最近，不少微博用戶訴苦稱，網(wǎng)上超市1號店賬戶余額被盜刷，更有上海媒體曝出90萬份1號店賬號在網(wǎng)上販賣，電子信息安全問題再次引發(fā)質(zhì)疑。好在，《個人信息保護指南》即將出臺，目前網(wǎng)友所關(guān)注的信息泄露問題，或許有解。

　　90萬份賬號被販賣

　　6月上旬，微博用戶Susu_sj爆料稱，6月11日自己在1號店的退款余額被陌生人提現(xiàn)，損失100元左右，綁定手機號碼被修改。Susu_sj 還貼出了1號店發(fā)出的提現(xiàn)和賬戶存在異常的郵件截屏圖。

　　隨后，記者在微博上查到了更多與Susu_sj有著同樣或相似遭遇的1號店用戶，賬戶余額被盜刷、接到“工作人員”打來的中獎喜訊、收到貨到付款的包裹，1號店用戶信息被盜者遭遇各種煩惱。

　　最近，1號店市場部工作人員鄒小姐在接受采訪時坦承，1號店已關(guān)注到用戶信息泄露的情況，并已向公安機關(guān)報案，信息泄露的具體情況不方便透露。5月25日，1號店官網(wǎng)曾發(fā)表的一份提醒用戶注意信息安全的“防詐騙安全提示”公告。

　　近期，微博網(wǎng)友“挨踢客”曾爆料稱，有人向其兜售1號店的賬戶資料，稱有90萬份的用戶資料只賣500元，該資料中包括了1號店用戶賬號、密碼、手機等信息。記者通過微博聯(lián)系了“挨踢客”，獲取了兜售信息人的聯(lián)系方式，但其QQ號碼已設置為拒絕添加好友。根據(jù)之前上海媒體已證實并公開報道，此兜售人提供的90萬用戶資料，大部分數(shù)據(jù)屬實。

　　“數(shù)據(jù)販子手上的數(shù)據(jù)說是90萬，但我估計應該不止這個數(shù)，因為3月份有人在1號店買東西時的賬號也泄露了。而且，最近很多用戶的賬號被盜，余額被人提走。”“挨踢客”在微博上接受記者采訪時稱。

　　成立于2008年7月的“1號店”，是國內(nèi)電子商務行業(yè)“網(wǎng)上超市”的企業(yè)之一。根據(jù)其官方數(shù)據(jù)顯示，2012年3月，1號店注冊會員已達2000萬。如果90萬用戶資料被泄露的消息屬實，則此次事件涉及到1號店4.5%的會員，意味著每1000名會員中約有45人牽扯其中。

　　誰動了你的賬戶

　　為數(shù)眾多的用戶信息是如何被泄露出去的？1號店稱，原因與去年社區(qū)網(wǎng)站集體泄密事件有關(guān)，業(yè)內(nèi)人士則認為，賬戶泄密有多種可能性，具體原因需等待警方認定。

　　“我們內(nèi)部調(diào)查發(fā)現(xiàn)，去年一些社區(qū)網(wǎng)站賬戶泄密事件，波及到少量的1號店顧客。” 在回應信息是如何泄露時鄒小姐稱。

　　去年12月，國內(nèi)知名IT社區(qū)CSDN、天涯社區(qū)等先后發(fā)布公告稱，因遭到黑客攻擊，多家網(wǎng)站的部分數(shù)據(jù)庫外泄，懇請用戶修改天涯社區(qū)賬戶密碼。

　　今年三月，京東商城、當當網(wǎng)先后曝出賬戶被盜的情況，更有部分釣魚網(wǎng)站公開出賣用戶數(shù)據(jù)。此次1號店用戶數(shù)據(jù)泄露事件，再次挑起了公眾對電商數(shù)據(jù)安全的質(zhì)疑。

　　知名IT法律人士趙占領(lǐng)在電話采訪中告訴記者，目前公安機關(guān)仍在調(diào)查此次1號店泄密事件，泄密原因尚不能完全確定。“挨踢客”在采訪中也向記者分析道，“泄露的方式無非是有幾種渠道，比如：網(wǎng)站本身出賣信息，或者員工偷賣信息，或者被黑客攻擊。”

　　某不愿透露姓名的業(yè)內(nèi)人士，在解釋電商用戶信息泄露的問題時分析稱，快速發(fā)展的電商，精力往往不會放在用戶數(shù)據(jù)安全上，敏捷開發(fā)、敏捷發(fā)布的程序，在流程中隱藏了很多漏洞，發(fā)現(xiàn)BUG（電腦系統(tǒng)或程序缺陷），也不會隨便下線。加上不相關(guān)人員擁有核心數(shù)據(jù)權(quán)限、系統(tǒng)架構(gòu)問題等，種種原因?qū)е铝擞脩粜畔��?shù)據(jù)的不安全。

　　1號店工作人員鄒小姐在郵件采訪中則向記者強調(diào)，“1號店非常重視信息安全，并有非常嚴密的防范措施，我們會全力保護顧客賬戶信息安全。”

　　縱深

　　信息泄露 電商平臺有過錯嗎？

　　陷入輿論漩渦的1號店，在用戶信息泄密事件中有過錯嗎？

　　最近，重慶大學電子商務與營銷教授邵兵家在電話中稱，“用戶在注冊網(wǎng)站時，就相當于與電商網(wǎng)站簽訂了‘協(xié)議’。網(wǎng)站有義務為用戶保障信息和財產(chǎn)安全。沒有盡到這些義務導致用戶注冊賬戶被盜，應該承擔違約責任。”

　　知名IT法律人士趙占領(lǐng)也在最近的電話采訪中告訴記者，用戶與網(wǎng)站建立服務合同關(guān)系后，網(wǎng)站有義務保障用戶賬號本身安全和賬戶內(nèi)資金安全的雙重義務，注冊賬戶內(nèi)的資金需要采取更加嚴格的安全措施，比如手機綁定驗證，資金提取原路返回，否則需要進一步的驗證等等。

　　微博上，多數(shù)被盜用戶也認為，1號店提現(xiàn)流程有漏洞、系統(tǒng)設置存在風險，才導致了自己的信息被盜，1號店要承擔相應責任。

　　那么具體責任該如何認定？趙占領(lǐng)稱，判定網(wǎng)站是否有過錯有兩種方式，一種是被盜用戶起訴，那么網(wǎng)站有義務舉證證明自己沒有過錯，所需證據(jù)包括，是否對用戶信息做加密處理、防護墻設置、安全等級是否符合法律規(guī)定等。另一種是公安機關(guān)調(diào)查、判定網(wǎng)站的信息安全等級是否達到要求。“去年CSDN泄密事件中，北京公安機關(guān)最終認定運營公司安全等級不夠，對之做出了行政警告的處罰。”

　　“此外，在用戶信息泄露后，是否及時提醒用戶修改密碼，保護賬戶安全，也可以判定網(wǎng)站是否有過失。”趙占領(lǐng)稱。記者在微博上采訪多位爆料人時了解到，1號店并沒有通知自己賬戶可能存在風險，余額被盜后才知道1號店賬戶被盜的事情。

　　相關(guān)

　　《個人信息保護指南》即將出臺

　　“在互聯(lián)網(wǎng)時代，代表個人信息的數(shù)據(jù)，意味著日益龐大的商業(yè)價值。”趙占領(lǐng)稱。隨著電子商務的快速發(fā)展，如何保障消費者的“電子錢包”安全，使得信息安全立法日益迫切。

　　“按照《刑法》規(guī)定，非法竊取和出售個人信息的行為是犯罪�！肚謾�(quán)責任法》規(guī)定的民事權(quán)益范圍中包括了隱私權(quán)。但是在法律上，對個人信息并沒有界定范圍，沒有一個標準。《信息安全等級保護管理辦法》中，對于網(wǎng)站采取的信息安全等級也沒有明確規(guī)定。對不能保障個人信息安全的企業(yè)，處罰力度也比較小。”趙占領(lǐng)向記者稱。

　　據(jù)介紹，目前在歐洲、美國等地，個人信息立法比較完善，部分國家還會有專門的行政部門，處理個人信息保護工作。

　　最近，中國軟件評測中心信息安全研究部副總經(jīng)理劉陶在電話中告訴記者，從2010年開始，由工信部直屬的中國軟件評測中心及30多家單位起草的《信息安全技術(shù)、公共及商用服務信息系統(tǒng)個人信息保護指南》，已經(jīng)通過了程序評審，正式報國標委審批，有望近期出臺。

　　“《個人信息保護指南》中，明確規(guī)定了個人信息的范圍，例如姓名加身份證號、實名制的手機號碼、個人通訊地址等。在網(wǎng)站收集用戶個人信息時，要獲得用戶的明確同意，且只能用于網(wǎng)站自身提供的業(yè)務范圍，不得向第三方轉(zhuǎn)讓。”劉陶稱，對包括收集、加工、轉(zhuǎn)移和刪除四個主要環(huán)節(jié)的個人信息處理，都給出了規(guī)范，還提出了個人信息保護的原則。

　　“但是《個人信息保護指南》屬于推薦實施或指導性文件，在法律上并沒有強制實施的法律效力。即使通過了有關(guān)部門的審批，也不能對電商企業(yè)產(chǎn)生實質(zhì)性的約束作用。”趙占領(lǐng)稱。 本組稿件由見習記者田曉燕采寫