|
當(dāng)你在網(wǎng)上購物時��,除了電商平臺����、商家和快遞,還有別人能看到你填寫的個人信息嗎���?答案是肯定的�����。 近日����,記者調(diào)查發(fā)現(xiàn),在網(wǎng)購訂單信息的流轉(zhuǎn)鏈條中�,存在著不為公眾所熟知的第三方服務(wù)商。它存儲著各大電商平臺的網(wǎng)購訂單�,在其后臺搜索網(wǎng)名、地址���、電話等關(guān)鍵詞���,甚至可以找到某一買家?guī)啄陙碓谙到y(tǒng)中記錄的全部訂單信息。 專家分析認(rèn)為��,電信詐騙涉及的網(wǎng)購訂單信息���,有些時候是從第三方軟件泄露出去的��,因?yàn)榈谌椒?wù)商的信息安全能力普遍較為薄弱�,屢屢成為黑客和內(nèi)鬼的攻擊目標(biāo)�����。但因其通常隱藏在電商平臺和商家之后,極易被忽視����。 除了商家和平臺還有誰知道我的網(wǎng)購訂單信息? 近日���,淘寶買家陳嘉向記者反映�����,她在淘寶上買東西時,發(fā)現(xiàn)貨品有損壞��。與商家協(xié)商后�����,商家承諾二次補(bǔ)發(fā)�。不過,她并沒有收到補(bǔ)發(fā)的貨品��,因?yàn)樨浧繁患牡搅怂昵暗淖≈贰?/p> 吊詭的是���,陳嘉此前從未向該商家提供三年前的住址����,商家又是怎么知道的? 
陳嘉與淘寶商家聊天記錄截圖��。受訪者供圖���。 原來,在淘寶����、商家、快遞公司和用戶之間���,還隱藏著其他第三方——陳嘉遭遇的這次地址匹配錯誤�����,正是這個第三方的“鍋”��。 商家解釋稱����,為了方便管理各個電商平臺的訂單以及貨品存儲,他們和一家名為“廣州我配網(wǎng)倉倉儲有限公司”(下稱“我配網(wǎng)倉”)的倉儲公司合作���。 他進(jìn)一步解釋道�,很多商家都與同一家倉儲公司合作����,使用同一款訂單管理軟件,可能陳嘉在其他商家購物時曾提供過三年前的地址�����,所以軟件保存了陳嘉的訂單信息�,這次碰巧自動匹配上了���。 根據(jù)商家展示的軟件后臺截圖��,搜索陳嘉的淘寶ID�,可以查詢到她使用過的所有地址信息���。不過商家強(qiáng)調(diào)��,“這邊是不會給您泄露信息的�,您放心?���!?/p> “我覺得有點(diǎn)嚇人?�!标惣胃嬖V記者�����,在她的認(rèn)知中���,應(yīng)該只有商家和快遞公司知道她的訂單信息���,她完全不知道其他第三方的存在,“但是他們卻保有我的個人信息�����?����!?/p> 第三方服務(wù)商可看到全部訂單信息 多未加密 記者從我配網(wǎng)倉的官網(wǎng)了解到��,其是一家倉儲管理服務(wù)商,為多家電商平臺的賣家提供貨物存儲����、收發(fā)貨管理、信息對接等服務(wù)��。對接的電商平臺包括淘寶��、京東���、唯品會�����、拼多多等各大知名電商平臺���。 
我配網(wǎng)倉的官方介紹圖����。 與我配網(wǎng)倉合作的訂單管理軟件——“網(wǎng)店管家”則是電商平臺的第三方服務(wù)商,主要功能有處理店鋪訂單����、門店訂單�����、庫存管理等��,其在淘寶服務(wù)市場上的銷量為4.3萬����。 記者以電商平臺商家談合作為由�����,聯(lián)系上我配網(wǎng)倉的業(yè)務(wù)人員趙翔��。他介紹了訂單信息的流轉(zhuǎn)模式:通常商家把貨品放在我配網(wǎng)倉進(jìn)行存儲�,買家下單之后,經(jīng)過商家審核���,我配網(wǎng)倉會從電商平臺的API接口自動抓單到網(wǎng)店管家��,再由網(wǎng)店管家推送給我配網(wǎng)倉����,由后者配貨并聯(lián)系快遞公司發(fā)貨。 也就是說�,無論是倉儲公司還是第三方訂單管理軟件,都有能力獲取和存儲電商平臺買家的訂單信息���。 
網(wǎng)店管家的業(yè)務(wù)流程圖。 當(dāng)被問及訂單信息是否會刪除時�����,我配網(wǎng)倉的技術(shù)人員張洪表示�����,“基本上客人的訂單會一直存在系統(tǒng)里”��。網(wǎng)店管家的工作人員陸豐也證實(shí)�����,在軟件后臺可以看到導(dǎo)入此系統(tǒng)的全部網(wǎng)購訂單信息����,并且一般情況下,不會將這些訂單信息刪除�。 他們都表示,可以通過搜索關(guān)鍵詞如淘寶ID�����、訂單編號���、電話��、地址等信息�,找到買家在系統(tǒng)中的全部訂單����。張洪表示,“沒查過太久的�����,但是半年和一年的信息是能查得到的�。” 從陸豐展示的網(wǎng)店管家后臺中�,記者看到,雖然淘寶對網(wǎng)購訂單進(jìn)行了局部打碼,但只要單機(jī)鼠標(biāo)左鍵或雙擊某一具體的訂單信息即可“解碼”��,完整顯示訂單號�、成交時間、用戶名�����、收件人�、地址、物流方式等信息�。 
網(wǎng)店管家的后臺截圖���。 陸豐還透露���,在與其合作的200余家電商平臺中,只有拼多多對手機(jī)號進(jìn)行了虛擬號處理���,淘寶正在嘗試對訂單信息進(jìn)行部分打碼加密����,其他電商平臺并未對訂單信息進(jìn)行加密處理�。 第三方服務(wù)商應(yīng)及時刪除訂單信息 電商平臺有審核義務(wù) 盡管陳嘉的遭遇可能是一次概率極小的系統(tǒng)錯誤��,但只要這些隱藏在用戶視線之外的第三方繼續(xù)存在,隱私被侵犯的感覺就難以消除���。那么��,第三方服務(wù)商的存在是否合理�����?未經(jīng)用戶同意����,第三方服務(wù)商有權(quán)存儲其個人信息嗎�? App違法違規(guī)收集使用個人信息專項(xiàng)治理工作組專家何延哲表示,一個商家往往在多個電商平臺開設(shè)店鋪���,如果由其中一個電商平臺開發(fā)訂單管理軟件���,可能涉及到各平臺之間的數(shù)據(jù)競爭問題。獨(dú)立第三方服務(wù)商有其存在的理由���,長期磨合之下形成了當(dāng)下這種結(jié)果�����。 北京大學(xué)法學(xué)院副院長薛軍也認(rèn)為��,第三方服務(wù)商保存相關(guān)信息具有一定的合理性和必要性��。但是保存的期限要有一個合理的限度��,不宜長期保存���,并在沒有經(jīng)過同意的情況下進(jìn)行分享����。 國家標(biāo)準(zhǔn)《信息安全技術(shù) 個人信息安全規(guī)范》要求���,個人信息控制者委托第三方處理個人信息時�����,受委托者應(yīng)嚴(yán)格按照個人信息控制者的要求處理個人信息��。在委托關(guān)系解除時不再存儲相關(guān)個人信息���。 薛軍表示����,如果是商家授權(quán)第三方服務(wù)商幫他管理發(fā)貨�����,那么第三方服務(wù)商收集相關(guān)信息屬于為履行合同所必要的范圍之內(nèi)���,但商家也應(yīng)該把委托第三方發(fā)貨的商業(yè)模式向用戶明確告知。 北京網(wǎng)絡(luò)行業(yè)協(xié)會法律委員會副主任王琮瑋也持有類似觀點(diǎn):“倉儲公司與商家之前共享信息的目的是為了把貨送給用戶���,在配送結(jié)束后���,原則上應(yīng)及時刪除,而不應(yīng)該保留��?����!?/p> 她認(rèn)為���,商家在收集用戶信息的時候�,應(yīng)該按照網(wǎng)絡(luò)安全法的規(guī)定去明示收集信息使用的目的、方法等并征得用戶同意��,另外也需要告知用戶���,為其提供服務(wù)時會向第三方共享信息��。此外��,電商平臺也有義務(wù)對于第三方獲取用戶信息的渠道進(jìn)行審核����。 有網(wǎng)購類電信詐騙因第三方泄露信息 建議增加審核制度 除了在存儲個人信息的時長方面可能存在違規(guī)風(fēng)險���,信息安全能力薄弱也讓第三方服務(wù)商屢屢成為黑客和內(nèi)鬼的攻擊目標(biāo)�����,用戶的個人信息因此屢遭泄露��,進(jìn)而引發(fā)詐騙�。 “請問您是否在××平臺購買過××牌衣服���?我是××平臺客服���?��!苯鼛啄辏W(wǎng)購?fù)丝钤p騙猖獗��。冒充客服的詐騙分子以各種名義要求用戶匯款轉(zhuǎn)賬����,而不少人上當(dāng)?shù)脑蚓驮谟凇倏湍軌蚓珳?zhǔn)地說出他們的網(wǎng)購訂單信息���。 網(wǎng)購訂單信息從何處泄露����?36氪此前分析認(rèn)為���,電商平臺和商家泄露的可能性較低���,問題就出現(xiàn)在兩者交接的環(huán)節(jié)上:為了提高工作效率,快速填寫�����、打印快遞單、自動發(fā)貨等等����,商家通常會使用第三方訂單管理軟件。 
第三方管理軟件易成為黑客攻擊對象����。 上述分析稱�����,第三方軟件開發(fā)公司的信息安全能力往往不如電商平臺強(qiáng)大��,因此成為黑客主攻的薄弱環(huán)節(jié)——黑客可以輕而易舉地找到某些軟件的后門�����,在軟件工作的過程中掃描所有訂單信息并打包下載�。 除了黑客,內(nèi)鬼也是主要的泄露源頭之一���。網(wǎng)店管家的陸豐透露�����,此前曾有新來員工把客人的訂單信息拿出去賣�����,工作幾天就離職了���。目前網(wǎng)店管家正在配合電商平臺整改���,后續(xù)電商平臺也可能會徹底對訂單信息加密。 何延哲告訴記者���,從電商平臺、商家�、第三方管理軟件、倉儲公司����,再到物流配送,已經(jīng)形成了一個非常成熟的系統(tǒng)����。如果網(wǎng)購訂單信息被泄露����,大家可能首先想到的是電商平臺和商家�,很少有人注意到第三方服務(wù)商也是一個潛在的泄露渠道。 而電信詐騙�、金融詐騙涉及的網(wǎng)購訂單信息,有些時候就是從第三方軟件泄露出去的����。他指出,商家可以通過正常的業(yè)務(wù)渠道獲得大量訂單信息���,而這些信息又保存在第三方軟件中��,“這種業(yè)務(wù)架構(gòu)上的缺陷可能會增加信息泄露的風(fēng)險�?���!?/p> 中國交通運(yùn)輸協(xié)會快運(yùn)分會副會長徐勇提出,應(yīng)該建立一個第三方管理軟件的審核制度�����,去審核軟件是否存在信息泄露的缺陷和風(fēng)險。從技術(shù)上����,應(yīng)建立內(nèi)部的防火墻和審核制度、登錄記錄檔案�,防止內(nèi)部人員泄露信息。 何延哲也建議��,如果由一個通過技術(shù)安全檢測的第三方技術(shù)平臺進(jìn)行訂單管理��,那么這個環(huán)節(jié)就會變得更加可靠��。此外���,還應(yīng)該加大對此環(huán)節(jié)信息泄露的打擊力度��,增強(qiáng)商家和第三方軟件維護(hù)人員的個人信息保護(hù)意識�。
|
