【法律案例】电商信息泄露案凸显内鬼之患

时隔一年多，隐藏着的京东大范围信息泄露事件的真相，终于浮出水面。2014年12月至2015年1月，包括柳东(化名)等数百名京东用户遭遇信息泄露，更不幸的是，精准的订单信息骗局随之而来，受骗用户损失少则数百上千元，多则数万元。近日，据媒体报道，发生在京东该时段的大范围用户信息泄露事件，系京东3名内部员工所为。目前，这3名员工被北京市大兴区人民法院以非法获取公民个人信息罪判处有期徒刑，并处罚金。据法院审理查明，2014年12月至2015年1月间，上述3名员工通过登录京东ERP办公系统(服务器位于北京市大兴区)，非法获取京东商城用户个人信息9313条，并将上述信息售予他人，造成京东公司大量客户信息泄露。鉴于近年来包括电商在内的互联网企业，频繁爆出用户信息泄露事件，专家建议，互联网企业要加强内部管理，对用户个人信息的收集、传输、存储、使用和销毁等环节和流程进行梳理，对员工权限进行合理的设定，防范个人信息泄露。用户被骗后垫付情况不一记者在采访中了解到，在京东出现大范围信息泄露事件，导致很多用户被骗后，京东曾陆续对一些用户的损失进行了垫付。四川用户刘林(化名)告诉记者，他2015年1月5日曾在京东上购买了一件价值119元的保暖内衣，结果当天就接到冒充京东客服不法分子的电话，告知其系统出现问题，需要进行退款操作。由于不法分子准确地说出了订单详情，他便放松了警惕，在对方发来的链接上进行了相关操作，结果导致账户中18000元被对方转走。不过，京东此番垫付并不是针对同期所有遭遇类似骗局的用户，柳东就没有刘林那么幸运。2015年1月3日，柳东在京东上购买了一件价值58元的内衣后，当天也遭遇了与刘林类似的骗局，致使账户内107949元被转走。事后柳东曾多次联系京东客服，就赔偿进行交涉，不过一直未果。那么京东当时是以什么为依据，来决定是否对用户进行垫付的呢？法治周末记者向京东方面发去采访函，不过对方未就该问题进行回复。而据媒体报道，2014年底至2015年初，在接到众多用户的投诉后，京东商城启动了自查，最终确认信息泄露系内部3名员工所为，便向警方报案。2015年1月中旬，3人被刑事拘留。5月2日，京东相关负责人回复法治周末记者，2014年12月，京东是在内部审核中发现极个别员工有异常查询订单的行为，立即主动向公安机关报案。公士公益发起人律师张新年对法治周末记者表示，据他了解，京东泄密员工被抓直至被判，消费者无一人获得办案机关的反馈，在此过程中，京东对外也没有承认出现内鬼。这不是一家大企业应有的化解危机的态度。也就是说，消费者一直被蒙在鼓里，不知真相。虽然是京东报的案，但是很多网购受害消费者也报了案，尤其要保障他们的知情权。张新年说。刑事判决可作为有力证据其实，在信息泄露事件发生后，就曾有一位受骗用户对京东提起了诉讼，不过，法院当时驳回了该用户的诉讼请求，原因在于现有证据不足以证明订单信息被泄露系京东的过失所致。去年，也有近百名用户集体委托张新年向京东维权，但在当时没有足够证据指向信息泄露为京东内鬼泄密的情况下，张新年与委托用户达成一致意见：暂缓提起诉讼。如今，内鬼被揪出，非法获取及出售用户信息被坐实，那么用户是否在维权时就可以一路绿灯呢？张小峰、贾虹杰律师是京东员工非法获取用户信息案其中一名被告人的辩护律师，据他们在办案中了解，涉案3人并没有登录涉案商城客户信息系统权限，但该商城存在有系统登录权限的员工的登录ID、密码，被无系统登录权限的其他员工共享使用的情况。两位律师介绍，据被告人交代，当时所使用的系统登录账号，是一位在昆山工作的主管的，他们用该主管的ID、密码登录公司客户信息系统，并将客户信息导出制成excel表格格式，虽然是越权登录并下载资料，但系统不会察觉到异常。张新年对记者表示，这起刑事案件的披露，将为用户维权提供强有力的证据支撑，这表明京东在内部管理上存有漏洞，致使该缺陷被内部实际不掌握查询权限的员工所利用，在涉案员工承担刑事责任的同时，京东应依法对网购受害消费者承担赔偿责任。张新年告诉记者，律师团队已经启动新一轮的维权工作，将分批推进，代理网购受害消费者向京东提起民事诉讼。柳东也希望自己的名单能够出现在法院认定的9313条范围内，这样好有足够的证据向京东提起索赔。不过，张新年也表示，即使有直接证据，指向受骗用户的信息的确是由京东内部员工泄密所致，但并不一定意味着用户就能获得全额赔偿。用户也需要承担一定的注意义务，法院在审理中，会根据双方当事人的过错大小，来分配各自承担责任的比例。张新年说。律师建议有条件地适用举证责任倒置规则尽管3名被告人很快被绳之以法，不过，发生在京东上的用户信息泄露现象并没有得到终结，以订单出现问题为由的骗局依然不时发生。就在上述3人被羁押的一周后，即2015年1月21日，山东用户苑森杰，中午刚在京东商城购买了价值459元的诺基亚手机和19.9元的优盘，当天晚上8点就接到了自称是京东客服的诈骗电话，理由同样是订单由于系统维护出现问题，结果导致银行卡中55690元被划转。近日，在看到3名京东员工因窃取出售用户信息被追究刑责后，苑森杰告诉法治周末记者，他又同京东方面联系交涉赔偿事宜，不过京东只是让我去联系警方，让警方协调处理。北京用户张玲(化名)情况与苑森杰类似，2015年5月10日在京东商城上购买了一件价值79元的孕妇服，第二天也被一个自称京东卖家打来电话，以办理退款为由从卡里转走了57839元。张玲很早就在京东注册，且购物频繁，截至被骗时，她已是京东的钻石会员，当时我是在手机端下的订单，并没有看到京东的防范诈骗的提示页面和短信。事后，张玲也是多次同京东进行交涉，不过也一直未能获偿。张玲希望披露的这起刑事案件，能够为有类似遭遇的用户进行后续维权带来新的契机。记者了解到，2015年1月中旬以后，仍遭遇订单信息诈骗、且委托张新年维权的京东用户已接近20人。另据京东维权群里一位用户张亚东(化名)介绍，自从2014年底到2015年初京东用户信息大规模泄露以来，群内用户一度多达数百人，随后有部分获得垫付的消费者退群，还有遭到类似诈骗的用户陆续加入进来，只是增加的频率逐渐放缓。贾虹杰对法治周末记者表示，通过他和当事人的多次交谈，对方反映，通过共享使用有系统登录权限员工的登录ID、密码获取用户信息，甚至进行出售，在公司物流内部并不是个别现象。当事人反映，登录客户信息系统、下载打包客户信息、联系卖家进行出售并不是他的发明，而是当时有一位内部工作人员教唆示范的。贾虹杰表示，由于3名被告人只有初中文化程度，当时并不知道这种行为可能触犯刑法、会被追究刑事责任。互联网法律专家赵占领对法治周末记者表示，此起刑事案件的披露，的确反映出当时京东内部管理上存有疏漏，这将有助于用户维权。不过他认为，不在法院审理查明的9313条信息范围内的用户，如对京东起诉索赔，相对于在这之列的用户而言，由于不是直接证据，还须再举证信息泄露是京东的过错所导致。即使同是内鬼作案，赵占领分析，如果内鬼不是利用公司管理上的漏洞非法获取并出售用户信息，而是通过与外部黑客一样的手段入侵公司计算机系统窃取用户信息，在这种情况下，‘内鬼’的行为并不是职务行为，其同外部黑客入侵并不存在差异，公司只要尽到了现有技术条件下的安全防护义务，那么也很难认定公司存在过错。不过，贾虹杰表示，如果是个案，不排除是用户个人不慎泄露了订单信息或使用的个人电脑被黑客攻击导致信息泄露，但如果是大范围的、同类型的、高精度的订单信息诈骗，那么电商作为客户信息的保管者，就应因为失职承担法律责任。目前司法实践与法律法规规定，相关民事赔偿举证责任都在受害用户一方，但是由于网络领域技术的高端性与私密性，受害用户往往不能完全收集到具体相关证据。因此，贾虹杰建议，司法机关应出台相关法律规定，对于此类网络信息民事侵权赔偿案件有条件地适用举证责任倒置规则：在受害用户承担一定的举证责任后，由电商平台承担其在用户信息泄露方面不存在过错的举证责任。企业应建立有效内控机制其实，目前被公开报道的，出现用户信息泄露且滋生诈骗风险的电商平台，并非京东商城一家。2015年5月，苏宁易购也出现用户订单信息大范围泄露事件，致使很多用户被骗，近日赵占领也将代理部分用户对苏宁易购提起民事赔偿诉讼；今年3月，电商特卖平台唯品会也被媒体爆出，其平台用户订单信息在一些QQ群被肆意买卖。梳理目前被公开报道的用户信息泄露事件，记者发现电商等互联网企业用户信息泄露主要源于出现内鬼泄露、系统漏洞、黑客撞库这几种情形。公开资料显示，泄露用户个人信息的源头大多是相关企事业或部门的内鬼，但一些收集、保存大量用户个人信息的电商等互联网企业，却没有建立起完善的内部制度和保护机制，这也给用户信息泄露埋下了隐患。以该案为例，贾虹杰对记者表示，据他了解，该涉案企业内部也有相应的用户个人信息保障制度，比如物流部门由于掌握着包括客户姓名、电话、地址、何时下单、所购货物等详细个人信息，系统登录权限只掌握在相关主管部门手中，但可能由于企业每天24小时需要接受用户订单，为了做好商品配送，物流部门的员工需要三班倒，为了开展工作便利，登录权限就会被其他工作人员使用。客户信息系统的登录ID和密码一旦被‘共享’，就会存有漏洞。如果物流部门实行的是‘三班倒’轮班制度，那么应该在每个班次都安排一个相应职级的主管人员，负责用户信息的查验调取，而且每次的操作行为，系统应当进行记录，以便于后续追溯。贾虹杰说。那么，大范围用户信息泄露事件发生后，京东是否对其内部工作制度进行了调整和优化？京东相关负责人对法治周末记者表示，案发后，公司已经第一时间采取了相应的防范措施，同时加强了内部管理，杜绝类似事件的再次发生。京东一贯高度重视用户信息安全，有最严格的公司政策和规定，决不允许任何人以任何方式泄露用户信息，一经发现绝不姑息。该负责人表示，根据京东的内部调查，冒充客服进行诈骗的案例中，绝大部分是犯罪分子通过撞库攻击等手段获取用户信息。2012年底，全国人大常委会颁布的《关于加强网络信息保护的决定》明确提出，网络服务提供者应当采取技术措施和其他必要措施，确保信息安全，防止在业务活动中收集的公民个人电子信息泄露、毁损、丢失。赵占领对记者表示，企业应依照全国人大常委会的决定，对用户个人信息的收集、传输、存储、使用和销毁等环节和流程进行梳理，对员工权限进行合理的设定，防范个人信息泄露。记者注意到，自去年京东商城爆出信息泄露事件以来，京东逐步强化了对用户的风险提示，当用户订单提交成功后，网络页面、手机会收到谨防诈骗的提示信息。张亚东告诉记者，尽管后来京东维权群内的人数还在增加，不过增速明显放缓，这也从侧面说明平台的提示起到了一定作用。

分享到