京東信息泄露案，將為用戶維權提供強有力的證據支撐——這表明京東在內部管理上存有漏洞，致使該缺陷被內部實際不掌握查詢權限的員工所利用，在涉案員工承擔刑事責任的同時，京東應依法對網購受害消費者承擔賠償責任

時隔一年多，隱藏著的京東大范圍信息泄露事件的真相，終于浮出水面。

2014年12月至2015年1月，包括柳東(化名)等數百名京東用戶遭遇信息泄露，更不幸的是，精準的訂單信息騙局隨之而來，受騙用戶損失少則數百上千元，多則數萬元。

近日，據媒體報道，發生在京東該時段的大范圍用戶信息泄露事件，系京東3名內部員工所為。目前，這3名員工被北京市大興區人民法院以非法獲取公民個人信息罪判處有期徒刑，并處罰金。

據法院審理查明，2014年12月至2015年1月間，上述3名員工通過登錄京東ERP辦公系統(服務器位于北京市大興區)，非法獲取京東商城用戶個人信息9313條，并將上述信息售予他人，造成京東公司大量客戶信息泄露。

鑒于近年來包括電商在內的互聯網企業，頻繁爆出用戶信息泄露事件，專家建議，互聯網企業要加強內部管理，對用戶個人信息的收集、傳輸、存儲、使用和銷毀等環節和流程進行梳理，對員工權限進行合理的設定，防范個人信息泄露。

用戶被騙后“墊付”情況不一

記者在采訪中了解到，在京東出現大范圍信息泄露事件，導致很多用戶被騙后，京東曾陸續對一些用戶的損失進行了“墊付”。

四川用戶劉林(化名)告訴記者，他2015年1月5日曾在京東上購買了一件價值119元的保暖內衣，結果當天就接到冒充京東客服不法分子的電話，告知其系統出現問題，需要進行退款操作。

由于不法分子準確地說出了訂單詳情，他便放松了警惕，在對方發來的鏈接上進行了相關操作，結果導致賬戶中18000元被對方轉走。

不過，京東此番“墊付”并不是針對同期所有遭遇類似騙局的用戶，柳東就沒有劉林那么幸運。

2015年1月3日，柳東在京東上購買了一件價值58元的內衣后，當天也遭遇了與劉林類似的騙局，致使賬戶內107949元被轉走。事后柳東曾多次聯系京東客服，就賠償進行交涉，不過一直未果。

那么京東當時是以什么為依據，來決定是否對用戶進行“墊付”的呢？法治周末記者向京東方面發去采訪函，不過對方未就該問題進行回復。

而據媒體報道，2014年底至2015年初，在接到眾多用戶的投訴后，京東商城啟動了自查，最終確認信息泄露系內部3名員工所為，便向警方報案。2015年1月中旬，3人被刑事拘留。

5月2日，京東相關負責人回復法治周末記者，2014年12月，京東是在內部審核中發現極個別員工有異常查詢訂單的行為，立即主動向公安機關報案。

公士公益發起人律師張新年對法治周末記者表示，據他了解，京東泄密員工被抓直至被判，消費者無一人獲得辦案機關的反饋，在此過程中，京東對外也沒有承認出現“內鬼”。

“這不是一家大企業應有的化解危機的態度。也就是說，消費者一直被蒙在鼓里，不知真相。雖然是京東報的案，但是很多網購受害消費者也報了案，尤其要保障他們的知情權。”張新年說。

刑事判決可作為有力證據

其實，在信息泄露事件發生后，就曾有一位受騙用戶對京東提起了訴訟，不過，法院當時駁回了該用戶的訴訟請求，原因在于現有證據不足以證明訂單信息被泄露系京東的過失所致。

去年，也有近百名用戶集體委托張新年向京東維權，但在當時沒有足夠證據指向信息泄露為京東“內鬼”泄密的情況下，張新年與委托用戶達成一致意見：暫緩提起訴訟。

如今，“內鬼”被揪出，非法獲取及出售用戶信息被坐實，那么用戶是否在維權時就可以“一路綠燈”呢？

張小峰、賈虹杰律師是京東員工非法獲取用戶信息案其中一名被告人的辯護律師，據他們在辦案中了解，涉案3人并沒有登錄涉案商城客戶信息系統權限，但該商城存在有系統登錄權限的員工的登錄ID、密碼，被無系統登錄權限的其他員工“共享使用”的情況。

兩位律師介紹，據被告人交代，當時所使用的系統登錄賬號，是一位在昆山工作的主管的，他們用該主管的ID、密碼登錄公司客戶信息系統，并將客戶信息導出制成excel表格格式，“雖然是越權登錄并下載資料，但系統不會察覺到異常”。

張新年對記者表示，這起刑事案件的披露，將為用戶維權提供強有力的證據支撐，“這表明京東在內部管理上存有漏洞，致使該缺陷被內部實際不掌握查詢權限的員工所利用，在涉案員工承擔刑事責任的同時，京東應依法對網購受害消費者承擔賠償責任”。

張新年告訴記者，律師團隊已經啟動新一輪的維權工作，將分批推進，代理網購受害消費者向京東提起民事訴訟。

柳東也希望自己的名單能夠出現在法院認定的9313條范圍內，這樣好有足夠的證據向京東提起索賠。不過，張新年也表示，即使有直接證據，指向受騙用戶的信息的確是由京東內部員工泄密所致，但并不一定意味著用戶就能獲得全額賠償。

“用戶也需要承擔一定的注意義務，法院在審理中，會根據雙方當事人的過錯大小，來分配各自承擔責任的比例。”張新年說。

律師建議有條件地適用舉證責任倒置規則

盡管3名被告人很快被繩之以法，不過，發生在京東上的用戶信息泄露現象并沒有得到終結，以訂單出現問題為由的騙局依然不時發生。

就在上述3人被羈押的一周后，即2015年1月21日，山東用戶苑森杰，中午剛在京東商城購買了價值459元的諾基亞手機和19.9元的優盤，當天晚上8點就接到了自稱是京東客服的詐騙電話，理由同樣是訂單由于系統維護出現問題，結果導致銀行卡中55690元被劃轉。

近日，在看到3名京東員工因竊取出售用戶信息被追究刑責后，苑森杰告訴法治周末記者，他又同京東方面聯系交涉賠償事宜，不過“京東只是讓我去聯系警方，讓警方協調處理”。

北京用戶張玲(化名)情況與苑森杰類似，2015年5月10日在京東商城上購買了一件價值79元的孕婦服，第二天也被一個自稱京東賣家打來電話，以辦理退款為由從卡里轉走了57839元。

張玲很早就在京東注冊，且購物頻繁，截至被騙時，她已是京東的鉆石會員，“當時我是在手機端下的訂單，并沒有看到京東的防范詐騙的提示頁面和短信”。

事后，張玲也是多次同京東進行交涉，不過也一直未能獲償。張玲希望披露的這起刑事案件，能夠為有類似遭遇的用戶進行后續維權帶來新的契機。

記者了解到，2015年1月中旬以后，仍遭遇訂單信息詐騙、且委托張新年維權的京東用戶已接近20人。

另據京東維權群里一位用戶張亞東(化名)介紹，自從2014年底到2015年初京東用戶信息大規模泄露以來，群內用戶一度多達數百人，隨后有部分獲得“墊付”的消費者退群，還有遭到類似詐騙的用戶陸續加入進來，只是增加的頻率逐漸放緩。

賈虹杰對法治周末記者表示，通過他和當事人的多次交談，對方反映，通過“共享使用”有系統登錄權限員工的登錄ID、密碼獲取用戶信息，甚至進行出售，在公司物流內部并不是個別現象。

“當事人反映，登錄客戶信息系統、下載打包客戶信息、聯系賣家進行出售并不是他的發明，而是當時有一位內部工作人員教唆示范的。”賈虹杰表示，由于3名被告人只有初中文化程度，當時并不知道這種行為可能觸犯刑法、會被追究刑事責任。

互聯網法律專家趙占領對法治周末記者表示，此起刑事案件的披露，的確反映出當時京東內部管理上存有疏漏，這將有助于用戶維權。不過他認為，不在法院審理查明的9313條信息范圍內的用戶，如對京東起訴索賠，相對于在這之列的用戶而言，由于不是直接證據，還須再舉證信息泄露是京東的過錯所導致。

即使同是“內鬼”作案，趙占領分析，如果“內鬼”不是利用公司管理上的漏洞非法獲取并出售用戶信息，而是通過與外部黑客一樣的手段入侵公司計算機系統竊取用戶信息，“在這種情況下，‘內鬼’的行為并不是職務行為，其同外部黑客入侵并不存在差異，公司只要盡到了現有技術條件下的安全防護義務，那么也很難認定公司存在過錯”。

不過，賈虹杰表示，如果是個案，不排除是用戶個人不慎泄露了訂單信息或使用的個人電腦被黑客攻擊導致信息泄露，但如果是大范圍的、同類型的、高精度的訂單信息詐騙，那么電商作為客戶信息的保管者，就應因為失職承擔法律責任。

“目前司法實踐與法律法規規定，相關民事賠償舉證責任都在受害用戶一方，但是由于網絡領域技術的高端性與私密性，受害用戶往往不能完全收集到具體相關證據。”因此，賈虹杰建議，司法機關應出臺相關法律規定，對于此類網絡信息民事侵權賠償案件有條件地適用舉證責任倒置規則：在受害用戶承擔一定的舉證責任后，由電商平臺承擔其在用戶信息泄露方面不存在過錯的舉證責任。

企業應建立有效內控機制

其實，目前被公開報道的，出現用戶信息泄露且滋生詐騙風險的電商平臺，并非京東商城一家。

2015年5月，蘇寧易購也出現用戶訂單信息大范圍泄露事件，致使很多用戶被騙，近日趙占領也將代理部分用戶對蘇寧易購提起民事賠償訴訟；今年3月，電商特賣平臺唯品會也被媒體爆出，其平臺用戶訂單信息在一些QQ群被肆意買賣。

梳理目前被公開報道的用戶信息泄露事件，記者發現電商等互聯網企業用戶信息泄露主要源于出現“內鬼”泄露、系統漏洞、黑客撞庫這幾種情形。

公開資料顯示，泄露用戶個人信息的源頭大多是相關企事業或部門的“內鬼”，但一些收集、保存大量用戶個人信息的電商等互聯網企業，卻沒有建立起完善的內部制度和保護機制，這也給用戶信息泄露埋下了隱患。

以該案為例，賈虹杰對記者表示，據他了解，該涉案企業內部也有相應的用戶個人信息保障制度，比如物流部門由于掌握著包括客戶姓名、電話、地址、何時下單、所購貨物等詳細個人信息，系統登錄權限只掌握在相關主管部門手中，但可能由于企業每天24小時需要接受用戶訂單，為了做好商品配送，物流部門的員工需要“三班倒”，為了開展工作便利，登錄權限就會被其他工作人員使用。

“客戶信息系統的登錄ID和密碼一旦被‘共享’，就會存有漏洞。如果物流部門實行的是‘三班倒’輪班制度，那么應該在每個班次都安排一個相應職級的主管人員，負責用戶信息的查驗調取，而且每次的操作行為，系統應當進行記錄，以便于后續追溯。”賈虹杰說。

那么，大范圍用戶信息泄露事件發生后，京東是否對其內部工作制度進行了調整和優化？京東相關負責人對法治周末記者表示，案發后，公司已經第一時間采取了相應的防范措施，同時加強了內部管理，杜絕類似事件的再次發生。

“京東一貫高度重視用戶信息安全，有最嚴格的公司政策和規定，決不允許任何人以任何方式泄露用戶信息，一經發現絕不姑息。”該負責人表示，根據京東的內部調查，冒充客服進行詐騙的案例中，絕大部分是犯罪分子通過撞庫攻擊等手段獲取用戶信息。

2012年底，全國人大常委會頒布的《關于加強網絡信息保護的決定》明確提出，網絡服務提供者應當采取技術措施和其他必要措施，確保信息安全，防止在業務活動中收集的公民個人電子信息泄露、毀損、丟失。

趙占領對記者表示，企業應依照全國人大常委會的決定，對用戶個人信息的收集、傳輸、存儲、使用和銷毀等環節和流程進行梳理，對員工權限進行合理的設定，防范個人信息泄露。

記者注意到，自去年京東商城爆出信息泄露事件以來，京東逐步強化了對用戶的風險提示，當用戶訂單提交成功后，網絡頁面、手機會收到謹防詐騙的提示信息。

張亞東告訴記者，盡管后來京東維權群內的人數還在增加，不過增速明顯放緩，這也從側面說明平臺的提示起到了一定作用。