麗人麗妝前員工倒賣用戶交易信息，涉歐萊雅、蜜絲佛陀、美寶蓮、夢妝等品牌

上海麗人麗妝化妝品有限公司(以下簡稱「麗人麗妝」)近日發生了一起信息泄露事件。前員工杜城(化名)利用原來掌握的管理員賬號，盜取公司客戶個人信息，並進行倒賣，非法獲利近10萬元。江蘇徐州警方將其抓獲後，發現杜城通過違法手段獲取各類公民信息達1000多萬條，以女大學生和職場女白領為主。信息種類之多、數量之大令人震驚。

漩渦中心的麗人麗妝

麗人麗妝是國內知名的品牌授權網路零銷服務商，與蘭蔻、希思黎、嬌蘭、雅漾、碧歐泉、雪花秀、蘭芝、美寶蓮、妮維雅、施華蔻等50多家化妝品品牌合作，運營著品牌的天貓官方旗艦店。

在此次事件中，杜城泄露的數據信息包括相宜本草、歐萊雅、蜜絲佛陀、美寶蓮、夢妝等多家天貓旗艦店。目前歐萊雅官方旗艦店有409.8萬粉絲，蜜絲佛陀官方旗艦店有180.3萬粉絲，美寶蓮官方旗艦店有419.7萬粉絲，相宜本草官方旗艦店有338.5萬粉絲，夢妝官方旗艦店有179.7萬粉絲。

在麗人麗妝的「招股說明書」中提到，「麗人麗妝基於自身積累的龐大用戶購買數據，發揮在數據挖掘和客戶定位方面的優勢，為品牌方提供大數據精準營銷和品牌廣方案設計，提升品牌目標客戶觸達和轉化的效率，從而實現品牌價值的最大化。」

6月1日起國家實行新的《網路安全法》規定，對個人信息保護力度加強。麗人麗妝此時才開始對管理員登錄系統進行升級，登錄需要發送給管理員的驗證碼。杜城在徐州賈汪區看守所接受採訪時表示，麗人麗妝公司內部網站此前並沒有設置密碼，他利用曾是公司管理員的賬號，登錄公司內部網站，下載了客戶的交易訂單信息，而公司也未發現。

「家賊難防」

杜城2013年9月，在朋友的介紹下來到上海麗人麗妝公司工作。一開始做的是客服，當時公司代理了20多個國際化妝品牌，這些品牌在天貓上開設官方旗艦店，他會利用阿里旺旺與消費者聊天。後來他負責店鋪推廣運營工作。

在杜城的印象中，公司的發展速度非常快，幾乎是「三天兩頭就開一家新網店」，他也被公司逐漸「重用」。2015年7月，他被升為高級運營專員。每個月底薪8500元，年收入超過10萬元，相比留在家鄉的大學同學，他的這份工資著實令人羨慕。然而每天公司與住所之間的往返時間太長，今年4月10日杜城選擇辭職。

去年他花了10萬元買了小轎車，然後就在上海開滴滴拼車，後來他發現違章和油錢太多，根本賺不了什麼錢。他還沉迷網路賭博，漸漸把積蓄都「輸光了」。

一次，他在QQ群里看到，有人在收購信息。杜城好奇地加了對方的QQ，聊天后才得知，這個人是「淘寶客」，賣汽車用品，想收購一些消費者信息數據，「最好是消費能力比較高的女性消費者」。

杜城因此動了「歪心思」。

遍布全國的線上銷售網

杜城在QQ群里聯繫了買家，這個買家推薦了另外一個買家「我是表哥」給他認識。「我是表哥」實際姓陳，今年21歲，家住四川宜賓市長寧縣。3個月前，他在網上認識了杜城，杜城自稱手中有海量的信息可以出售，每1萬條價格是100元，陳某向外出售的價格是每1萬條400元，從中賺取差價300元。

據徐州警方介紹，短短3個多月，陳某已獲利20多萬元。由於「生意」太好，陳某還邀請表哥余某給他幫忙，兩個人通過網路從杜城處購買公民個人信息後，再向他人出售。

7月11日，徐州專案組民警趕赴四川宜賓市長寧縣，抓獲犯罪嫌疑人陳某。專案組民警從陳某處查獲了7台計算機、5台手機和5個移動存儲設備，並進行了細緻勘驗，調取了海量數據研判，從這些設備中查獲非法取得的公民個人信息400萬餘條。民警調查發現，正是杜城一直源源不斷出售公民個人信息，才讓陳某的生意如此「紅火」。

專案組民警順藤摸瓜，在上海警方的配合下，將嫌疑人杜城抓獲。

在杜城的住所，民警現場查獲兩台計算機和1部手機，計算機和手機里都可以查到大量公民個人信息。民警發現，杜城通過違法手段獲取的各類公民信息達1000多萬條，他通過網路向全國多個地區的嫌疑人販賣了大量公民個人信息，獲利近10萬元。

據杜城透露，最開始他把一些幾年前的消費訂單賣給客戶，但是後來對方要求新貨，就是在幾月內的消費訂單。他也不知道自己賣的數據最終流向哪裡。

平台應承擔保護消費者信息的責任

江蘇諾法律師事務所樊國民律師說，電子商務的發達，網路本身的虛擬性、開放性以及數據倉庫、數據挖掘技術的興起，導致個人信息被泄露的幾率大增。非法搜集、複製、公開、利用、買賣個人信息的侵權行為愈演愈烈，甚至形成了地下產業鏈。

在樊國民看來，「內鬼」使得信息泄露進而導致消費者被騙，電商平台應承擔侵權責任。由於電商平台安全防範措施不到位，未能盡到基本的信息安全保障義務，還應承擔違約責任。另外，電商平台不履行法律、行政法規規定的信息網路安全管理義務，經監管部門責令採取改正措施而拒不改正，致使用戶信息泄露，造成嚴重後果的，構成拒不履行信息網路安全管理義務罪，應承擔刑事責任。

樊國民說，對於擬上市的電商平台，證監會可以對其取得相關電信業務經營許可證的年限、誠信記錄作出要求，對於最近3年因個人信息泄露受到重大民事訴訟、重大行政處罰或者刑事處罰的，還需對其網站接入地、內部控制、信息系統和安全保障等方面作出要求。

從犯罪嫌疑人的供述中可以發現，麗人麗妝方面對於用戶信息的保護措施做得還遠遠不夠。在麗人麗妝衝擊IPO的關鍵時刻，出現了信息泄露事件，帶來的影響可能會很嚴重。

本文綜合中國青年報與網路內容

點擊展開全文

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！