订个外卖 你的信息可能就被卖了

外卖骑手李德给记者发来的一张用户订单。图片来源：《新京报》 4月14日，陈京宏给记者发来的客户数据。

“骚扰电话太多了，让人心里很不舒服。”北京市民许昕反映，因为在一外卖平台订过一次外卖，他所住的酒店地址、房间号码、联系电话等隐私信息被泄露。而许昕的信息，这只是记者获取的数千条外卖订餐信息中的一条。

用户每订一次外卖，就意味着要将自己的信息上传一次，但这些隐私信息是否足够安全？近日，记者卧底多个“电话销售群”发现，有卖家专门出售外卖订餐客户的信息，每条信息的售价不到0.1元。还有网络运营公司借助软件搜集用户的订餐信息，打包后倒卖给电话销售公司，甚至还有一些外卖骑手也做起了客户信息倒卖的“生意”。

1

万条信息售价800元

“今天的数据已经更新，长期出售各种数据”，4月14日下午4时，陈京宏在QQ上推送了一条消息。系统显示这个QQ的好友超过200人。陈京宏称，其中大多是向他买过数据的“客户”。

陈京宏所说的数据，是包括电话、地址在内的公民隐私信息。

记者在一个“电话销售群”中联系到陈京宏。陈京宏在聊天时透露，自己手上有北京、上海、广州等一线城市来自外卖平台的客户数据，1万条售价800元，5000条起售，“平均每条不到0.1元钱”。

之后，陈京宏给记者发来一份Excel表格，内有5000条信息。记者从表格中随机选取100个电话号码进行验证，其中有效号码61个，33名机主承认表格中的信息准确，并确认自己在近一两个月内，在某外卖平台订过餐。

记者询问陈京宏数据的来源，对方都会有意回避。再三追问下，陈京宏表示，“数据是由系统内部人员提取的，每天更新4万条左右”。

实际上，售卖外卖客户信息的不止陈京宏一个。记者卧底多个“电话销售群”发现，至少有三名卖家称自己有外卖的客户数据。QQ昵称为“彩虹”的卖家称自己有全国范围的数据，每万条价格为600元，除了用户姓名和电话地址外，还包括订餐信息。

记者发现，一些卖家称有美团、饿了么、百度外卖的客户信息，每万条价格从700元到2000元不等。

2

软件自动“扒”客户信息

除了这些直接以卖家的身份售卖信息外，一条更为隐秘的外卖顾客信息获取渠道浮出水面。记者调查发现，一些代理运营外卖店的网络公司也在售卖信息。

某网络运营公司工作人员覃华平时的业务是负责帮忙代开（运营）外卖店铺。他同时称，可以想办法搞到成都的某外卖平台订餐客户信息。

为什么只有成都的？覃华表示，自己在其他城市没有代运营的外卖店铺，而这些数据都是从自己代运营的店铺里用软件扒取的。

4月20日，覃华发来一份显示总计有2605条信息的电脑截图，之后又发来另一份截图，信息数量变为2609。“刚刚又有四个客人订餐，数字随时会涨”，覃华说，“尾数算是送的”。

约半个小时后，记者看到了这份总共2609条的信息清单，其范围更加广泛。通过查筛关键词结果显示，地址显示为酒店的有83条，网吧的有47条，医院的有29条，会所的1条。

记者从酒店中随机抽取54条拨打后发现，除了30条关机或无人接听等无法联系上机主，3条信息不符外，有21名机主确认自己近期用该地址在外卖平台上订过餐。

“一般做店铺运营会买这些信息，转化率很高。”覃华说，他获取这些信息是通过将自己的软件挂在一些外卖平台的商家后台，从中扒取，“系统不可能发现”。

覃华随后给记者发来一份该软件的监控截图，从截图列表中可以看到用户姓名、电话、注册日期、最近消费、储值余额等信息。“2800元可使用一年”，覃华说，但他拒绝透露该软件的名称。

3

外卖骑手“出卖”订单

近日，还有数据卖家发来两份武汉和北京地区的送餐员的信息截图，询问是否需要。记者在随后的调查中发现，作为外卖用户信息的终端接触者，部分送餐员也在利用用户信息牟利。

4月18日，记者通过电话找到外卖骑手李德，询问对方是否可以售卖用户的订餐信息。对方表示可以，但价格稍高，1元一条。

李德说：“这些信息可以确保是当天的，而且订单上的所有信息都可以给你，包括从哪家订的餐，订了哪些餐。”

谈好价格后，李德随即给记者发来了4月18日35名顾客的订餐信息。这些信息分为两种，一种是骑手APP的截图，还有一种是打印的纸质小票。

第二天，李德主动询问记者是否还需要订单信息，并又发来34份外卖的订餐单。其中一份订单显示，北京市朝阳区某小区3期的张女士曾在某沙拉店订过餐。张女士向记者确认，该订单确实是她点的。

记者先后核实20个订单信息，除了3名机主无法确认外，其他机主均表示订单信息真实。

记者就信息泄露情况拨打美团客服电话，一名客服人员表示，美团内部对于信息的管理非常严格，不会泄露用户的隐私。但用户订单信息涉及多个环节，商家和骑手都有用户信息。

4

个人信息仍处“危险期”

网络安全专家、白帽汇创始人赵武表示，目前信息泄露不断发生，但相应的技术安全规范和要求仍未出台，公民的个人信息仍处于“危险期”。

对于外卖平台涉嫌泄露客户隐私的问题，赵武分析称，有可能是外卖平台程序存在漏洞，比如API（应用程序编程接口）没有做认证，网络入侵者可以根据订单序列号扒取用户信息。历史上出现过很多起类似案例，例如一些招聘网站的简历大规模泄露等。

第二种可能是跟商家合作的第三方泄露信息。比如有的商家会搞一些积分、返利、赠券等活动，这些活动一般是第三方公司承做。他们在活动中会搜集用户的信息，而本身对数据的保护不如平台严密，因此很容易被入侵。

赵武介绍，去年6月份，《中华人民共和国网络安全法》已经正式实施，但相应的具体技术安全规范仍未出台，尤其是对商业公司的信息监管没有具体要求。

如何防范信息泄露，赵武表示，一方面国家应该尽快出台网络安全保护具体细则，严格立法要求企业对安全事故负责，尤其是跟隐私相关的数据泄露必须有惩罚和赔偿机制，不允许企业增加“黑客攻击导致的数据泄露不承担责任”类似的霸王免责条款。同时，严格管束企业方对数据的利用情况，出一次事，处罚一次。另一方面，商业公司要及时更新信息保护手段，建立深层防护机制，在做数据分析和使用时，可以先将客户的敏感信息隐去，用虚拟ID代替，再将隐私信息通过加密的手段做二次防护。

赵武还表示，商业公司还应完善信息管理机制，“比如技术加密的算法是什么，什么样的人才能接触到用户数据，建立详细的技术标准规范”。

广东中安律师事务所合伙人、深圳仲裁委员会仲裁员潘翔介绍，刑法修正案（七）对侵犯公民个人信息罪进行了立法，规定国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息出售或非法提供给他人，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金。窃取或者以其他方法非法获取上述信息，情节严重的，依照前款的规定处罚。

（文中许昕、陈京宏、覃华、李德为化名） 

据《新京报》

新闻推荐

探访西南交大牵引动力实验室：比飞机还快的"超级高铁"有望在此诞生

实验室里的超高速磁悬浮列车环形实验线平台。本报记者郝飞摄目前地面载人交通最快速度已经超过600公里/小时。还能否更快？“能！"在西南交通大学牵引动力国家重点实验室，一条测试...

成都新闻，弘扬社会正气。除了新闻，我们还传播幸福和美好！因为热爱所以付出，光阴流水，不变的是成都这个家。