天猫等网购订单信息泄露 顾客遭骗谁担责?
网购因其便捷已经成为日常生活最常见的行为,但“飞一般”购物体验背后是个人订单信息泄露所带来的骚扰甚至是钱财损失。据研究机构日前发布的一项报告显示,包含购物记录的行为信息泄露几率要大于实名信息。骗子常用“退款”的理由在消费者网购后实行精准诈骗,不少网购达人因为骗子能清楚地说出网购订单信息而中招,部分购物行为还不是发生在小店,而是拥有百万粉丝的官方旗舰店,大电商平台上的大企业却止不住个人信息泄露的痛。
由于网购从消费者下单、商家收到订单并安排发货,货品通过第三方物流到消费者手上中需经过多方的信息流转,消费者在追查订单信息泄露时常遭遇商家、平台“踢皮球”,双方均不承认信息泄露,那么,因网购订单信息泄露而遭遇诈骗到底谁该担责?消费者又有哪些可以维权的途径?
案例
骗子对订单信息 一清二楚
广州的刘小姐在ZARA天猫店买了一件衣服,将近一个月后,她接到自称是ZARA工作人员的电话,该“工作人员”告诉刘小姐她买的衣服在近期需要召回,并将退回原有款项。“他能清楚地说出我的订单信息,包括货号、姓名、还有联系电话。”刘小姐表示当时听了并未怀疑这是诈骗。接着,该“工作人员”以过了天猫平台七天无理由退货为理由,提出通过第三方平台进行退款操作,上传自己的退货地址。刘小姐绑定了一个名为“招联好期贷”的微信公众号,该公号的认证账号主体为招联消费金融有限公司,招联消费金融有限公司是招商银行与中国联通携手创办的互联网消费金融企业。
注册完成后,刘小姐对该“工作人员”所说“甲醛超标”的召回理由起了疑心,没有再搭理所谓的工作人员,不料后面却遭遇十几通电话轰炸,甚至有短信威胁她说绑定该贷款平台会产生高额利息,要求刘小姐配合完成“退款”。“虽然并未遭遇实际上的财务损害,但后怕的是,此次泄露的订单是在正规的ZARA天猫旗舰店下的,ZARA是大企业,不是淘宝上的小店,而且买的人又多,觉得不太有安全感。”
记者后查询公开资料发现,已有骗子利用借贷平台升级骗术,已有多人上当,多地警方发布了消费提醒。据张家港公安通报,这种行骗手法的套路首先是骗子告知消费者有笔订单要办理退款,并且订单将退回第三方平台机构(贷款机构),接下来要求消费者在贷款平台开通账户,退款以额度的形式退还到借贷平台账号,后骗子会以多退了钱为由让消费者退回额度,相当于自己贷款给骗子花。
另据央广网经济之声报道,深圳的刘女士在京东商城网购已经有好几年了,几天前,她在京东商城的哥弟时尚旗舰店买了一件毛衣。下完订单后没多久,就接到了一个自称是哥弟客服人员的人打来的电话,告诉她订单出现了问题,并且让她加一个QQ,通过QQ给她发了一个网页链接,这个链接打开后和京东商城的退款页面一模一样。刘女士按照骗子的提示输入自己的银行账户信息,又稀里糊涂被骗了交易验证码,一步一步走进了骗子的圈套。
刘女士回忆,当时她正在上班,特别忙,所以没有仔细看骗子发给她的退款页面,当时,骗子提示她输入了身份证号、银行卡号,网页上还有一栏让输入验证码,而且验证码总是超时,要输入多次。但实际上,每次的验证码都是有效的,骗子就是在这个过程中盗刷了刘女士的银行卡,两张银行卡共被盗刷8.6万元。
刘女士认为,自己已经有了好几年网购经验,从来没遇到过这样的事情,这次被骗,有一个重要前提,就是骗子得知她所有的订单信息,而且完全准确,让她一下子放松了警惕。
回应
商家、平台均否认订单泄露
以上两个案例都有一个共同特点,骗子掌握了买家订单的所有信息,让身经百战的网购达人们放松了警惕。刘小姐就订单泄露的问题和ZARA客服沟通,ZARA客服方面表示商家绝对不会泄露买家信息,是有人冒用ZARA的名义窃取信息,表示可以为刘小姐进行登记并进行内部调查,然而将近一周刘小姐还未收到任何回复。目前ZARA天猫旗舰店已经拥有超过840万粉丝。
天猫方面回复记者采访时表示,订单信息的泄露路径确实很复杂,网络购物从消费者下单、商家收到订单并安排发货,货品通过第三方物流到消费者手上全链路中需经过多方的信息流转,每个环节都要妥善保障安全。此前,深圳前海征信公司信息安全总监戴鹏飞曾梳理网购订单的4大环节,发现有13种信息泄露的可能,包括商家环节的内部倒卖、病毒攻击、信息被监听,用户环节账号被盗,物流环节被“内鬼”倒卖,电商平台环节的内部倒卖、系统漏洞等。
天猫方面否认了订单信息是从平台泄露的可能。据介绍,从阿里巴巴内部,对所有数据进行全生命周期管理,用户信息实行权限分级,权限严格管控,对于网络安全性,阿里巴巴安全部有数十位技术员专职模拟安全攻防,查找漏洞并进行修复。在去年7月阿里安全峰会上,阿里安全“御城河”产品正式对外发布服务,目前已有近高达800万的商家终端在使用受保护的服务商或物流应用,产品覆盖电商生态全链路,包括商家、运营服务商、软件供应商、物流公司等电商生态企业,通过行业领先的风险检测模型,实现数据风险的事前防控、事中检测、事后追溯,保障用户信息的安全。
京东媒介总监也曾公开表示,京东不会发生泄露用户信息的情况。京东为用户提供密码保护、邮箱验证、手机验证、支付密码、数字证书等多级保护措施。但部分用户可能没有升级安全措施,或在其他网站注册过相同信息。京东提醒用户开启安全软件防止电脑木马植入,谨防钓鱼网站,规避弱密码的使用。泄露的最大的可能是消费者在其他社交网站注册信息被不法分子获取,使用“撞库”的方法登录并获取用户购买商品的信息,进而冒充客服人员实施诈骗。近期这种作案手段在各网络服务平台有一定的普遍性。
但网购追求便捷与安全防护之间本身就有矛盾存在。有专家向媒体介绍称,实际操作中,不少电商单纯追求消费体验,简化操作流程,消费者账号、密码、银行信息等都被自动存储于后台,成为一个不容小视的安全缺陷,黑客在利益驱动下,容易从这些地方入手破解密码,偷盗出用户的资料信息甚至账户资金。
法规
保护用户个人信息各有其责
日前,补天平台发布了一份《2016年网站泄漏个人信息形势分析报告》,报告首次对个人信息内容上做了探索性分类,分为账户密码、实名信息、行为记录三类,实名信息包括姓名、身份证信息、银行卡号、家庭成员与住址等;行为记录:如聊天记录,购物记录、差旅信息等。统计显示,去年有超过一半的网站漏洞会导致泄露实名信息和行为信息,分别占58.5%和62.4%(某些漏洞可能同时泄露两类信息),而可能泄露的数量多达42.3亿条和40.1亿条,包含购物记录的行为信息泄露几率要大于实名信息。购物记录涉及敏感的个人数据,他们就可以利用购物信息进行下一步的精准诈骗,让受害者防不胜防。但更糟心的是,不少因为对方能精准报出自己的购物订单信息而落入骗子的圈套的消费者,在追查订单信息被泄露时,商家、电商双方都不承认是自己泄露出去,也无法给出合理的解释。
实际上,去年底十二届全国人大常委会第二十五次会议初次审议的《中华人民共和国电子商务法(草案)》,对公众关心的网购过程中的信息泄露问题提出了具有针对性的规定,明确了包括第三方电商平台、平台内经营者、支付服务提供者、快递物流服务提供者等在内的信息安全保护责任主体。提出对未履行保护义务的,最高处50万元罚款并吊销执照;构成犯罪的,追究刑事责任。
草案在多个章节明确了电商平台、商家、支付、快递等责任主体,商家应当建立健全内部控制制度和技术管理措施,防止信息泄露、丢失、损毁,确保电子商务数据信息安全。在发生或者可能发生用户个人信息泄露、丢失、损毁时,电子商务经营主体应当立即采取补救措施,及时告知用户,并向有关部门报告,而电商平台应对进入第三方平台的经营者信息审查登记、检查监控,提供必要、可靠的交易环境和服务,公开公平公正制定交易规则等,而在2015年“3·15”前正式实施的《侵害消费者权益行为处罚办法》规定,经营者泄露、出售或者非法向他人提供消费者个人信息的,将受到处罚。
“对遇到信息泄露的用户,阿里巴巴全力协助客户查找泄露原因,开通了线上举报通道接受用户举报。”天猫方面建议,用户在网购过程中遭遇个人信息泄露或察觉风险时第一时间通过阿里110举报平台反馈,让平台获取第一手线索,防止信息泄露给客户造成进一步损失。平台上的商家因为数据管理手段落后和互联网防风险意识薄弱被指责“保护不力”,随着“新零售”兴起,较大型的传统企业正在完成线上安全体系,沃尔玛建立自己的技术实验室、屈臣氏以5.4亿投资大数据科技,部分商家有意识地从收集用户数据过渡到巩固和保护用户数据。
消费提醒
提高警惕保护个人信息
网购已经融入人们生活,但实际上危机四伏。经过客服咨询、下单、支付、物流等环节,消费记录不知不觉就落入骗子手中,随着网购陷阱隐蔽性越来越强,往往会利用购物记录进行精准诈骗,消费者除了提高个人信息保护意识外还要知道网购陷阱的套路,见招拆招。
小心二维码传播病毒
骗子注册多个QQ账号/微信号,在空间/朋友圈发布出售低价手机等数码产品的虚假信息。买家根据要求支付后,对方又称系统错误、无法提交,发来二维码要求重新扫描。很多病毒可以利用扫描二维码传播,进入手机后从而盗取用户的信息、钱财。购物时建议保持安全软件开启状态,定时查杀病毒,对不了解的二维码及网址别随意读取。使用支付宝等第三方支付方式,避免直接转账支付;不要贪小便宜,失去判断力。
验证码千万不能提供给他人
骗子从网上买来客户资料,冒充官网客服,虚构系统问题致使支付失败。随后,以退款为由,诱骗买家提供银行卡号、身份证号等信息,或者要求在第三方平台进行退款。随后,骗子利用这些信息在其他网站购买游戏点卡,并以验证退款信息为由诱骗买家提供验证码,套现获利。专业购物网站的退款一般不需买家特殊操作,按照支付方式原路退回到支付账户;验证码可能涉及转账支付,开通快捷支付等,千万不能提供给他人。
不被钓鱼网站套取信息
骗子通过一家真实购物网站发布低价商品,买家拍下商品准备支付时,骗子关闭交易,并诱导买家使用QQ交谈,伺机发送与原购物网站界面一致的虚假链接,骗取买家的支付账户、密码及款项,所以尽量不要使用购物网站以外的沟通或支付方式;注意甄别诈骗网站的域名差别,如相近字母、不同后缀等,多搜索比对、判断真假购物网站。此外,网购时尽力规避弱密码的使用,定时升级网购平台的安全措施。
个人信息泄露的三种维权方式
据国家网信办提示,个人信息遭泄露后,公民可通过以下三种方式维权:
—、按照全国人大常委会《关于加强网络信息保护的决定》,遭遇信息泄露的个人有权立即要求网络服务提供者删除有关信息或者采取其他必要措施予以制止;
二、个人可向公安部门、互联网管理部门、工商部门、消协、行业管理部门和相关机构进行投诉举报。“国家网信办所属的中国互联网违法和不良信息举报中心将专职接受和处置社会公众对互联网违法和不良信息的举报。”中国互联网违法和不良信息举报中心的举报热线为“12377”,网址为www.12377.cn;
三、消费者还可依据《侵权责任法》《消费者权益保护法》等,通过法律手段进一步维护自己的合法权益,如要求侵权人赔礼道歉、消除影响、恢复名誉、赔偿损失等。
网购因其便捷已经成为日常生活最常见的行为,但“飞一般”购物体验背后是个人订单信息泄露所带来的骚扰甚至是钱财损失。据研究机构日前发布的一项报告显示,包含购物记录的行为信息泄露几率要大于实名信息。骗子常用“退款”的理由在消费者网购后实行精准诈骗,不少网购达人因为骗子能清楚地说出网购订单信息而中招,部分购物行为还不是发生在小店,而是拥有百万粉丝的官方旗舰店,大电商平台上的大企业却止不住个人信息泄露的痛。
由于网购从消费者下单、商家收到订单并安排发货,货品通过第三方物流到消费者手上中需经过多方的信息流转,消费者在追查订单信息泄露时常遭遇商家、平台“踢皮球”,双方均不承认信息泄露,那么,因网购订单信息泄露而遭遇诈骗到底谁该担责?消费者又有哪些可以维权的途径?
案例
骗子对订单信息 一清二楚
广州的刘小姐在ZARA天猫店买了一件衣服,将近一个月后,她接到自称是ZARA工作人员的电话,该“工作人员”告诉刘小姐她买的衣服在近期需要召回,并将退回原有款项。“他能清楚地说出我的订单信息,包括货号、姓名、还有联系电话。”刘小姐表示当时听了并未怀疑这是诈骗。接着,该“工作人员”以过了天猫平台七天无理由退货为理由,提出通过第三方平台进行退款操作,上传自己的退货地址。刘小姐绑定了一个名为“招联好期贷”的微信公众号,该公号的认证账号主体为招联消费金融有限公司,招联消费金融有限公司是招商银行与中国联通携手创办的互联网消费金融企业。
注册完成后,刘小姐对该“工作人员”所说“甲醛超标”的召回理由起了疑心,没有再搭理所谓的工作人员,不料后面却遭遇十几通电话轰炸,甚至有短信威胁她说绑定该贷款平台会产生高额利息,要求刘小姐配合完成“退款”。“虽然并未遭遇实际上的财务损害,但后怕的是,此次泄露的订单是在正规的ZARA天猫旗舰店下的,ZARA是大企业,不是淘宝上的小店,而且买的人又多,觉得不太有安全感。”
记者后查询公开资料发现,已有骗子利用借贷平台升级骗术,已有多人上当,多地警方发布了消费提醒。据张家港公安通报,这种行骗手法的套路首先是骗子告知消费者有笔订单要办理退款,并且订单将退回第三方平台机构(贷款机构),接下来要求消费者在贷款平台开通账户,退款以额度的形式退还到借贷平台账号,后骗子会以多退了钱为由让消费者退回额度,相当于自己贷款给骗子花。
另据央广网经济之声报道,深圳的刘女士在京东商城网购已经有好几年了,几天前,她在京东商城的哥弟时尚旗舰店买了一件毛衣。下完订单后没多久,就接到了一个自称是哥弟客服人员的人打来的电话,告诉她订单出现了问题,并且让她加一个QQ,通过QQ给她发了一个网页链接,这个链接打开后和京东商城的退款页面一模一样。刘女士按照骗子的提示输入自己的银行账户信息,又稀里糊涂被骗了交易验证码,一步一步走进了骗子的圈套。
刘女士回忆,当时她正在上班,特别忙,所以没有仔细看骗子发给她的退款页面,当时,骗子提示她输入了身份证号、银行卡号,网页上还有一栏让输入验证码,而且验证码总是超时,要输入多次。但实际上,每次的验证码都是有效的,骗子就是在这个过程中盗刷了刘女士的银行卡,两张银行卡共被盗刷8.6万元。
刘女士认为,自己已经有了好几年网购经验,从来没遇到过这样的事情,这次被骗,有一个重要前提,就是骗子得知她所有的订单信息,而且完全准确,让她一下子放松了警惕。
回应
商家、平台均否认订单泄露
以上两个案例都有一个共同特点,骗子掌握了买家订单的所有信息,让身经百战的网购达人们放松了警惕。刘小姐就订单泄露的问题和ZARA客服沟通,ZARA客服方面表示商家绝对不会泄露买家信息,是有人冒用ZARA的名义窃取信息,表示可以为刘小姐进行登记并进行内部调查,然而将近一周刘小姐还未收到任何回复。目前ZARA天猫旗舰店已经拥有超过840万粉丝。
天猫方面回复记者采访时表示,订单信息的泄露路径确实很复杂,网络购物从消费者下单、商家收到订单并安排发货,货品通过第三方物流到消费者手上全链路中需经过多方的信息流转,每个环节都要妥善保障安全。此前,深圳前海征信公司信息安全总监戴鹏飞曾梳理网购订单的4大环节,发现有13种信息泄露的可能,包括商家环节的内部倒卖、病毒攻击、信息被监听,用户环节账号被盗,物流环节被“内鬼”倒卖,电商平台环节的内部倒卖、系统漏洞等。
天猫方面否认了订单信息是从平台泄露的可能。据介绍,从阿里巴巴内部,对所有数据进行全生命周期管理,用户信息实行权限分级,权限严格管控,对于网络安全性,阿里巴巴安全部有数十位技术员专职模拟安全攻防,查找漏洞并进行修复。在去年7月阿里安全峰会上,阿里安全“御城河”产品正式对外发布服务,目前已有近高达800万的商家终端在使用受保护的服务商或物流应用,产品覆盖电商生态全链路,包括商家、运营服务商、软件供应商、物流公司等电商生态企业,通过行业领先的风险检测模型,实现数据风险的事前防控、事中检测、事后追溯,保障用户信息的安全。
京东媒介总监也曾公开表示,京东不会发生泄露用户信息的情况。京东为用户提供密码保护、邮箱验证、手机验证、支付密码、数字证书等多级保护措施。但部分用户可能没有升级安全措施,或在其他网站注册过相同信息。京东提醒用户开启安全软件防止电脑木马植入,谨防钓鱼网站,规避弱密码的使用。泄露的最大的可能是消费者在其他社交网站注册信息被不法分子获取,使用“撞库”的方法登录并获取用户购买商品的信息,进而冒充客服人员实施诈骗。近期这种作案手段在各网络服务平台有一定的普遍性。
但网购追求便捷与安全防护之间本身就有矛盾存在。有专家向媒体介绍称,实际操作中,不少电商单纯追求消费体验,简化操作流程,消费者账号、密码、银行信息等都被自动存储于后台,成为一个不容小视的安全缺陷,黑客在利益驱动下,容易从这些地方入手破解密码,偷盗出用户的资料信息甚至账户资金。
法规
保护用户个人信息各有其责
日前,补天平台发布了一份《2016年网站泄漏个人信息形势分析报告》,报告首次对个人信息内容上做了探索性分类,分为账户密码、实名信息、行为记录三类,实名信息包括姓名、身份证信息、银行卡号、家庭成员与住址等;行为记录:如聊天记录,购物记录、差旅信息等。统计显示,去年有超过一半的网站漏洞会导致泄露实名信息和行为信息,分别占58.5%和62.4%(某些漏洞可能同时泄露两类信息),而可能泄露的数量多达42.3亿条和40.1亿条,包含购物记录的行为信息泄露几率要大于实名信息。购物记录涉及敏感的个人数据,他们就可以利用购物信息进行下一步的精准诈骗,让受害者防不胜防。但更糟心的是,不少因为对方能精准报出自己的购物订单信息而落入骗子的圈套的消费者,在追查订单信息被泄露时,商家、电商双方都不承认是自己泄露出去,也无法给出合理的解释。
实际上,去年底十二届全国人大常委会第二十五次会议初次审议的《中华人民共和国电子商务法(草案)》,对公众关心的网购过程中的信息泄露问题提出了具有针对性的规定,明确了包括第三方电商平台、平台内经营者、支付服务提供者、快递物流服务提供者等在内的信息安全保护责任主体。提出对未履行保护义务的,最高处50万元罚款并吊销执照;构成犯罪的,追究刑事责任。
草案在多个章节明确了电商平台、商家、支付、快递等责任主体,商家应当建立健全内部控制制度和技术管理措施,防止信息泄露、丢失、损毁,确保电子商务数据信息安全。在发生或者可能发生用户个人信息泄露、丢失、损毁时,电子商务经营主体应当立即采取补救措施,及时告知用户,并向有关部门报告,而电商平台应对进入第三方平台的经营者信息审查登记、检查监控,提供必要、可靠的交易环境和服务,公开公平公正制定交易规则等,而在2015年“3·15”前正式实施的《侵害消费者权益行为处罚办法》规定,经营者泄露、出售或者非法向他人提供消费者个人信息的,将受到处罚。
“对遇到信息泄露的用户,阿里巴巴全力协助客户查找泄露原因,开通了线上举报通道接受用户举报。”天猫方面建议,用户在网购过程中遭遇个人信息泄露或察觉风险时第一时间通过阿里110举报平台反馈,让平台获取第一手线索,防止信息泄露给客户造成进一步损失。平台上的商家因为数据管理手段落后和互联网防风险意识薄弱被指责“保护不力”,随着“新零售”兴起,较大型的传统企业正在完成线上安全体系,沃尔玛建立自己的技术实验室、屈臣氏以5.4亿投资大数据科技,部分商家有意识地从收集用户数据过渡到巩固和保护用户数据。
消费提醒
提高警惕保护个人信息
网购已经融入人们生活,但实际上危机四伏。经过客服咨询、下单、支付、物流等环节,消费记录不知不觉就落入骗子手中,随着网购陷阱隐蔽性越来越强,往往会利用购物记录进行精准诈骗,消费者除了提高个人信息保护意识外还要知道网购陷阱的套路,见招拆招。
小心二维码传播病毒
骗子注册多个QQ账号/微信号,在空间/朋友圈发布出售低价手机等数码产品的虚假信息。买家根据要求支付后,对方又称系统错误、无法提交,发来二维码要求重新扫描。很多病毒可以利用扫描二维码传播,进入手机后从而盗取用户的信息、钱财。购物时建议保持安全软件开启状态,定时查杀病毒,对不了解的二维码及网址别随意读取。使用支付宝等第三方支付方式,避免直接转账支付;不要贪小便宜,失去判断力。
验证码千万不能提供给他人
骗子从网上买来客户资料,冒充官网客服,虚构系统问题致使支付失败。随后,以退款为由,诱骗买家提供银行卡号、身份证号等信息,或者要求在第三方平台进行退款。随后,骗子利用这些信息在其他网站购买游戏点卡,并以验证退款信息为由诱骗买家提供验证码,套现获利。专业购物网站的退款一般不需买家特殊操作,按照支付方式原路退回到支付账户;验证码可能涉及转账支付,开通快捷支付等,千万不能提供给他人。
不被钓鱼网站套取信息
骗子通过一家真实购物网站发布低价商品,买家拍下商品准备支付时,骗子关闭交易,并诱导买家使用QQ交谈,伺机发送与原购物网站界面一致的虚假链接,骗取买家的支付账户、密码及款项,所以尽量不要使用购物网站以外的沟通或支付方式;注意甄别诈骗网站的域名差别,如相近字母、不同后缀等,多搜索比对、判断真假购物网站。此外,网购时尽力规避弱密码的使用,定时升级网购平台的安全措施。
个人信息泄露的三种维权方式
据国家网信办提示,个人信息遭泄露后,公民可通过以下三种方式维权:
—、按照全国人大常委会《关于加强网络信息保护的决定》,遭遇信息泄露的个人有权立即要求网络服务提供者删除有关信息或者采取其他必要措施予以制止;
二、个人可向公安部门、互联网管理部门、工商部门、消协、行业管理部门和相关机构进行投诉举报。“国家网信办所属的中国互联网违法和不良信息举报中心将专职接受和处置社会公众对互联网违法和不良信息的举报。”中国互联网违法和不良信息举报中心的举报热线为“12377”,网址为www.12377.cn;
三、消费者还可依据《侵权责任法》《消费者权益保护法》等,通过法律手段进一步维护自己的合法权益,如要求侵权人赔礼道歉、消除影响、恢复名誉、赔偿损失等。
- 消费品质提升成车市变革核心动能(2024-11-19)
- “摇摇椅”并非“哄娃神器” 使用时应有成人看护(2024-11-12)
- 聚焦进博会|头部车企齐聚进博会 首发首展接连不断(2024-11-12)
- 套餐费用易升难降 携号转网人为设障(2024-11-05)
- 纠正电影票不能退“霸王条款”(2024-10-28)