機制，及時更新信息保護手段，建立深層防護機制。

萬條信息售價800元

“今天的數(shù)據(jù)已經(jīng)更新，長期出售各種數(shù)據(jù)”，4月14日下午4點，陳京宏在QQ上推送了一條消息。系統(tǒng)顯示這個QQ的好友超過200人。陳京宏稱，其中大多是向他買過“數(shù)據(jù)”的客戶。

陳京宏所說的“數(shù)據(jù)”，是包括電話、地址在內(nèi)的公民隱私信息。

新京報記者聯(lián)系到陳京宏，是在一個“電話銷售群”中。聊天中陳京宏透露，自己手上有北京、上海、廣州等一線城市、來自外賣平臺的客戶數(shù)據(jù)，10000條售價800元，5000條起售，“平均每條不到一毛錢。”

陳京宏隨后發(fā)來一份截圖，顯示大量姓名、聯(lián)系方式和地址等信息。陳京宏稱數(shù)據(jù)都是“最近三天的”，但無法提取到具體下單日期。

當記者提出想要看下“數(shù)據(jù)”后，陳京宏發(fā)來了一個微信群的二維碼，掃碼進入后是只有記者和他兩個人的微信群。陳京宏留言：“15分鐘內(nèi)整理好數(shù)據(jù)發(fā)給你”。

還不到15分鐘，陳京宏就通過QQ給記者發(fā)來一份Excel表格，內(nèi)有5000條信息。和截圖內(nèi)容一樣，這份表格包括姓名、電話、性別和地址，但沒有訂餐日期。包括朝陽、密云等區(qū)在內(nèi)，北京16個區(qū)的數(shù)據(jù)都有涉及。

記者從表格中隨機選取100個電話號碼進行驗證。其中有效號碼61個，33名機主確認表格中的信息準確，并確認自己近一兩個月內(nèi)，在某外賣平臺訂過餐。“對，是這個地址”，地址顯示為CBD某公寓的楊女士在聽到記者報出的地址后稱，她前一天晚上在某外賣平臺的一家燒烤店訂過餐。

記者粗略統(tǒng)計，在這份5000人名單中，有一部分來自于賓館、酒店、商場等公共場所。

一位地址顯示為房山區(qū)某五星級酒店某號房的周女士回憶，她在4月13日入住該酒店時，曾使用外賣平臺訂過餐，但記不清訂餐內(nèi)容和具體商家，“訂得太多了。”

記者隨后再次聯(lián)系陳京宏，詢問為何會有無效號碼。陳京宏稱“有些數(shù)據(jù)可能更換過”。每次問到數(shù)據(jù)的來源，對方都會有意回避。再三追問下，陳京宏最后表示“數(shù)據(jù)是由系統(tǒng)內(nèi)部人員提取的，每天更新4萬條左右。”

陳京宏透露，這些數(shù)據(jù)每天中午會更新一次，“到晚上肯定能銷完”。

實際上，售賣外賣客戶信息的不止陳京宏一個。記者臥底多個電話銷售群發(fā)現(xiàn)，至少有三名賣家均稱自己有外賣的客戶數(shù)據(jù)。QQ昵稱為“彩虹”的賣家稱自己有全國范圍的數(shù)據(jù)，每萬條價格為600元，除了用戶姓名和電話地址外，還包括訂餐信息。

新京報記者發(fā)現(xiàn)，一些賣家稱有美團、餓了么、百度外賣的客戶信息，每萬條價格從700元到2000元不等。

軟件自動“扒”客戶信息

除了這些直接以賣家的身份售賣信息外，一條更為隱秘的外賣顧客信息獲取渠道浮出水面。新京報記者調(diào)查發(fā)現(xiàn)，一些代理運營外賣店的網(wǎng)絡公司也在售賣信息。

某網(wǎng)絡運營公司的工作人員覃華平時的業(yè)務是負責幫忙代開(運營)外賣店鋪。他同時稱，可以想辦法搞到成都的某外賣平臺訂餐客戶信息。

為什么只有成都的?覃華表示，自己在其他城市沒有代運營的外賣店鋪，而這些數(shù)據(jù)都是從自己代運營的店鋪里用軟件爬取的。

“姓名、性別、電話、地址，訂餐次數(shù)都有，但具體能有多少條我要查一下才知道。”覃華說。他給出的報價比之前的賣家貴了幾倍，每條5毛錢。覃華隨后解釋稱，可以保證準確率，而且就是這兩天的。

4月20日，覃華發(fā)來一份顯示總計有2605條信息的電腦截圖，之后又發(fā)來另一份截圖，信息數(shù)量變?yōu)?609。“剛剛又有四個客人訂餐，數(shù)字隨時會漲”，覃華說，“尾數(shù)算是送的。”

約半個小時后，記者看到了這份總共2609條的信息清單，其范圍更加廣泛。通過查篩關鍵詞結果顯示，地址顯示為酒店的共有83條，網(wǎng)吧共有47條，醫(yī)院29條，會所1條。

記者從酒店中隨機抽取54條撥打發(fā)現(xiàn)，除了30條關機或無人接聽等無法聯(lián)系，3條信息不符外，有21位機主確認自己近期用該地址在外賣平臺上訂過餐。

其中在和酒店住戶王先生的信息確認中，記者故意給出一個不完整的地址，但隨即被對方糾正并補充。而王先生給出的地址正是信息清單中的地址。

在這份信息清單中還有16個來自網(wǎng)吧的地址，不少地址甚至精確到某家網(wǎng)吧的機位號。記者逐一核實發(fā)現(xiàn)，除了其中4位機主電話無法接通外，其余12位機主均表示自己確實使用該地址訂過餐。

“一般做店鋪運營會買這些信息，轉(zhuǎn)化率很高。” 覃華說，他獲取這些信息是通過將自己的軟件掛在一些外賣平臺的商家后臺，從中爬取，“系統(tǒng)不可能發(fā)現(xiàn)”。

“如果是商家的信息就更好弄了，全國隨便哪個地方，一晚上我能給你搞定一個城市的所有商家信息，包括店主姓名、店名、地址、手機號碼。”覃華說。

記者提出是否會被平臺系統(tǒng)監(jiān)控到，覃華表示監(jiān)控不到，“這個東西你不用讓商家知道，只要有電腦，在家就可以操作。”

覃華隨后給記者發(fā)來一份該軟件的監(jiān)控截圖，從截圖列表中可以看到用戶姓名、電話、注冊日期、最近消費、儲值余額等信息。“2800元可使用一年。”覃華說，但他拒絕透露該軟件的名稱。

外賣騎手“出賣”訂單

新京報記者調(diào)查中發(fā)現(xiàn)，還有“數(shù)據(jù)”賣家發(fā)來兩份武漢和北京地區(qū)的送餐員的信息截圖，詢問是否需要。新京報記者在隨后的調(diào)查中發(fā)現(xiàn)，作為外賣用戶信息的終端接觸者，包括部分外賣騎手在內(nèi)的一些送餐員，也在利用用戶信息牟利。

4月18日，記者通過電話找到外賣騎手李德，詢問對方是否可以售賣用戶的訂餐信息。對方表示可以，但價格稍高，一元一條。

“這些信息可以確保是當天的，而且訂單上的所有信息都可以給你，包括從哪家訂的餐，訂了哪些餐。”李德說。

談好價格后，李德隨即給記者發(fā)來了4月18日35位顧客的訂餐信息。這些信息分為兩種，一種是騎手APP的截圖，還有一種是打印的紙質(zhì)小票。

第二天，李德主動詢問記者是否還需要訂單信息，并又發(fā)來34份外賣的訂餐單。其中一份訂單顯示，朝陽區(qū)某小區(qū)3期的張女士曾在某沙拉店商家訂過餐，訂餐內(nèi)容包括三文魚卷在內(nèi)一共四種。張女士向記者確認，該訂單確實是她點的。

記者先后核實20個訂單信息，除了3位機主無法確認外，其他機主均表示訂單信息真實。

外賣信息泄露糾紛不斷

“平時總是接到一些推銷電話、廣告短信，我覺得我的信息泄露得夠嚴重了，沒辦法，電話也不好再換。”市民許昕告訴記者，因為訂過一次外賣，他所住的酒店地址、房間號碼、聯(lián)系電話等隱私信息成了“公開的秘密”。

新京報記者記者梳理發(fā)現(xiàn)，不少外賣平臺用戶都有過信息被泄露的經(jīng)歷，甚至因此引發(fā)糾紛。

據(jù)媒體報道，去年12月份，柴先生通過“餓了么”點餐平臺訂了一份外賣，共計31.8元。約10分鐘后，一名自稱商家的人聯(lián)系柴先生稱，他訂的黑椒豬排賣完了，換菜需要補兩塊錢的差價。“信息很準確，我訂單的信息，商家賣的什么餐，一模一樣。”柴先生說。隨后對方讓柴先生報一下支付寶數(shù)字以便收取兩塊錢的差價。在報過數(shù)字后，柴先生發(fā)現(xiàn)對方已經(jīng)轉(zhuǎn)走了自己近2000元。商家表示柴先生的餐并沒有賣完，給他打電話的也不是店里的工作人員。柴先生懷疑自己的訂餐信息被泄露。

此外，今年3月份，哈爾濱李先生在訂過一次外賣后，頻繁接到陌生人電話詢問如何找“小姐”。不勝其擾的李先生最后發(fā)現(xiàn)，自己的電話是被一名外賣騎手泄露的，并將其備注為“小姐上門”。

網(wǎng)站網(wǎng)友“時光漫步支旅”也曾發(fā)帖稱，自己給男朋友點了一份美團外賣后，隨后被一位陌生人加了微信。對方知道自己的姓名和詳細地址，但自己并不認識他。幾經(jīng)追問之下，對方承認信息是送外賣的朋友給的，目的是想幫他脫單。

新京報記者就信息泄露情況撥打美團客服電話，一位客服人員表示，美團內(nèi)部對于信息的管理非常嚴格，不會泄露用戶的隱私。但用戶訂單信息涉及多個環(huán)節(jié)，商家和騎手會有用戶信息，且不包括送錯餐以及訂餐小票弄丟等干擾因素。

個人信息仍處“危險期”

網(wǎng)絡安全專家、白帽匯創(chuàng)始人趙武表示，目前信息泄露不斷發(fā)生，但相應的技術安全規(guī)范和要求仍未出臺，公民的個人信息仍處于“危險期”。

對于外賣平臺涉嫌泄露客戶隱私的問題，趙武分析稱，有可能是外賣平臺程序存在漏洞，比如API(應用程序編程接口)沒有做認證，網(wǎng)絡入侵者可以根據(jù)訂單序列號爬取用戶信息。歷史上出現(xiàn)過很多起類似案例，例如一些招聘網(wǎng)站的簡歷大規(guī)模泄露等。

第二種可能是跟商家合作的第三方泄露信息。比如有的商家會搞一些積分、返利、贈券等活動，這些活動一般是第三方公司承做。他們在活動中會搜集用戶的信息，而本身對數(shù)據(jù)的保護不如平臺嚴密，因此很容易被入侵。“此前12306網(wǎng)站信息泄露就是這種情況。”趙武說。

趙武介紹，去年6月份我國的《網(wǎng)絡安全法》已經(jīng)正式實施，總的指導要求已經(jīng)明確，但相應的具體技術安全規(guī)范仍未出臺，尤其是對商業(yè)公司的信息監(jiān)管沒有很具體的要求。

如何防范信息泄露，趙武表示，一方面國家應該盡快出臺網(wǎng)絡安全保護具體細則，嚴格立法要求企業(yè)對安全事故負責，尤其是跟隱私相關的數(shù)據(jù)泄露必須有懲罰和賠償機制，不允許企業(yè)增加“黑客攻擊導致的數(shù)據(jù)泄露不承擔責任”類似的霸王免責條款。同時，嚴格管束企業(yè)方對數(shù)據(jù)的利用情況，出一次事，處罰一次。

另一方面，商業(yè)公司要及時更新信息保護手段，建立深層防護機制，在做數(shù)據(jù)分析和使用時，可以先將客戶的敏感信息隱去，用虛擬ID代替;再將其隱私信息通過加密的手段做二次防護。

此外趙武表示，商業(yè)公司還應完善信息管理機制，“比如技術加密的算法是什么，什么樣的人才能接觸到用戶數(shù)據(jù)，建立詳細的技術標準規(guī)范”。

廣東中安律師事務所合伙人、深圳仲裁委員會仲裁員潘翔介紹，刑法修正案(七)對侵犯公民個人信息罪進行了立法，規(guī)定國家機關或者金融、電信、交通、教育、醫(yī)療等單位的工作人員，違反國家規(guī)定，將本單位在履行職責或者提供服務過程中獲得的公民個人信息，出售或非法提供給他人，情節(jié)嚴重的，處三年以下有期徒刑或者拘役，并處或者單處罰金。竊取或者以其他方法非法獲取上述信息，情節(jié)嚴重的，依照前款的規(guī)定處罰。

此外《網(wǎng)絡安全法》也明確，網(wǎng)絡運營者應當采取技術措施和其他必要措施，確保其收集的個人信息安全，防止信息泄露、毀損、丟失。在發(fā)生或者可能發(fā)生個人信息泄露、毀損、丟失的情況時，應當立即采取補救措施，按照規(guī)定及時告知用戶并向有關主管部門報告。

關鍵詞： 信息