谁泄露了你的网购订单信息?

遭遇电商“砍单”,消费者该怎么办?

网购时个人隐私常被泄露,让许多消费者头疼。随着“双十一”的临近,“剁手党”们已经开始摩拳擦掌,新一波的快递配送高峰即将到来。面对这带有姓名、电话和地址等重要信息的快递单,该怎么保护自己的个人隐私?随着近期隐私面单的出现,一些快递公司对消费者的部分信息进行了隐藏,目的就是让快递单上的用户隐私不再完全“裸奔”。

年末,双十一、黑色星期五、双十二纷至沓来,购物狂潮席卷大江南北的同时,电商诈骗也在你的附近蛰伏。

消费者网购下单付款后,却被电商单方面取消订单,这就是所谓的“砍单”。据北京消协调查数据显示,在3484名被调查者中,2836人表示有过网购被“砍单”的经历,占比81.4%。网购遭遇“砍单”后,1586人选择向消协投诉,占比45.52%;1313人选择找商家理论;546人选择自认倒霉;36人选择向法院起诉,仅占比1.03%。

网购是个人信息泄露的重灾区

“客服”骗走女大学生一年学费

“双十一”,北京大学法学院教授薛军建议,消费者网购前一定要了解清楚促销活动的细则,并注意留存促销活动和商家作出承诺的截图等资料,遭遇“砍单”后要积极投诉维权。对于维权难的问题,薛军表示,网购合同是否成立决定着“砍单”的性质,电商通过格式条款对合同成立问题进行约定时,必须对消费者进行明确的提醒和通知,而任意取消订单构成恶意磋商的,均需承担赔偿责任。

很多人有这样的习惯,收到快递后,为防止个人信息泄露,会当场把快递单“粉身碎骨”,或者用黑笔涂抹,又或用湿巾蘸水擦。近期,顺丰的“丰密面单”、京东的“微笑面单”以及圆通的“隐形面单”等各种样式隐私面单的出现,让人耳目一新。

周玲是山东某大学的一名在校生,今年8月2日,她在网上给表妹买了衣服鞋子,因表妹回四川老家,她又联系商家将收货地址从西安改成了四川。

“砍单”行为损害消费者权益

近年来,随着电商行业的迅速发展,快递业与消费者的关系越来越紧密,尤其是快递实名制以来,关于如何保护个人隐私的探讨从未停息。

当天下午,一个自称客服的陌生电话打过来告知周玲称,其购买的货物丢失需加微信给予赔偿。接收到对方发来的二维码后,周玲点击识别立马显示货物订单异常。

消费者下单成功并付款后,一些电商会以商品缺货、系统出错、操作失误、订单异常以及产品质量等理由单方面取消订单,或者一直拖着不发货,使消费者的权益受到不同程度的侵害。

根据国家邮政局数据统计,2016年,全国产生300多亿个快递包裹,人均20多个,这意味着上百亿频次的消费者信息流转在各大快递企业系统当中。消费者在进行网购时,必须要求填写确定的收货地址、联系人、电话等基本信息;该信息由卖家确认用于填写邮寄单据,在快递过程中,这样的个人基本资料也不得不暴露于快递包装盒外,成为个人信息泄露的多发区。

随后,周玲按照对方要求,又通过二维码输入了支付宝账号,刚收到验证码,语音就提示绑定支付宝的银行卡被冻结,无法打进赔偿款。

今年1月18日,胡先生得知“北面The North
Face官方商城”正在做活动,就注册会员并下单选购了2件羽绒服,共计293.72元。胡先生下单成功后,商家并未及时发货,以网站故障为由,单方面取消了订单。事后,北面商城提出给购买10件以内的消费者发放50元优惠券作为补偿。

在大数据时代的背景下,个人信息不仅为基本的生活和工作服务,也具有了一定的商业价值。无论是在日常生活还是在网络交往之中,都有人看中个人信息的商机,通过将个人信息进行整合处理,兜售给需要的企业以获取相应的对价。这些信息被直接出售,或由于技术防范措施不充分、安全漏洞未及时弥补而被窃取,客观上为骚扰电话和短信,甚至为刑事诈骗提供了条件。网络消费者成为个人信息被侵害的重要群体,这种侵害涉及信息窃取、泄露、非法收集与保留、交易,以及由此衍生的网络诈骗和人身侵扰等。

见银行卡冻结,慌乱之际周玲又听信对方要求,将6700元红包转入对方卡中试图解冻。诈骗者并未立刻收手,而是主动让周玲获悉余额宝钱款不见的事实,继而以其余额宝也被冻结为由,指导其在一家借贷店铺申请1500元借贷,并表示之后可将货物赔偿款和已被转走的钱一并还给周玲。

2月11日,胡先生收到一条来自北面商城的短信,大概内容是可以以4折的优惠来购买之前被“砍单”的商品,这意味着一件吊牌价2098元的羽绒服,能以839元的价格买走,但较“砍单”之前的147元贵出了好几倍。因怀疑网站是故意利用虚假促销活动收集消费者信息,胡先生投诉到了消协。

去年9月,福州就爆出快递员在网上售卖快递单事件。据离职快递员说,传统纸质快递单一式四份,其中两份属于寄件人和收件人,一份留给快递公司做底单,另一份则是快递员的存根。他把这些存根底单收集到一定程度,然后去网上拍卖,或者找一些同行业的人售卖。

再次按提示完成操作后,周玲才发现这是一个骗局,自己总计被骗走了8200元,对于她而言,这相当于一年的学费,无奈选择报警。所幸,公安机关全力侦查,帮助周玲追回了被骗的8200元。

不仅是胡先生,不少消费者均表示,怀疑商家是故意通过假促销活动,套取消费者个人信息,再有针对性地推销产品。消费者在电商网站上下单,必须提交地址、联系电话等具体个人信息,这意味着电商“砍单”后就可以掌握大量潜在用户的准确个人信息。

经营者使用消费者

商家信息泄露过半来自“内鬼”

3月,北京消协在“砍单”调查报告中指出,由于电商“砍单”后承担的责任有限,为此付出的成本较低,“砍单”正向其他互联网消费领域扩展,如订了机票、酒店后被商家单方面取消等情形。

个人信息需经同意

近年,像周玲因网络购物遭遇诈骗的经历并不少见。无论是京东还是亚马逊等电商平台,同样面临用户信息被泄露,遭遇假冒电商客服诈骗买家的困扰。2013年以来,京东几乎每年都会对外发布声明,称接到消费者反映有不法分子打着京东名义,通过京东客服电话极为相似的号码向消费者索要银行卡和手机验证码,或声称消费者中奖、向消费者电话推销打折卡等实施诈骗。

值得注意的是,当商家推出“秒杀”“竞拍”等低价促销活动时,会吸引大量消费者同时下单,如商家单方面取消订单,大量消费者的权益会受损。报告指出,像这样涉及众多不特定消费者的权益集中受到商家同一行为侵害的,可能引发群体性消费纠纷。

传统快递单将个人信息完全暴露在大众视线之下,个人信息极易被窃取和非法利用,不利于消费者个人信息得到保护。而个人信息保护,是消费者的法定权利。

据电子商务生态安全联盟发布的《白皮书》报告分析称,整个电商生态中,从平台到商家再到ISV和物流,都会有信息泄露风险。这些环节信息泄露的比例依次为10%、36%、19%和35%。

商家认为发货后合同才成立 “砍单”并不违约

我国消费者权益保护法第十四条规定:“消费者在购买、使用商品和接受服务时,享有人格尊严、民族风俗习惯得到尊重的权利,享有个人信息依法得到保护的权利。”个人信息或者称为个人资料、个人数据,一般是指与自然人相关的能够单独识别或者辅以其他信息能够识别出特定主体的所有信息,可以表现为文字、图表、图像等任何形式。其中,既包括涉及生物体征方面的信息,如性别、身高、长相等,也涉及作为社会成员的基本社会文化信息,如姓名、职业、宗教信仰、生活习惯等。国家工商总局于2015年发布的侵害消费者权益行为处罚办法中对“消费者个人信息”的定义进行了明确规定,即“经营者在提供商品或者服务活动中收集的消费者姓名、性别、职业、出生日期、身份证件号码、住址、联系方式、收入和财产状况、健康状况、消费情况等能够单独或者与其他信息结合识别消费者的信息”。

商家泄露信息大部分是因内部人员和账号出问题,即通常所说的“内鬼”。如商家内部员工为谋取私利,通过直接出售数据或账号给诈骗分子,从中获取非法收入。此外,黑产分子还会伪装称客服上门应聘,在获取账号权限后批量下载数据再借机离开,这类情况通常发生在商家聚集的广东地区,且多为团伙流窜作案。

消费纠纷发生后,不少电商会以“网购合同未成立”为由进行辩解。“网购合同是否成立会决定‘砍单’行为的性质,即电商单方面取消订单的行为是否构成违约。”北京消协工作人员闫毓珊解释说,网购过程中,电商发布商品信息的行为是否构成要约一直存在争议,加之网站通过格式合同条款制定了合同成立的规则,会导致电商完全掌握缔结合同的决定权,增加消费者维权的难度和不确定性。

我国消费者权益保护法中,针对经营者如何保护消费者个人信息作了明确规定:“经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息目的、方式和范围,并经消费者同意。经营者收集、使用消费者个人信息,应当公开其收集、使用规则,不得违反法律、法规的规定和双方的约定收集、使用信息。”“经营者及其工作人员对收集的消费者个人信息必须严格保密,不得泄露、出售或者非法向他人提供。经营者应当采取技术措施和其他必要措施,确保信息安全,防止消费者个人信息泄露、丢失。在发生或者可能发生信息泄露、丢失的情况时,应当立即采取补救措施。”“经营者未经消费者同意或者请求,或者消费者明确表示拒绝的,不得向其发送商业性信息。”

“假冒买家的骗子还会通过其他聊天软件,给商家客服发送会触发木马下载的文档或图片等,并谎称是自己需要购买的货品清单,没有防备的商家客服往往会顺势点开中招。”一位业内资深安全专家介绍称,这类内鬼风险也是主要的信息泄露源,占到商家信息泄露的56%。

记者注意到,今年3月,北京消协曾就合同成立条款问题,对当当网、国美在线、京东商城、苏宁易购、淘宝、天猫、唯品会、亚马逊等8个电商平台进行体验调查。注册过程中,有2个网站没有涉及订单生成与合同关系的规定,其他6个网站规定消费者成功下单并完成付款后,不代表双方已经建立合同关系,只有商家确认发货后,合同才算成立。甚至有网站在条款中规定,在任何情况下,由于商品缺货对消费者带来的任何损失,网站不负任何责任。

对于侵害消费者个人信息依法得到保护的权利,消费者权益保护法中也规定了相应的责任。关于民事责任的承担,应当停止侵害、恢复名誉、消除影响、赔礼道歉并赔偿损失;关于行政责任的承担,在法律法规未作规定的情形下,由工商行政管理部门或者其他有关行政部门责令改正,可以根据情节单处或者并处警告、没收违法所得、罚款,情节严重的,责令停业整顿、吊销营业执照;构成犯罪的,依法追究刑事责任。

服务商泄露信息不容小觑

“这种规则得到了大多数电商网站的认可和执行,形成了所谓的行业惯例。”闫毓珊举例说,亚马逊网站明确表示,网站上的商品信息实际上是一种要约的邀请,消费者下单是一种要约行为,网站发出发货通知之后,合同才成立。

个人信息保护纳入民事权利

在周玲一案中,经西安警方侦查发现,周玲提出更换收货地址后,商家曾将她的相关信息发送至了有物流人员和黑产者在内的QQ群。

此外,京东也规定以商品实际发货作为合同成立的标志。京东用户注册协议中提到,销售商展示的商品和价格等信息仅仅是要约邀请,只有在销售商将商品从仓库实际发出时,方视为双方建立了合同关系。

鉴于个人信息被滥用现象严重,不仅消费者权益保护法中规定了对个人信息依法保护的权利,而且今年出台的民法总则亦将个人信息保护作为民事权利写入法律,首次从民事基本法层面提出个人信息权,并明确了个人信息保护的基本行为规范,撑起了个人信息的保护伞。

办案民警介绍称,黑产人员往往会通过搜索类似“物流”“快递”等关键词,加入到物流快递QQ群,用户信息也因此容易被黑产者盗取并贩卖。警方初步判断,该类QQ群是周玲信息被泄露的根源。

闫毓珊认为,网站关于合同成立的规则不利于消费者权益的保护,若经营者以不合理的理由取消订单而不需要承担责任的话,显然对消费者不公平、也不合理。

个人信息关乎每个人的人身安全和财产安全,应充分认识到个人信息保护的重要性,维护自身合法权益。处处留心,学会事前预防,如谨慎使用无需密码的免费WiFi、不轻易点击来历不明的二维码和手机短信中的链接、关掉“附近的人”“常去地点”“允许搜索”“允许查看”等隐私功能、戒掉晒火车票飞机票和车牌号以及照片的不良习惯、选择官方渠道下载APP软件;同时要积极维权,即可在具体的交易关系中要求泄露和非法利用其个人信息的经营者停止侵权、赔礼道歉和赔偿损失,对于情节严重的,亦可诉诸公检法机关追究其刑事责任。

按照电子商务生态安全联盟白皮书调研,物流和服务商环节泄露用户信息的情况也不可小视。

专家认为商家有提醒义务 恶意磋商要担责

在此,法官提醒经营者、行业服务提供者守法经营,提升服务质量,规范服务行为。消费者也应注重个人信息安全保护知识的学习,明确信息泄露的风险和危害;增强维权意识,在个人信息被泄露后,应采取适当途径维护自身的合法权益,向消费者协会、物流协会等投诉,必要时运用法律武器维护自身的合法权益。

在物流环节,因物流公司大部分采取加盟模式,部分仓库、网点存在仓内局域网作业情况,导致应用系统呈现多级数据存储的架构,极大增加了数据管理的复杂程度。同时,物流从业人员流动性大,尤其是在历年大促期间,大量临时的分拣、派件人员加大了电商交易信息在物流环节发生信息泄露的不可控因素,常见的人员问题包括面单拍照、账号买卖、内部人员批量数据导出等情形。

“在合同关系中,缔约双方通过协商对合同的成立进行约定,而在消费者与经营者的关系中,过度强调意思自治会进一步加剧网购消费者的弱势地位。”闫毓珊说,经营者单方面决定合同成立的规则不利于消费者权利的保护,经营者通过格式条款将自己的意志强加给消费者,消费者很难与经营者达成任何实质意义上的“约定”。

(作者单位:北京市第三中级人民法院)

而ISV在电商生态中,主要会给商家提供开发应用系统,如进行商品、会员和订单的管理。这一环节掌握着各电商平台的不同商家订单信息。

薛军表示,合同法的基本原理是意思自治,商家通过格式条款对网购合同成立问题进行约定,原则上是合理的,如缔约双方约定,以商家发货视为合同成立时间,要尊重当事人的意思。

延伸阅读

无论是京东、淘宝还是亚马逊等电商平台商家,通常存在使用相同ISV的情况,意味着一旦这些跨店铺、跨平台的ISV服务商出现信息泄露,往往会殃及多家平台。

不过,薛军进一步表示,像这种涉及合同成立问题的条款,又显著不同于通常的约定,商家具有明确的提醒和通知义务。如果相关条款“藏”在很长的文本之中,消费者很难发现也不能理解,这意味着商家没有尽到相关义务。

信息保护,隐私面单只是第一步

通常情况下,骗子在掌握了详细或部分受害者信息后,会通过电话、短信等方式联系受害者,用掌握的受害者信息获取信任,然后引导受害者进行扫码支付、在线转账、ATM机转账、在钓鱼网站中填写资金账户信息、从借贷产品借出资金,并将资金转入骗子账户或者在线进行虚拟商品消费或购买基金产品。

记者注意到,电子商务法草案规定:电商经营者应当清晰、全面、明确地告知用户订立合同的步骤、注意事项、下载方法等,保证用户能够便利、完整地阅读和下载。

所谓“隐私面单”,是指消费者的信息通过技术处理,不再显示在快递面单上,同时也在后台进行了加密处理,快递员只需通过APP联系收件人,无需人工识别手机号码。隐私面单的推出,使得传统快递单“变脸”,许多面单不再完整显示收货人的姓名、手机号、地址信息和商品信息,而是以某些符号代替,隐藏了快递单上的部分个人信息,从而达到加密效果,防止其他人从单子上窃取消费者的个人信息。

资金到达骗子账户后诈骗者会迅速将资金分拆转入二级、三级黑卡,然后进行消费或由专门的黑产者在全球各地取现。骗子的借口各式各样,目的都是骗取受害者卡中的钱款和诱导借贷出来的钱款。

“个别消费者被取消订单正常,大规模的‘砍单’需要引起注意,要提防恶意磋商。”薛军举例说,在集中打折和促销时,商家为吸引顾客大量接单,但事后又大量取消订单,这就违反了诚信原则,构成恶意磋商。“因恶意行为进行磋商导致对方损失的,需要进行赔偿。”他认为。

随着隐私面单的推广,快递员将无法从面单上获取用户的姓名、联系方式等个人信息,这在一定程度上保护了用户的隐私,避免了信息泄露。但面单只是个人信息呈现的前台表现形式,物流公司的后台数据库内还有大量的个人信息,快递行业对于个人信息的保护需要从前端转移到内部管理上,建立完善的信息安全保障机制。

目前北京、上海、广东、浙江、江苏、山东、河北、江西等省市欺诈事件较为频发且资损较大,但诈骗者来源地则主要集中在福建和广东两省。

北京消协调查数据显示,仅占比1.03%的受访者选择了起诉维权。对此,薛军分析说,这与消费者受损害小、维权成本高等有关,他进一步表示,大量“砍单”发生后,电商平台有责任约束和管理商家存在的不诚信行为,如降低信用等级等。

隐私面单只是个人信息保护的第一步,还需要快递公司、电商企业、监管部门等多方各司其职,全面保护个人信息安全,真正维护消费者的合法权益,促进快递行业良性持续发展。

电商建立全链路数据安全能力

本文转自检察日报,并不代表中国(
如果您有合作意向,欢迎咨询小编QQ:2547636413

本文转自北京日报,并不代表中国(
如果您有合作意向,欢迎咨询小编QQ:2547636413

近日,中国电信广东公司在广州举办以“温柔藏刀”为主题的防范通讯信息诈骗创意快闪活动。在现场,观众使用准备好的“诈骗剧本”和手机给自己的亲朋好友打个电话,通过换位思考的方式,了解骗子思维。在这个过程中,不少观众认识了电商诈骗的场景和套路。

当前,在反制电商诈骗中,部分电商平台也作出了技术创新。近年,阿里巴巴就针对数据安全风险的防范,提炼出了一套数据安全能力成熟度模型,用来评估企业和机构在数据安全整体上的能力水平,指导电子商务生态内的各类企业和机构进行数据安全体系建设工作。

而其全链路数据安全防控技术与产品体系——御城河的数据泄露风险检测及溯源技术,可预警商家、服务商、物流环节在内的内鬼操作、账号风险、异常访问行为、木马风险等各类数据风险。该系统每天会帮助服务商分析6.5亿次核心数据访问行为并拦截风险,每天帮助物流商分析6000万次核心数据访问行为,已有超过300万商家的近800万终端也在使用受御城河保护的服务商或物流应用。

在购物狂欢的年末,安全专家提醒,在网上购物后,若接到自称客服退款等陌生电话,一律不要轻信,也不要加QQ或微信私聊。如果用户钱款已被诈骗,也千万不要再次联系诈骗电话,应该及时保留证据并立即报警。

“陌生人发来的任何网页或二维码链接都不要轻易点击查看。”安全专家特别强调。

本文转自中国网财经,并不代表中国(
如果您有合作意向,欢迎咨询小编QQ:2547636413

相关文章