吕某说,他的上家是福建的,不知道真实姓名,只有QQ上的名字,他在百度贴吧上找到收料、收快递信息的帖子,然后加为好友。
吕某做过两个月快递员,知道如何在快递公司系统内查询个人信息,现在有了这样一个销售渠道,吕某就动员了几个同样无所事事的年轻人,以刷单或者跟踪邮件动态的名义,以每天租金500元的高价,先后租来五个快递公司员工的登录账号,从快递公司系统内窃取公民个人信息。
吕某把窃取来的公民信息打包卖给他的上线,再由上线直接卖给境外诈骗团伙,对于这个上线,警方还在继续侦查追捕当中。但是,仅就这个案件来说,以吕某为首的几个无所事事的年轻人,也不是什么电脑黑客或者高手,怎么就轻易盗取了快递公司系统内的个人信息呢?
中国科学院大学教授荆继武说:“一般情况下,信息泄露跟单位和平台管理个人信息的制度、技术手段、规则以及员工的教育都有关系,很多大量信息是从管理者、员工或者信息系统泄露出来的。”
吕某案件的侦破,对一些快递公司来说,应当敲响警钟。首先是对内部员工的教育和监管。一些快递员被每天500元的额外收入所诱惑,就轻易把自己的登录账号给了陌生人使用。
作为一名快递员,他所负责和管理的,应该是自己寄送快递的社区信息,可是此案中一个普通快递员的系统登录账号,只要稍作手脚,就可以查询到系统内全国各地公民的快递信息。
荆继武说:“根据相关法律来判断,比如说规定收集的信息不能太多,只能收集必要的信息,按照道理是最小信息原则。作为快递员能访问的信息应该是有限的,不能给他巨大的权力访问所有人的信息,这是平台的责任,而且必要的时候有些信息应该要隐藏,都是XXXX的,或者电话号码都是隐蔽的。”
河北邯郸市公安局反诈中心张津金说:“以公安方面为例,一是通过数字证书等等,每个人开通账户权限,定期检查后台登录日志,确保数据没有泄露、不存在泄露的嫌疑,即使之后出现了异常行为可以立即进行倒查。”
对于企业来说,除了对储存海量个人信息的系统数据应该严加管理,对于数据之外的实体单据,同样应该防范信息泄露隐患。在邯郸市永年区,记者随便找到一个垃圾回收站,这里到处都是快递邮件废弃的外包装箱。很多快递公司的标签上,都清晰地打印着收件人姓名、住址、电话号码,没有任何的保护措施。说明在快递公司系统后台,对这些个人信息也没有做保护处理。
公民个人信息既包括姓名、身份证号、手机号、住址等静态信息,也包括征信、定位、行踪轨迹、住宿、房屋产权等等很多动态信息。越来越多的个人信息被越来越多的单位、企业所使用,如果缺少了技术上、管理上的制度和措施,都可能因为信息泄露给公民个人造成难以挽回的损失。
刘先生和张女士分别是在今年的1月和2月被电信诈骗团伙所欺骗,可是同样的案件,早在去年10月已经出现,不断有人上当受骗。
掌握和使用公民个人信息,就要对个人信息的保护担起相应的责任。前不久,全国人大法工委发布了《个人信息保护法(草案)》,草案大幅提高了个人信息违法成本。企业出现违法行为可对其处以5000万元以下或者上一年度营业额5%以下的罚款,并可责令暂停相关业务、停业整顿、吊销相关业务许可证或营业执照,同时要对直接责任人员处10万元以上100万元以下的罚款。而另一方面,我们每一个人也应该对自己的个人信息提高保护意识。
河北邯郸市永年区公安局副局长杨庆社说:“尽量不要把自己的信息,像是身份证、电话透露给陌生人,收到快递公司的货物,一定要把自己的姓名、手机号、家庭地址、二维码和条形码撕掉了之后再把外包装扔掉,不要随意透露出去,给自己造成不必要的麻烦。”