“你好，透明人。”

你知道吗？在黑市40元可以买4G的简历数据，你的快递信息、家庭住址、电话姓名可能只值一块钱。

新京报贝壳财经独家报道，有不法分子与圆通快递的多位内鬼勾结，通过有偿租用原圆通员工系统账号，盗取公民的个人信息，再层层倒卖公民的个人信息。相关事件受到了关注，并冲上热搜。

后续新京报贝壳财经又持续报道了相比于快递数据更为全面和敏感的简历数据也正在黑市被兜售。

那么究竟谁该为40万条被泄露的快递信息负责？公司在其中是“无辜者”的角色吗？信息被泄露会造成多严重的后果？我们该如何拿起法律武器保护自己？新京报贝壳财经记者针对相关问题专访了中国人民大学未来法制研究院副院长丁晓东，中国政法大学知识产权研究中心特约研究员、北京云嘉律师事务所律师赵占领，贯铄企业CEO、快递行业专家赵小敏。

专家表示，一般个人信息被泄露之后，会被卖给或者是分享给一些其他的机构，这些机构做精准分析，分析用户的消费习惯、消费偏好，然后进行精准推荐营销。比如说发一些邮件广告或者是营销短信、营销电话等。还有一种是把个人信息倒卖给其他的倒卖公司，倒卖本身就获利，中间可能有若干个环节去倒卖，还有进行一些违法犯罪活动，造成财产安全的隐患等。

多位专家建议，公司应主动承担责任，监管机构也应该严格执法，用户要从信息收集端开始，提高信息保护意识，同时也应该告知身边的朋友，尤其是父母亲、爷爷奶奶等，可能老年人恰恰容易接诈骗电话从而被骗。

普通员工掌握大量信息存风险，企业安全保障义务履行有瑕疵

新京报：新京报贝壳财经独家调查发现，相关嫌疑人以每日500元的费用租用圆通公司内部员工系统账号窃取的快递信息出卖，涉案金额120余万元，相关人员涉嫌违反哪些法律法规？可能遭受怎样的处罚？

赵占领：圆通公司的内部员工将他的内部账号，租用给外部人员，外部人员再利用账号获取用户的个人信息，是这样的一个过程。这样来看，外部人员是一个主体，还有圆通公司的内部员工，他们的行为都涉嫌侵犯公民的个人信息，属刑事犯罪。

另外，上述行为同时也是一种民事侵权，按照现有的侵权责任法，它是构成侵权的。 同时，明年的1月1日实施的民法典，也将个人信息作为一项单独的人格权予以保护，这样来看上述行为也是一种侵权行为。

新京报：记者在调查过程中发现，申通E物流、顺丰速运、韵达快运、百世汇通、圆通等公司来源的用户个人信息几乎都在黑市被卖，包括带有“前程无忧”和“智联招聘”logo的简历，那么，以此次案件圆通公司为例，作为泄露源头需要在其中承担怎样的责任？

丁晓东：从个人信息保护的角度来说，目前个人信息保护法草案正在进行公开征求意见当中。民法典的第4编第6章第1034条到1039条，也规定了关于信息处理者对个人信息保护的义务。从该角度上来看，圆通公司显然是一个非常典型的信息处理者。用欧盟的概念来讲，就是信息的收集者和控制者、处理者。从我国法律法规处罚来看，圆通无疑要负担起数据安全的问题，以及针对数据一系列的安全保障。从这个角度上来讲，无论是行政执法也好，还是通过司法途径来救济也好，圆通可能都会面临着一个非常大的被处罚的可能性。

赵占领：首先用户通过圆通来寄送快递，那么用户跟圆通公司之间是有一个合同关系的，寄送快递本身是需要提供个人信息的，包括收件人信息还有发件人信息等，这些个人信息是圆通公司依法收集的，最关键就在于它在收集这些个人信息之后，有没有妥善去保管，有没有尽到一个基本的安全保障的义务。

那么从目前披露出来的案件事实可以看出，内部员工把账号租出去，导致用户的信息泄露，实际上就涉及内部员工账号的相关的权限，以及数据的记录，数据的管理是怎样的，有没有漏洞。

如果一个普通的员工内部账号可以掌握那么多用户的信息，而且可以借出，显然这里面的信息安全风险是非常大的。因此圆通公司在这起事件中，我个人认为它在管理方面存在一定的漏洞，安全保障义务的履行是有瑕疵的，需要因此承担对于用户的民事责任以及相关的行政责任。

赵小敏：我们要考虑企业的边界责任在哪里。例如在整个信息泄露案件过程当中，企业究竟是扮演什么样的角色，至于是不是企业主动报案或是被动报案，我们认为对事实结果不会造成很大的影响，最终还是要依据法律规定。

因为对企业来讲，需要考虑的问题是，防控级别有没有达到，安全授权是不是分类管理，在相关安全设施上，安全登记划分上，保密措施条例有没有到位，包括有没有和我们国家的安全部门有信息共享，确保有报警机制可以连通。这些都是公司该考虑的事情。

新京报：相比于快递数据，被泄露的更为全面、敏感的简历数据也正在被兜售。信息贩子称，40元可买超过4G的简历数据。被泄露的信息包括工作经验、出生日期、居住地、手机号、邮箱、学历信息、自我评价、求职意向、工作经验、语言能力、技能信息等，相关人员涉嫌违反哪些法律法规？可能遭受怎样的处罚？相比快递信息泄露程度是不是更严重了？

丁晓东：从法律上来说可以做这样的理解（泄露更严重了），这里的区分非常复杂，涉及隐私保护和个人信息保护的区分。隐私保护一般是针对民事侵权领域，比如说有人泄露了你的个人信息，转卖给了其他人，这个时候涉及隐私侵权。那么在这种情况下的话，适用民法典的第4篇第6章的第1032条到1033条的规定。

当然隐私信息里也会有分类，现在还在争论当中，比如说一般信息和私密信息的一个区分。个人信息保护里也会区分两种情形，所谓的个人信息和个人敏感信息。家庭住址、简历信息等，都会被放入个人敏感信息的框架。

从法律适用上来讲，公民的信息安全受到双重保护，传统的隐私侵权保护，再加上个人信息的保护，那么在简历倒卖和和圆通公司内鬼泄露快递信息这两件事中，上述两种情形都存在。当然还有刑法上的保护。

信息泄露多源自内外勾结，事后监管应出重拳

新京报：能否请你梳理近年有关快递信息泄露等相关案件的发生，一般是如何造成的？目前，在产业链上还存在哪些漏洞值得注意？

赵小敏：我对最近这10多年以来快递物流行业有关泄露信息的情况分类，其中最核心的部分或者说发生最多的就是跟本次案例非常相似的，而且都有一个共同的特点，就是内外共同作案，或者说内外勾结泄露信息的牟利的结果。

第二种就是过去在信息化或者在电子面单没有完全普及的情况下，单纯来售卖客户信息，包括像过往的收集快递面单，甚至是收集一些部分的家庭住址或者你的商品购买的成交的订单等。

第三种就是有商业平台刷单。其中第一种目前来讲是最为普遍的，但第一种反而是最容易解决的。我们认为结合我们国家最近两三年以来出台的相关个人信息保护法律，包括各地方的安全部门，国家邮政局对这一块都是非常重视的，但是我认为在处罚力度方面有待加强。

新京报：快递公司泄露信息问题频现，你认为从产品设计、公司经营、相关规定等方面着手能否杜绝此类问题的发生？你认为，监管部门、公司等产业链上的具体各方该怎么做来保护公民的信息安全？

丁晓东：个人信息泄露是信息保护里最关键的问题，或者说是大家都最不想看到的情况。个人信息保护喊了很久，结果个人信息依然在黑市流通，那么公民个人承受的风险其实是非常大的，可能要从多个角度来去预防。

从事前的角度来看，在信息的收集端以及信息的使用情况下，由企业开始就要做一些合规准备。执法部门方面，比如说邮政监管部门、网信办都应该开始行动。在隐私保护里有一个理念叫做通过设计的隐私（privacy by design ）。

即我们的很多的商业模式、产品，其实是可以更好地保护我们的个人信息的，只要公司愿意做，公司愿意设计。大数据时代的话，一定要对信息进行模糊化处理，那么从产品的设计和商业模式的设计角度来说，有可能会减低信息被泄露的风险。

同样，事中的过程也非常重要。这个信息进入系统之后，公司的端口怎么管理，公司的员工权限怎么管理，不是说随随便便一个员工就能随意收集到、可以泄露多少条信息，而是每一个员工的层级，他们的信息泄露应当是有一个权限收集，而且企业应当要花一些成本，一定是要舍得花这些成本去做很多的内部的隐私设计。

那么还有一个事后的监管，对于敏感信息泄露可能是要有一个相对严重的处罚来以儆效尤。处罚的额度和力度，应当结合信息泄露或者信息安全的风险，以及企业所采取的措施等各种的情形来进行综合性判断。

赵小敏：目前来讲，国家邮政局每个月会发布服务质量排名上面显示的企业，大部分都是像中国邮政、京东物流、顺丰、通达系等企业，现在的数据安全从内控上以及技术上来讲，大部分已经达到了应该说是符合现在的行业标准，甚至有些企业是超过标准的。

问题还是回到快递公司的常态化管理上，快递公司是不是能按照自己设计的手册来做是关键。比如过去的面单上，信息非常丰富，现在很多地址隐藏了，电话号码也隐藏了，但当客户下单的时候，实名制的信息还是存在的，有一个端口汇总。现在最关键是快递公司有一个数据收集平台，收集平台收集完以后是不是跟安全管理平台这两个是合二为一的，这是问题所在，我认为要实行差别化管理。

前台运行的是一个体系，安全级别的又是另一个体系，然后审计监管的是另外的体系。整个快递的安全保护应该至少是一个3至5级的差异化分类管理。现在有些企业是不够的，有些企业只有两级，甚至有些企业是一级。收集的、给权限的、管理的、安全授权的整个是一条线的话，一旦这个线上出任何问题，它的数据泄密概率就非常高了。

第二，是如何来进行你的安全技术的提升。现在我了解到有些企业这两年这一块的投入是具有很大的空间的。比如说有些上市公司，它的技术研发在信息安全领域的投入是非常小的。那么就能说，这些企业对安全是非常重视吗？这个就是有待商榷的一个事情。

第三，我认为还是要合作，除了企业自身的合作以外，还是要与政府包括相关的公安、安全管理部门等合作。

被盗信息多被用来精准营销，专家：提高隐私保护意识，提醒老年人

新京报：一般上述个人信息会流向哪里？用作哪些用途？以上信息的泄露会导致被泄露人遭受怎样的后果？一旦信息被泄露公民该如何保障自己的合法权益？

赵占领：一般个人信息被泄露之后，可能有几种途径，一种是卖给或者是分享给一些其他的机构，这些机构做精准分析，分析用户的消费习惯、消费偏好，然后进行精准营销。比如说发一些邮件广告或者是营销短信、营销电话等。还有一种是把个人信息倒卖给其他的倒卖公司，倒卖本身就获利，中间可能有若干个环节去倒卖。

还有做一些违法犯罪活动的，比如说根据这些信息去盗取你其他更多的信息，比如说像银行账户信息，支付工具账户信息等。我们以往看到很多案例，只要掌握你的姓名、身份证号，手机号码，就有可能把你其他一系列的信息盗取。这个确实可能会给用户带来很大的一个安全隐患，特别是财产安全的隐患。

当然还有一些利用这些个人信息会从事一些其他不法的一些生意，比如说利用这种信息做一些私家侦探类似业务的，进行一些个人调查，然后为某些机构或者个人提供背景调查的资料，用于一些非法的目的，这都是可能发生的。

赵小敏：不要让用户觉得你不安全，企业要消除这样的隐患，比如这一次某公司发生了安全事故，下一次我作为用户，作为客户，我感觉不到整改，或者说有立即行动扭转的措施，这对企业来讲损伤是非常大的，最大损伤就是品牌损伤，如果是上市公司，就会失去投资者的信任，可能就会面临重大的一些客户的流失。所以最终其实受伤害的不仅是用户，多方都会受伤害，其中企业自身也会变成最大的受害者之一。

新京报：一旦信息被泄露公民该如何拿起法律武器保障自己的合法权益？

赵占领：作为用户来讲，有几种常见的办法，一种是你发现信息被非法获取和转让，有相关证据或者有线索可以向公安机关去进行报案，这是最常用的一种方法。

第二种方法是走民事诉讼途径。如果因为个人信息被泄露，造成一些直接的财产损失。这样的案例非常多。比如说某个人给你打了电话，以所谓的官方客服的电话，比如某个电商平台的客服电话打过来，实际上这个电话号码是经过改号软件修改了，并不是真正的客服电话，还有包括一些以机票退订名义，所实施的诈骗都是类似的行为，这些案例是屡见不鲜的。那么像这些情况下，作为用户来讲，通常首先应该报案，但是如果说有造成损失的话，尤其是损失比较大的情况下，可能要通过民事诉讼途径，来追回自己的损失。

但是我目前了解的情况是，在个人信息保护领域，个人提起这种民事诉讼的案例极其少，我在几年前也曾经代理过类似的案件，我也体会到其中非常艰难。最大的难点在于大多数情况下，用户很难证明两点，第一很难证明你的信息泄露的途径到底是不是被告来泄露的。因为有可能掌握你个人信息的渠道主体是很多的；第二个难点是证明损失，有些情况下可能没有直接的财产损失，或者有些间接损失也不好证明。

所以作为普通用户在多数情况下，尽管有两种选择途径，但是一般的选择还是通过公安去报案，通过刑事立案这种方式来查询具体的犯罪嫌疑人以及犯罪的手法和路径，然后再去提起相应的民事诉讼，才有可能来实现自己的救济目的来挽回自己的损失。

新京报：日常生活中，我们应该如何保护个人信息不被泄露，有什么建议吗？

丁晓东：我想个人信息的泄露涉及数据生命周期的一个问题，从数据的收集端，到流通端，再到使用端、储存端都会存在着个人信息被泄露的可能。

解决这个问题的关键在于，从用户个人的角度，先从收集端开始，一定要提高我们的隐私保护意识，比如在寄件过程当中，尤其要谨慎，又或者在接触房产中介时，都要注意自我保护。

第二个是在信息出现泄露和可能会存在一些风险的情况下，要积极向监管机构举报，那么在涉及刑事的时候，向公安部门举报，在没有涉及刑事的时候，向市场监管总局、网信办，积极去进行投诉，当然也包括向媒体去反映，通过一种社会的力量来对信息的整个过程进行监管。

最后，对于救济的渠道，就是存在信息泄露的情况下，怎么样进行救济，或者是怎么样去保护自身权利，一旦出现了个人信息被泄露的情况，那么也应该向政府机关投诉。另外要告知身边的朋友，尤其是父母亲、爷爷奶奶等。这些人群的个人信息一旦出现泄漏产生的风险是最大的，可能老年人恰恰容易接诈骗电话从而被骗。

赵小敏：首先从收件和派件这个角度来谈，其实最快速的方法是拿一个纸巾蘸一点水，最快的速度就能涂改掉面单上的信息，或者直接使用风油精。

对于一般用户来讲，物品和包装袋分离之前，一定要把个人信息全部抹掉。如果从发快递的角度来讲的话，由于我们国家快递要求实名制，公众可以在不违反国家邮寄规定的下尽可能提供给快递公司足够少的信息，还可以选择不往家庭寄送，改往单位寄送或放快递柜、代收点。

还有一个建议是在电商平台或者其他地方购物时，大众的信息密码要经常性更换的。但最终我认为关键还是要回到用户和企业之间，大众选择的服务公司是不是可信，可能是用户自我保护的关键，刚才说的一系列方法，其实很多程度上也是一个无奈的选择。

赵占领：在很多情况下，关于个人信息保护，用户所能做的实际上是有限的，是被动的。在很多情况下信息的泄露并不在他掌控的范围之内，比如说我在很多情况下，要获得某种服务或者产品，就需要提供我的个人信息，也可能是法律规定的，也可能因为所需要获得服务本身所必须要提供的，因此我没有办法不提供个人信息，而且结合我们实际的案例来看，因为用户个人原因导致的信息被泄露的情况其实是有的，但是这个比例还是比较低的。

其实大多数情况下还是因为个人信息的收集处理的主体，没有尽到法律义务，或者其他的第三方通过一些非法的途径获取用户的个人信息，所以我觉得个人信息的保护一方面是需要我们用户高度的重视，在力所能及的范围之内，采取一些必要的措施，有个人信息保护的意识。另外一方面更重要的是要通过监管的方式，强化对于收集、使用、保管、存储这方面行为的一个监管，对于违法的行为应当及时给予相应的处罚，加大处罚的力度。

新京报贝壳财经记者 程子姣 实习生 林梦雪 编辑 李薇佳 校对 李项玲