外卖送餐信息被指在 上售卖

4月14日，陈京宏提供的5000条外卖订餐用户个人信息中，包括酒店等公共场所。文件截图

4月14日，陈京宏发来包括姓名、电话、地址在内的信息表格，共5000条。手机截图

外卖骑手李德发来的一张用户订单。手机截图

络订餐平台美团一位客服人员表示，美团内部对于信息的管理非常严格，但用户订单信息涉及商家、骑手等多个环节，不排除有其它因素导致信息泄露。

有专家表示，商业公司应完善信息管理机制，及时更新信息保护手段，建立深层防护机制。

万条信息售价800元

“今天的数据已经更新，长期出售各种数据”，4月14日下午4点，陈京宏在QQ上推送了一条消息。系统显示这个QQ的好友超过200人。陈京宏称，其中大多是向他买过“数据”的客户。

陈京宏所说的“数据”，是包括电话、地址在内的公民隐私信息。

陈京宏随后发来一份截图，显示大量姓名、联系方式和地址等信息。陈京宏称数据都是“最近三天的”，但无法提取到具体下单日期。

一位地址显示为房山区某五星级酒店某 房的周女士回忆，她在4月13日入住该酒店时，曾使用外卖平台订过餐，但记不清订餐内容和具体商家，“订得太多了。”

陈京宏透露，这些数据每天中午会更新一次，“到晚上肯定能销完”。

软件自动“扒”客户信息

某 络运营公司的工作人员覃华平时的业务是负责帮忙代开（运营）外卖店铺。他同时称，可以想办法搞到成都的某外卖平台订餐客户信息。

为什么只有成都的？覃华表示，自己在其他城市没有代运营的外卖店铺，而这些数据都是从自己代运营的店铺里用软件爬取的。

“姓名、性别、电话、地址，订餐次数都有，但具体能有多少条我要查一下才知道。”覃华说。他给出的 价比之前的卖家贵了几倍，每条5毛钱。覃华随后解释称，可以保证准确率，而且就是这两天的。

4月20日，覃华发来一份显示总计有2605条信息的电脑截图，之后又发来另一份截图，信息数量变为2609。“刚刚又有四个客人订餐，数字随时会涨”，覃华说，“尾数算是送的。”

“一般做店铺运营会买这些信息，转化率很高。” 覃华说，他获取这些信息是通过将自己的软件挂在一些外卖平台的商家后台，从中爬取，“系统不可能发现”。

“如果是商家的信息就更好弄了，全国随便哪个地方，一晚上我能给你搞定一个城市的所有商家信息，包括店主姓名、店名、地址、手机 码。”覃华说。

外卖骑手“出卖”订单

“这些信息可以确保是当天的，而且订单上的所有信息都可以给你，包括从哪家订的餐，订了哪些餐。”李德说。

外卖信息泄露纠纷不断

据媒体 道，去年12月份，柴先生通过“饿了么”点餐平台订了一份外卖，共计31.8元。约10分钟后，一名自称商家的人联系柴先生称，他订的黑椒猪排卖完了，换菜需要补两块钱的差价。“信息很准确，我订单的信息，商家卖的什么餐，一模一样。”柴先生说。随后对方让柴先生 一下支付宝数字以便收取两块钱的差价。在 过数字后，柴先生发现对方已经转走了自己近2000元。商家表示柴先生的餐并没有卖完，给他打电话的也不是店里的工作人员。柴先生怀疑自己的订餐信息被泄露。

此外，今年3月份，哈尔滨李先生在订过一次外卖后，频繁接到陌生人电话询问如何找“小姐”。不胜其扰的李先生最后发现，自己的电话是被一名外卖骑手泄露的，并将其备注为“小姐上门”。

站 友“时光漫步支旅”也曾发帖称，自己给男朋友点了一份美团外卖后，随后被一位陌生人加了微信。对方知道自己的姓名和详细地址，但自己并不认识他。几经追问之下，对方承认信息是送外卖的朋友给的，目的是想帮他脱单。

个人信息仍处“危险期”

络安全专家、白帽汇创始人赵武表示，目前信息泄露不断发生，但相应的技术安全规范和要求仍未出台，公民的个人信息仍处于“危险期”。

对于外卖平台涉嫌泄露客户隐私的问题，赵武分析称，有可能是外卖平台程序存在漏洞，比如API(应用程序编程接口)没有做认证， 络入侵者可以根据订单序列 爬取用户信息。历史上出现过很多起类似案例，例如一些招聘 站的简历大规模泄露等。

第二种可能是跟商家合作的第三方泄露信息。比如有的商家会搞一些积分、返利、赠券等活动，这些活动一般是第三方公司承做。他们在活动中会搜集用户的信息，而本身对数据的保护不如平台严密，因此很容易被入侵。“此前12306 站信息泄露就是这种情况。”赵武说。

赵武介绍，去年6月份我国的《 络安全法》已经正式实施，总的指导要求已经明确，但相应的具体技术安全规范仍未出台，尤其是对商业公司的信息监管没有很具体的要求。

如何防范信息泄露，赵武表示，一方面国家应该尽快出台 络安全保护具体细则，严格立法要求企业对安全事故负责，尤其是跟隐私相关的数据泄露必须有惩罚和赔偿机制，不允许企业增加“黑客攻击导致的数据泄露不承担责任”类似的霸王免责条款。同时，严格管束企业方对数据的利用情况，出一次事，处罚一次。

另一方面，商业公司要及时更新信息保护手段，建立深层防护机制，在做数据分析和使用时，可以先将客户的敏感信息隐去，用虚拟ID代替;再将其隐私信息通过加密的手段做二次防护。

此外赵武表示，商业公司还应完善信息管理机制，“比如技术加密的算法是什么，什么样的人才能接触到用户数据，建立详细的技术标准规范”。

广东中安律师事务所合伙人、深圳仲裁委员会仲裁员潘翔介绍，刑法修正案（七）对侵犯公民个人信息罪进行了立法，规定国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或非法提供给他人，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金。窃取或者以其他方法非法获取上述信息，情节严重的，依照前款的规定处罚。

此外《 络安全法》也明确， 络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门 告。