易思范

电商平台用户数据外泄危及网购安全 该如何追责?

数字城市

2017年01月23日

  2016年12月网传的疑似京东12GB用户数据泄露事件,又一次吸引了公众的关注。毕竟这牵涉了太多的人,且相关数据包括用户名、密码、邮箱、QQ号、电话号码、身份证等多个维度,数量庞大。

  据相关报道显示,经京东信息安全部门初步判断,该数据源于2013年Struts2的安全漏洞问题,当时国内几乎所有互联网公司及大量银行、政府机构都受到了影响,导致大量数据泄露。

  电商平台的数据泄露问题并非只有京东个案。在2014年初,支付宝也因“内部作案”出现用户信息泄露事件;2014年底,中国铁路购票网站12306也出现用户数据外泄。

  电商以及网络平台用户数据的保护,并不是一家平台的责任,用户数据的保护如何进行,网络信息安全如何进一步防范,均有待进一步探索。

  数据外泄问题凸显

  “本次京东用户数据泄露,只是凸显互联网信息安全问题的一小部分,其实很多网民个人信息都曾被泄露,而电商则是用户数据泄露的重灾区,1号店、当当网、支付宝等都出现过用户数据泄露事件。”中研普华研究员邱少梅在接受《法人》记者采访时如是说。

  她进一步表示,电商平台信息泄露主要存在几方面的原因:一是网站内部人员偷盗售卖;二是消费者忽视个人信息的保护,如随意在购物网站填写个人信息等;三是黑客入侵,破解公司网站漏洞,窃取用户信息。

  参与过多起网购诈骗事件、协助数百名受害消费者依法维权的北京律师张新年在接受《法人》记者采访时认为:“近年来网络购物异军突起,势不可当,与此同时,非法盗取、泄露、买卖用户信息、网络诈骗等问题随之彰显,甚至形成了地下产业链。”

  在众多知名品牌电商平台上发生的网购消费者被诈骗事件,一度呈现大规模爆发之态势,已然演化为社会公共事件,严重损害了消费者的权益,动摇了部分消费者的网购信心,也损害了电商的利益,妨碍了互联网经济的健康发展。

  资深IT撰稿人,专栏作家孟永辉在接受《法人》记者采访时表示,当前的信息泄露已经由传统的以个体特征为代表的基本信息泄露转移到了交易、财务等隐私性的信息泄露。主要导致个人隐私侵害、财产损失等后果。

  可以看到的是,电商平台也一直在努力应对用户信息泄露的风险。京东相关负责人在接受《法人》记者采访时说:“对京东而言,用户的个人信息保护、防止信息泄露上,有着一系列的措施。”

  该负责人介绍,在战略层面,京东的网络安全措施包括几方面:首先,对于用户数据进行了严格的加密,数据存储权限进行严格限制,不管从程序上还是人员管理上,都进行了严格规范,建立安全防范意识,技术上实现了信息的HTTPs加密传输,保证传输数据是机密;其次,对于数据管理方面,建立了规范化的按数据应用范围分类的管理体系,对于数据的存取和传输也进行了严格的规定。

  她进一步对《法人》记者说,在安全防范方面,为了防止数据泄露,有专门的团队负责安全漏洞的捕捉和数据分析,找出潜在的威胁。针对互联网各种欺诈行为进行定位,建立一整套安全管理系统,进行监督控制。

  个人信息保护意识亟待增强

  “越来越多的交易在互联网上发生,吸引了很多黑客的关注,黑客与安全体系的博弈会一直继续下去。”京东上述负责人对《法人》记者表示,作为行业生态中的一员,电商平台必须致力于携手为用户打造健康安全的生态环境。但面对互联网安全的严峻局面,也提醒用户要不断提高警惕性,与时俱进。

  就如何保护个人信息安全,她进一步解释道,尽量不要使用公共场所或他人的免费网络进行网络购物,避免个人账户或敏感信息泄露。在涉及到资金问题的电商、支付类系统中使用独特的用户名和密码,避免被撞库攻击的风险。不要把敏感信息如银行卡、身份证等信息随意暴露在网上,尤其是现在的社交网站,注意个人信息的安全。

  此外,还应注意保护个人电脑、手机等信息终端的信息安全,不要让病毒入侵、植入木马等。同时,家中Wi-Fi密码、路由器管理后台密码,要使用字母加数字的高强度密码。消费者应特别注意甄别网络安全,不要被各类虚假信息迷惑,进入钓鱼网站,警惕藏匿在短信、邮件、微信中的钓鱼网址,不打开、不发送来路不明的促销链接,对于打着电商名义而来的电话、QQ聊天应该格外小心,避免点击通过即时通信软件发过来的所谓退货、用户中心网址。

  邱少梅则从监管对《法人》记者表示,面对频发的用户信息泄露事件,首先,相关部门要健全法律制度,让执法行为有法可依;其次,相关部门要加强监管,加大执法力度,以预防为主,主动介入调查信息泄露事件;再次,运营电商平台的企业,要增强行业自律,加强信息保密措施;最后,消费者要增强安全意识,不要随意在购物网站留下个人信息。

  邱少梅强调,消费者可以将相关的转账记录、通话记录、银行流水等证据材料及时保存下来,并在被盗时第一时间向公安机关报警。在执法机构将犯罪嫌疑人控制、检方提起公诉之后,受害者可以提起刑事附带民事诉讼,要求返还被诈骗的财产。同时受骗者也可以向法院提起民事诉讼,要求追究网站管理者的侵权责任。

  对于电商运营平台的内鬼问题,张新年对《法人》记者建议道,涉案电商应该展开自查,工商部门、电信管理部门等应开展行政调查,公安机关也应开展刑事立案侦查。如果确系电商内鬼所为,则涉案员工涉嫌非法获取公民个人信息罪,对网购消费者的民事赔偿上,则由电商承担单位赔偿责任。

  信息泄露如何追责

  张新年对《法人》记者解释道,在“消费者—电商—犯罪分子”这个关系链中,电商与消费者之间建立了合同关系,如果因为电商没有尽到基本的信息安全保障义务,导致消费者被骗,电商应承担违约责任。如果是电商出了内鬼,使得信息泄露导致消费者被骗,则又构成了侵权责任,电商向消费者承担责任后最终有权向内鬼追偿。

  张新年表示,网络诈骗分子的手段虽然高明,但方式相对单一,涉案电商如果没能积极应对,其安全技术防范措施没有相应地提升,不足以保障消费者的信息安全,显然应当承担法律责任。而对于网购被骗消费者而言,利益最大化的维权途径便是向电商主张权利,并经由行政主管部门和司法部门向电商施压。

  张新年认为,从行政法的角度来看,工商行政机关负有监督管理各类市场交易行为,以及网络商品交易及有关服务的法定职责;工信部及各地通信管理局等电信管理机构则对互联网用户个人信息保护工作实施监督管理;新成立的国家互联网信息办公室,也具有保障网络安全和信息化发展的职能。

  张新年说,消费者可以向上述政府部门了解情况,反映情况,并申请行政调查。如果有关部门疏于监管,疏于查处,可以申请政府信息公开、提起行政复议、行政诉讼,或向监察部门举报,追究其行政不作为、失职甚至渎职的责任。

  从刑法的角度来看,网购消费者被骗后要及时报警,如果达到刑事立案标准,公安机关除了应该对直接实施诈骗活动的犯罪分子展开侦查外,也应当对电商及其内部相关人员展开全面的调查。

  张新年表示,在真相未明之前,可以合理怀疑电商平台在非法泄露消费者信息或者其内部存在内鬼。此外,消费者亦可借助自媒体和新闻媒体的舆论监督,以及消费者协会或司法援助中心的帮助。

  “应说明的是,定纷止争不一定通过诉讼。诉讼只是维护社会公平正义的最后一道防线。”张新年对《法人》记者表示,鉴于诉讼的人力、物力、财力和时间成本相对较高,并且在举证上存有一定的难度,一般不适合普通消费者的维权需求。故被骗消费者可以先与对方交涉,并采取组合维权方式,不断给对方施压,为谈判增加筹码,争取达成双方的和解。

+1

来源:《法人》 作者:李立娟

推荐文章