个人信息被暗中交易，我们离隐私安全还有多远？

原创闫婷

近日，新京报记者卧底多个“电话销售”群发现：有卖家专门出售外卖订餐客户的信息。包括用户姓名、电话、地址在内，每条信息的售价不到一毛钱。还有网络运营公司借助软件搜集用户的订餐信息，打包后倒卖给电话销售公司。甚至还有一些外卖骑手也做起了客户信息倒卖的“生意”。

专门倒卖信息的商家

新京报记者联系到陈京宏（化名），是在一个“电话销售群”中。聊天中陈京宏透露，自己手上有北京、上海、广州等一线城市、来自外卖平台的客户数据，10000条售价800元，5000条起售，“平均每条不到一毛钱”。

陈京宏通过QQ给记者发了一份Excel表格，内有5000条信息。这份表格包括姓名、电话、性别和地址，但没有订餐日期。包括朝阳、密云等区在内，北京16个区的数据都有涉及。

实际上，售卖外卖客户信息的不止陈京宏一个。记者卧底多个电话销售群发现，至少有三名卖家均称自己有外卖的客户数据。QQ昵称为“彩虹”的卖家称自己有全国范围的数据，每万条价格为600元，除了用户姓名和电话地址外，还包括订餐信息。

新京报记者发现，一些卖家称有美团、饿了么、百度外卖的客户信息，每万条价格从700元到2000元不等。

新京报记者就信息泄露情况拨打美团客服电话，一位客服人员表示，美团内部对于信息的管理非常严格，不会泄露用户的隐私。但用户订单信息涉及多个环节，商家和骑手会有用户信息，且不包括送错餐以及订餐小票弄丢等干扰因素。

网络公司“扒取”客户信息

除了这些直接以卖家的身份售卖信息外，一条更为隐秘的外卖顾客信息获取渠道浮出水面。新京报记者调查发现，一些代理运营外卖店的网络公司也在售卖信息。

某网络运营公司的工作人员覃华（化名）平时的业务是负责帮忙代开（运营）外卖店铺。他同时称，可以想办法搞到成都的某外卖平台订餐客户信息。

为什么只有成都的客户信息？覃华表示，自己在其他城市没有代运营的外卖店铺，而这些数据都是从自己代运营的店铺里用软件扒取的。“姓名、性别、电话、地址，订餐次数都有，但具体能有多少条我要查一下才知道。”覃华说。他给出的报价比之前的卖家贵了几倍，每条5毛钱。覃华随后解释称，可以保证准确率，而且就是这两天的。

“一般做店铺运营会买这些信息，转化率很高。” 覃华说，他获取这些信息是通过将自己的软件挂在一些外卖平台的商家后台，从中爬取，“系统不可能发现”。

外卖骑手“出卖”订单

新京报记者调查中发现，还有“数据”卖家发来两份武汉和北京地区的送餐员的信息截图，询问是否需要。新京报记者在随后的调查中发现，作为外卖用户信息的终端接触者，包括部分外卖骑手在内的一些送餐员，也在利用用户信息牟利。

4月18日，记者通过电话找到外卖骑手李德（化名），询问对方是否可以售卖用户的订餐信息。对方表示可以，但价格稍高，一元一条。

“这些信息可以确保是当天的，而且订单上的所有信息都可以给你，包括从哪家订的餐，订了哪些餐。”李德说。

外卖骑手李德发来的一张用户订单

对于外卖平台涉嫌泄露客户隐私的问题，网络安全专家赵武表示，有可能是外卖平台程序存在漏洞，比如API（应用程序编程接口）没有做认证，网络入侵者可以根据订单序列号爬取用户信息。

第二种可能是跟商家合作的第三方泄露信息。有的商家会搞一些积分、返利、赠券等活动，这些活动一般是第三方公司承做而他们对数据的保护不如平台严密，因此很容易被入侵。

上述报道来源：新京报《外卖平台用户信息泄露 精确你吃的什么、在哪儿吃的》

报道发布后，美团点评和饿了么做出回应：

美团点评回应全文：

有关媒体报道的用户信息被倒卖一事，美团外卖高度重视，目前已启动了相关信息的核实排查，同时已向警方报案，感谢媒体和用户的监督。

美团点评一直视信息安全为发展历程中最重要的事情之一，公司信息安全中心、安全监察、内控内审等部门组建了安全委员会，并在业务及技术流程上加强了多道防线。由于外卖配送链条长，涉及平台、商家、三方配送等多个环节，因此可能有不法分子在其中获取信息。对于此类事件，我们始终坚持严惩不贷、坚决打击的原则，我们将与公安机关一起，全力打击盗取、倒卖用户信息的不法行为，尽全力保护每一位用户的信息安全，保障行业健康、良性发展。

饿了么回应全文：

饿了么把信息安全作为头等大事之一。看到相关报道后，我们第一时间就开始全力排查，并一直和有关部门保持着积极协作。由于目前全社会的信息安全环境复杂，此类恶意的数据安全事件时有发生，令消费者蒙受损失，对饿了么和整个餐饮外卖行业来说，大家也都是受害者。我们将在政府有关部门的指导下，和行业友商联手应对，一定会及时揪出那些害群之马。

饿了么的外卖平台及物流系统都通过了公安部《信息系统安全等级保护》的评估认证（三级），严格按照国家主管部门的要求来开展信息安全工作，并成立了由CEO担任负责人的信息安全委员会，有200人的团队负责信息安全工作，保障商户和个人用户的信息安全。

饿了么相信，有法律和政府部门的支持，通过自身持续、快速的技术进步，必能引领全行业实现对信息安全的有效保障。

在网络空间，信息即是自然人的存在方式。自然人在网络中的表现形式就是姓名、性别、年龄等信息。在外卖订餐的活动中，我们自然地将自己的姓名、电话、订餐地址告知商家。我们提供信息，商家为我们服务，但是外卖的送达并不意味着信息的回流。根据此次新京报记者的采访，我们的信息有三个可能被交易的渠道：“电话销售群”中的中间商、代理运营外卖店的网络公司、外卖骑手。

到底谁在暗中购买用户的个人信息？购买个人信息用来做什么？会对用户自身产生什么影响？这篇报道并没有说明，但是不可否认的是，我们的信息正被当作商品，在一个灰色的市场中流通，这个市场没有法律约束，没有清晰的交易主体，有的只是将人性无限丑恶化的利益。

此类事件并不只发生在外卖行业。我们的个人隐私已经遍及网络虚拟空间的各个地方，例如个人的计算机、社交媒体、电子邮件、浏览记录、内部存储等等。虚拟空间一旦被侵入，我们的隐私就可被轻而易举地获取。

用户信息的泄露渠道

（1）非法获取信息：

使用Cookies： Cookies 是一种跟踪文件，它主要的功能在于“记忆”，能记录网络用户浏览过的网站、商品等，能对网民的身份、习惯、爱好等有一个比较准确的定位。因而很多网站经营者都利用Cookies非法监视网络用户的上网路径，收集访客信息，把这些用户信息集合起来便可以建立庞大的网民个人数据库，以实现自己的商业目的；

在免费软件内安插广告；

使用“木马”。

（2）不恰当地共享或披露用户信息

由于立法滞后于现实情况，并非所有的信息都是通过非法得到的，使用正当的程序往往也能收集到想要的信息。通常有两种方法：

① 要求用户注册

许多网站通过在线注册等方式直接从访问他们的用户那里收集信息。有些网站的网页通常要求用户注册后方能进入。注册要求提供的信息包括姓名、性别、出生年月日、居住地、电子邮箱、职业等。上述几个栏目通常是网站要求用户必须填写的，必填的栏目未填，则拒绝用户提交注册表。直接收集是以明示的方式收集个人信息，从表面上来看，用户事先被告知，并可自由决定是否透露个人信息。换言之，用户要想享受此类服务，就得提供个人信息作交换。

② 查询公用记录

通常是到一些公共网站查询公用记录，从中获取个人信息，然后经过分析比较、整理归类，形成所需信息。许多政府机构或社会团体为了公益的目的，会开设公共网站，存储个人数据，同时允许公众访问。政府信息化建设也使政府将公民的部分登记档案电子化，以备公众查询。公共网站对于来访大多不作限制，且提供的个人数据是经过系统的调查取得，可靠性较高，因此，极易成为个人数据的原始来源地，从而成为别有用心者的利用工具。

除了技术的手段，让我们的信息可能会泄露出去，还有一个原因是用户自身的隐私保护意识不强。受到传统文化的影响，我们对隐私的重视程度不够高，尽管近几年用户隐私泄露事件频发，但是，是不是我们的“纵容”，让侵犯隐私的套路越来越多？对比不久前Facebook发生的大规模泄密事件，截止4月14日，已有9%的用户卸载了Facebook软件并注销账户。超过35%的用户表示将会减少Facebook的使用频率，在未来新的社交软件推出后可能就会转移阵地。对美国用户而言，被侵犯隐私和数据是一件非常重要的事。

一些国家保护用户隐私的方式

(一)欧盟模式

以欧盟为代表的是对于个人在网络生活中的信息资料和网络经营者的责任予以规范的立法模式。这种模式的基本做法是:从法律上确立网络个人隐私保护的各项基本原则与各项具体的法律规定，并建立相应的司法或行政救济措施，使得网络服务商承担法律上保护个人隐私的义务。在这种模式之下，通常是通过法律的具体规定对网络服务提供商在网上搜集个人隐私的各种行为提出一定的限制，使其在网上搜集个人隐私材料的行为更加规范、更加透明，使互联网中的个人隐私更好地得到保护。

欧盟对于网络个人隐私权保护的最为重要的文件是 1998 年 10 月生效的《个人数据保护指令》，它几乎包括了所有关于个人数据处理方面的规定。

(二)美国模式

美国模式是以行业自律为主，分散立法为辅。美国是计算机技术和互联网服务最为发达的国家，这与美国在互联网上一贯奉行的政策有很密切的联系。在对待互联网以及相关产业方面，美国为了鼓励和促进网络产业的发展，一直对互联网服务提供商和其它与这一产业有关的各方实行比较宽松的政策。

其实美国是最早研究隐私权的国家。1974年正式制定《隐私权法》，这部法律可视为美国隐私保护的基本法，它规定了美国联邦政府机构收集和使用个人资料的权限范围，并规定不得在未经他人同意的情况下使用任何有关他人的资料。

我国应吸取哪些经验教训？

立法为主：由于长期以来我国对个人隐私权的保护重视程度不够，这是传统法律文化的历史积淀，不是短时间内可以改变的。目前我国没有单独的网络个人隐私权保护的立法，大多数是涉及网络管理的行政规章。因此我国可以研究分析欧盟国家制定的法律后，再根据我国的国情制定适合的网络个人隐私权法。

自律为辅：网络空间大、信息广、传输快的特点与法律的滞后性都加深了行业自律的必然性，行业自律可以根据最新出现的问题做出迅速的反应。保护网民的个人隐私可以提高企业的信用评价，对企业的发展起到积极的作用。此次外卖泄露用户隐私事件应该为外卖行业的两大巨头敲响警钟，必须将承担企业责任视为企业良性运营和市场规范的一部分。

总结

技术的进步必将带来时代的变革，影响人们思考方式和行为方式，只有行业从业者加强行业自律、承担社会责任，技术对于时代的作用才能以最优的方式发挥出来，否则就会损害人类自身的利益。

正如凯文·凯利在《科技想要什么》中指出：从宏观意义上说，技术元素正沿着它的必然进程前行。而在微观层面，意志决定一切。我们的选择将是与它一起进入同样的轨道，为所有人与事物增加选择的机会，并且给科技的具体形态赋予优雅和美丽。