最近，不少微博用戶訴苦稱，網(wǎng)上超市1號(hào)店賬戶余額被盜刷，更有上海媒體曝出90萬份1號(hào)店賬號(hào)在網(wǎng)上販賣，電子信息安全問題再次引發(fā)質(zhì)疑。好在，《個(gè)人信息保護(hù)指南》即將出臺(tái)，目前網(wǎng)友所關(guān)注的信息泄露問題，或許有解。

　　90萬份賬號(hào)被販賣

　　6月上旬，微博用戶Susu_sj爆料稱，6月11日自己在1號(hào)店的退款余額被陌生人提現(xiàn)，損失100元左右，綁定手機(jī)號(hào)碼被修改。Susu_sj 還貼出了1號(hào)店發(fā)出的提現(xiàn)和賬戶存在異常的郵件截屏圖。

　　隨后，記者在微博上查到了更多與Susu_sj有著同樣或相似遭遇的1號(hào)店用戶，賬戶余額被盜刷、接到“工作人員”打來的中獎(jiǎng)喜訊、收到貨到付款的包裹，1號(hào)店用戶信息被盜者遭遇各種煩惱。

　　最近，1號(hào)店市場(chǎng)部工作人員鄒小姐在接受采訪時(shí)坦承，1號(hào)店已關(guān)注到用戶信息泄露的情況，并已向公安機(jī)關(guān)報(bào)案，信息泄露的具體情況不方便透露。5月25日，1號(hào)店官網(wǎng)曾發(fā)表的一份提醒用戶注意信息安全的“防詐騙安全提示”公告。

　　近期，微博網(wǎng)友“挨踢客”曾爆料稱，有人向其兜售1號(hào)店的賬戶資料，稱有90萬份的用戶資料只賣500元，該資料中包括了1號(hào)店用戶賬號(hào)、密碼、手機(jī)等信息。記者通過微博聯(lián)系了“挨踢客”，獲取了兜售信息人的聯(lián)系方式，但其QQ號(hào)碼已設(shè)置為拒絕添加好友。根據(jù)之前上海媒體已證實(shí)并公開報(bào)道，此兜售人提供的90萬用戶資料，大部分?jǐn)?shù)據(jù)屬實(shí)。

　　“數(shù)據(jù)販子手上的數(shù)據(jù)說是90萬，但我估計(jì)應(yīng)該不止這個(gè)數(shù)，因?yàn)?月份有人在1號(hào)店買東西時(shí)的賬號(hào)也泄露了。而且，最近很多用戶的賬號(hào)被盜，余額被人提走。”“挨踢客”在微博上接受記者采訪時(shí)稱。

　　成立于2008年7月的“1號(hào)店”，是國(guó)內(nèi)電子商務(wù)行業(yè)“網(wǎng)上超市”的企業(yè)之一。根據(jù)其官方數(shù)據(jù)顯示，2012年3月，1號(hào)店注冊(cè)會(huì)員已達(dá)2000萬。如果90萬用戶資料被泄露的消息屬實(shí)，則此次事件涉及到1號(hào)店4.5%的會(huì)員，意味著每1000名會(huì)員中約有45人牽扯其中。

　　誰動(dòng)了你的賬戶

　　為數(shù)眾多的用戶信息是如何被泄露出去的？1號(hào)店稱，原因與去年社區(qū)網(wǎng)站集體泄密事件有關(guān)，業(yè)內(nèi)人士則認(rèn)為，賬戶泄密有多種可能性，具體原因需等待警方認(rèn)定。

　　“我們內(nèi)部調(diào)查發(fā)現(xiàn)，去年一些社區(qū)網(wǎng)站賬戶泄密事件，波及到少量的1號(hào)店顧客。” 在回應(yīng)信息是如何泄露時(shí)鄒小姐稱。

　　去年12月，國(guó)內(nèi)知名IT社區(qū)CSDN、天涯社區(qū)等先后發(fā)布公告稱，因遭到黑客攻擊，多家網(wǎng)站的部分?jǐn)?shù)據(jù)庫外泄，懇請(qǐng)用戶修改天涯社區(qū)賬戶密碼。

　　今年三月，京東商城、當(dāng)當(dāng)網(wǎng)先后曝出賬戶被盜的情況，更有部分釣魚網(wǎng)站公開出賣用戶數(shù)據(jù)。此次1號(hào)店用戶數(shù)據(jù)泄露事件，再次挑起了公眾對(duì)電商數(shù)據(jù)安全的質(zhì)疑。

　　知名IT法律人士趙占領(lǐng)在電話采訪中告訴記者，目前公安機(jī)關(guān)仍在調(diào)查此次1號(hào)店泄密事件，泄密原因尚不能完全確定。“挨踢客”在采訪中也向記者分析道，“泄露的方式無非是有幾種渠道，比如：網(wǎng)站本身出賣信息，或者員工偷賣信息，或者被黑客攻擊。”

　　某不愿透露姓名的業(yè)內(nèi)人士，在解釋電商用戶信息泄露的問題時(shí)分析稱，快速發(fā)展的電商，精力往往不會(huì)放在用戶數(shù)據(jù)安全上，敏捷開發(fā)、敏捷發(fā)布的程序，在流程中隱藏了很多漏洞，發(fā)現(xiàn)BUG（電腦系統(tǒng)或程序缺陷），也不會(huì)隨便下線。加上不相關(guān)人員擁有核心數(shù)據(jù)權(quán)限、系統(tǒng)架構(gòu)問題等，種種原因?qū)е铝擞脩粜畔��?shù)據(jù)的不安全。

　　1號(hào)店工作人員鄒小姐在郵件采訪中則向記者強(qiáng)調(diào)，“1號(hào)店非常重視信息安全，并有非常嚴(yán)密的防范措施，我們會(huì)全力保護(hù)顧客賬戶信息安全。”

　　縱深

　　信息泄露 電商平臺(tái)有過錯(cuò)嗎？

　　陷入輿論漩渦的1號(hào)店，在用戶信息泄密事件中有過錯(cuò)嗎？

　　最近，重慶大學(xué)電子商務(wù)與營(yíng)銷教授邵兵家在電話中稱，“用戶在注冊(cè)網(wǎng)站時(shí)，就相當(dāng)于與電商網(wǎng)站簽訂了‘協(xié)議’。網(wǎng)站有義務(wù)為用戶保障信息和財(cái)產(chǎn)安全。沒有盡到這些義務(wù)導(dǎo)致用戶注冊(cè)賬戶被盜，應(yīng)該承擔(dān)違約責(zé)任。”

　　知名IT法律人士趙占領(lǐng)也在最近的電話采訪中告訴記者，用戶與網(wǎng)站建立服務(wù)合同關(guān)系后，網(wǎng)站有義務(wù)保障用戶賬號(hào)本身安全和賬戶內(nèi)資金安全的雙重義務(wù)，注冊(cè)賬戶內(nèi)的資金需要采取更加嚴(yán)格的安全措施，比如手機(jī)綁定驗(yàn)證，資金提取原路返回，否則需要進(jìn)一步的驗(yàn)證等等。

　　微博上，多數(shù)被盜用戶也認(rèn)為，1號(hào)店提現(xiàn)流程有漏洞、系統(tǒng)設(shè)置存在風(fēng)險(xiǎn)，才導(dǎo)致了自己的信息被盜，1號(hào)店要承擔(dān)相應(yīng)責(zé)任。

　　那么具體責(zé)任該如何認(rèn)定？趙占領(lǐng)稱，判定網(wǎng)站是否有過錯(cuò)有兩種方式，一種是被盜用戶起訴，那么網(wǎng)站有義務(wù)舉證證明自己沒有過錯(cuò)，所需證據(jù)包括，是否對(duì)用戶信息做加密處理、防護(hù)墻設(shè)置、安全等級(jí)是否符合法律規(guī)定等。另一種是公安機(jī)關(guān)調(diào)查、判定網(wǎng)站的信息安全等級(jí)是否達(dá)到要求。“去年CSDN泄密事件中，北京公安機(jī)關(guān)最終認(rèn)定運(yùn)營(yíng)公司安全等級(jí)不夠，對(duì)之做出了行政警告的處罰。”

　　“此外，在用戶信息泄露后，是否及時(shí)提醒用戶修改密碼，保護(hù)賬戶安全，也可以判定網(wǎng)站是否有過失。”趙占領(lǐng)稱。記者在微博上采訪多位爆料人時(shí)了解到，1號(hào)店并沒有通知自己賬戶可能存在風(fēng)險(xiǎn)，余額被盜后才知道1號(hào)店賬戶被盜的事情。

　　相關(guān)

　　《個(gè)人信息保護(hù)指南》即將出臺(tái)

　　“在互聯(lián)網(wǎng)時(shí)代，代表個(gè)人信息的數(shù)據(jù)，意味著日益龐大的商業(yè)價(jià)值。”趙占領(lǐng)稱。隨著電子商務(wù)的快速發(fā)展，如何保障消費(fèi)者的“電子錢包”安全，使得信息安全立法日益迫切。

　　“按照《刑法》規(guī)定，非法竊取和出售個(gè)人信息的行為是犯罪�！肚謾�(quán)責(zé)任法》規(guī)定的民事權(quán)益范圍中包括了隱私權(quán)。但是在法律上，對(duì)個(gè)人信息并沒有界定范圍，沒有一個(gè)標(biāo)準(zhǔn)。《信息安全等級(jí)保護(hù)管理辦法》中，對(duì)于網(wǎng)站采取的信息安全等級(jí)也沒有明確規(guī)定。對(duì)不能保障個(gè)人信息安全的企業(yè)，處罰力度也比較小。”趙占領(lǐng)向記者稱。

　　據(jù)介紹，目前在歐洲、美國(guó)等地，個(gè)人信息立法比較完善，部分國(guó)家還會(huì)有專門的行政部門，處理個(gè)人信息保護(hù)工作。

　　最近，中國(guó)軟件評(píng)測(cè)中心信息安全研究部副總經(jīng)理劉陶在電話中告訴記者，從2010年開始，由工信部直屬的中國(guó)軟件評(píng)測(cè)中心及30多家單位起草的《信息安全技術(shù)、公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》，已經(jīng)通過了程序評(píng)審，正式報(bào)國(guó)標(biāo)委審批，有望近期出臺(tái)。

　　“《個(gè)人信息保護(hù)指南》中，明確規(guī)定了個(gè)人信息的范圍，例如姓名加身份證號(hào)、實(shí)名制的手機(jī)號(hào)碼、個(gè)人通訊地址等。在網(wǎng)站收集用戶個(gè)人信息時(shí)，要獲得用戶的明確同意，且只能用于網(wǎng)站自身提供的業(yè)務(wù)范圍，不得向第三方轉(zhuǎn)讓。”劉陶稱，對(duì)包括收集、加工、轉(zhuǎn)移和刪除四個(gè)主要環(huán)節(jié)的個(gè)人信息處理，都給出了規(guī)范，還提出了個(gè)人信息保護(hù)的原則。

　　“但是《個(gè)人信息保護(hù)指南》屬于推薦實(shí)施或指導(dǎo)性文件，在法律上并沒有強(qiáng)制實(shí)施的法律效力。即使通過了有關(guān)部門的審批，也不能對(duì)電商企業(yè)產(chǎn)生實(shí)質(zhì)性的約束作用。”趙占領(lǐng)稱。 本組稿件由見習(xí)記者田曉燕采寫