电商物流个人信息安全
大数据时代下,信息技术的进步推动了传统产业的变革,催生了电子商务,拉动了物流业发展。然而在电商及物流行业快速发展的背后,却隐藏着一条交易用户个人信息的黑色利益链。本文就电商物流中个人信息传递安全进行讨论,从网络订单、快递面单等角度深入剖析问题,提出未来电商物流个人信息安全传递新思路。
一、大数据时代电商物流信息现状分析
“互联网+”时代的到来,足以证明各行业通过信息通信技术以及互联网平台,产生了极为庞大的用户数据。2012年全球信息总量已经达到2.7ZB,而到2015年这一数值预计会达到8ZB。然而大数据的发展仍面临着许多问题,安全与隐私问题是人们公认的关键问题之一。当前,人们在互联网上的一言一行都掌握在互联网商家手中,包括购物习惯、好友联络情况、阅读习惯、检索习惯等等。多项实际案例说明,即使无害的数据被大量收集后,也会暴露个人隐私。
(一)电商物流量剧增
我国近年来的电子商务交易额增长率一直保持快速增长势头,并以GDP增长速率的2至3倍在增长,电子商务正在成为拉动国民经济保持快速可持续增长的重要动力和引擎。与此同时,快递服务同样实现了几近翻番式增长。仅从一个数据看,2010年,快递日最高处理量1000万件,2011年1800万件,2012年3000万件,2013年达6500万件。2014年,我国快递业务总量已达到139亿件次(如图1.1),成为世界第一,快递日最高处理量更是达到1.026亿件。
据中国报告大厅发布的2014-2018年中国快递市场深度分析报告显示,随着电商的发展,国内的快递业也开始进入高速增长阶段,目前平均年增长率超过50%。有数据预计到2020年,我国日均快递量将突破1亿件。
这表明物流业发展对服务业的贡献日益突出,在社会经济发展中亦发挥着日益重要的作用。现代物流业已成为“十二五”期间国家经济结构调整中服务业在国民经济结构比例上升4个百分点的重要抓手和推动力量。
(二)物流信息泄露严重
2012年、2013年我国十大信息安全事件中,EMS等10余家主流快递企业的快递单号信息被大面积泄露以及圆通百万客户信息遭泄露纷纷上榜。国内最大的互联网安全公司360发布《2014中国个人电脑上网安全报告》披露了2014年度国际国内发生的14起震惊中外的互联网安全事件,其中就有中国快递1400万信息泄露事件。2014年8月12日,某大学计算机专业大二学生通过快递公司官网漏洞,登录网站后台,然后再通过上传(后门)工具就能获取该网站数据库的访问权限,获取了1400万条用户信息,除了有快递编码外,还详细记录着收货和发货双方的姓名、电话号码、住址等个人隐私信息。
透过事件本身我们看到,快递行业信息泄露态势愈演愈烈,种种信息泄密,无一不透漏出现行物流信息传递方式的缺陷、监管制度的欠缺、内部管理和技术措施的缺失及个人信息安全保护意识的薄弱等问题。
二、电商物流信息泄露环节和原因分析
电商物流有其较为固定的流程:电子商务商家接到顾客发来的订单并联系快递公司,快递公司收到客户递送包裹的需求后,会派员工上门收取客户需要递送的包裹并协助客户对包裹进行包装(快递公司可代为包装, 并提供包装材料)。客户提供收件方信息,详细填写包裹托运单据、提交物品清单,双方确认重量、结算,快递公司提供结算票据和包裹追踪号码,取件的员工将包裹交由配送部门(市区级的配送中心),并作交接清单,由配送部门签字后交取件员工。配送部门再进行分拨,全程跟踪。客户的包裹经过运输到达目的地,由目的地的网点派送至收件人处,收件人确认包裹内物品完好,签字同意接收。
不难发现,在这个固定的流程中,隐藏着诸多泄露买家个人信息的漏洞。我们将这个流程拆分为三个阶段,分别是订单下单、包裹在途及确认收货环节。
(一)订单环节
1.部分商家滥用客户信息
电商作为物流信息产生的源头,商家的个人信用监管未成体系。各大电商平台上的商家是用户信息的第一接触者,只要用户在其网店上完成一笔订单,他们即能掌握该用户的个人信息资料。有些商家在未经用户同意的情况下,擅自向用户推送促销信息,熟悉网购的用户会有在618京东大促和天猫双11节日前夕,遭遇信息轰炸的经历。除此之外,淘宝平台特有的消费评价体系,使大多商家产生“差评毁店铺”的经营观念,导致商家特别重视用户评价,当用户出于实际质量问题给予差评后,商家如果协调无果,很容易通过手上掌握的用户信息进行报复,事实上此类报道已屡见不鲜。更有意识薄弱的商家,将用户信息出售给信息需求方获利。
2.电商平台信息安全性差
面广量大的现代物流信息数据易成为网络攻击的目标。一方面日益复杂敏感的现代物流信息数据会吸引更多的潜在攻击;另一方面,现代物流信息平台所导致的数据大量汇集,使得黑客一次成功的“收益率”不断提高。此外,大数据为黑客发起攻击提供了更多机会。
随着淘宝、天猫、京东等大型电商平台交易额的不断攀升,同时产生的庞大数据库,包括消费偏好、购买习惯、用户个人资料等多种个人信息。部分物流数据会随着订单流向物流公司。大量用户信息的汇集,便产生了黑客频窃电商及物流网站后台数据的不法行为。
(二)物流流转(配送)环节
1.面单信息倒卖
裸露在面单上的个人信息成为最大安全隐患。一般用户下单之后,订单即转化成包裹及一张物流面单。而就是这张大小不过0.03平方米的面单上,记载了包括寄件人和收件人双方的姓名、单位名称、详细地址、联系方式等重要个人信息。可怕的是,这些重要的个人信息竟然全部裸露在包裹外。而面单随着包裹从商家寄出,通过各级物流分拣、转运、派送,被多人经手,信息传递达到十余次。倒卖网站对快递面单进行了明码标价:已扫描单号无收货地址0.4元;有收货地址0.5元;未扫描单号1元。“已扫描单号”是指快递单信息已经录入快递公司的官网,上网即可查到,这类实际进行快递的运单号通常带有用户个人信息;而“未扫描单号”是指快递员已经取件在手,但还没有将单号信息录入快递公司网站,此类快递单主要被运用于提升虚假交易量,为新开店铺刷单冲钻。据业内人士透露,快递单被贩卖之后,收件人除了会接到骚扰电话,还可能遇到其他消费陷阱。
2.快递人员出售信息
快递从业人员素质良莠不齐,流动性大。我们走访了多家快递企业的加盟网点发现,企业的用工成本已经超过运营成本的一半以上,且每年以10-20%的速度上涨。快递员流动性高的出奇,差不多每年都要换掉一大半,每年“双十一”前快递员辞职是常态。不仅一线快递员经常出现用工荒,快递企业在经营、管理、技术各方面,都存在人才短板。
较高的员工流动性不利于用户个人信息的保密,再有一线快递员大多都是文化水平较低、法律意识较薄弱的社会成员,面对利益驱动,极易背弃社会道德,兜售用户信息。
(三)收货环节
有时候,无意之间,信息就有可能被泄露。许多用户自身缺乏隐私保护意识,在收件之后,把附着在包裹上的快递单随意丢弃在快递网点周边的行为也会导致其个人信息的泄露。当这些信息被不法分子捡到,自己的有效信息就会瞬间被定位,很容易引发诈骗、假冒快递员入室抢劫等违法犯罪行为。
通过对订单、配送和收货环节的分析,可以看出,导致电商物流信息泄露的主要原因是技术层面上的不过关。物流行业起步晚、发展快,使得目前物流运营仍处于低成本、服务差、不规范的阶段,从而在各环节上出现不同程度的信息泄露漏洞,让不法分子有机可乘。除此之外,电商物流信息的可获利性、物流从业人员素质参差不齐、用户个人防范意识薄弱、法律法规约束上的空白都是导致电商物流信息泄露的重要原因。
三、防止电商物流个人信息泄露对策研究
大数据时代,信息泄露事件频发早已不足为奇,但是人们的隐私保护意识只会随着社会发展越来越高。通过对电商物流中各个环节的信息泄露分析,从源头、过程、末端进行技术和流程的优化,为行业减少个人信息泄露的可能提供方向。
(一)物流信息技术的创新应用
1.条形码技术
如何将面单上裸露的信息隐藏起来?用当下十分流行的二维码技术就可以很好地解决。
条形码技术是将信息以一定的标准存储到条码中,在需要读取信息时再借助特定的扫描设备来读取信息,从而保障用户信息安全。条码技术分为一维条码和二维条码两种。一维条码通常只能来代表数字和字母信息,在实际应用中,一般用一维条码来保存商品编号,在快递面单中则体现为运单号,目前,一维条码已普及于各大快递公司。然而,关键的用户信息等资料则需要信息存量更大、隐密性更好、识别率更高的二维条码来实现。
当用户下订单后,把用户的收件信息进行加密并保存在数据库中,并把加密后的收件信息生成二维码显示给商家,商家看不到用户的姓名、地址、电话等明文形式的收货信息,而只需将二维码直接打印到快递单上(如图3.1),完成整个发货过程。同时,系统把生成的二维码发送到用户的手机上,作为签收时核对签收人的凭证。而快递员在派送快递的过程中,通过开发与之匹配的扫描客户端扫描二维码信息进行解密,从而读取用户资料进行快递派送作业。当快递被用户签收后,该二维码自动失效,无法再次扫描并解密其信息。
由于二维码是经过加密的,因而他人无法通过软件扫描二维码来获取客户信息,因此即使客户随意丢弃快递单也不会造成个人信息泄露。同时由于商家只能看到由客户信息生成的二维码,进而防止了商家买卖客户信息。而在电子商务平台中,客户信息也是加密的,所以一定程度上能够保障用户信息安全。优化后的电商物流流程如图3.2。
使用二维码同样能规避派件时存在的信息泄露风险。在该系统中,已经将用户的电话号码加密后保存在二维码中,快递员已经无法直接识别,因此设计开发了基于Android平台的快递派送移动客户端。该系统可以运行在快递员的手持设备上,具有读取二维码信息、自动发短信、拨打电话、订单跟踪、运费计算等功能。
2.无线射频识别系统(RFID)
无线射频识别系统是一种非接触的自动识别技术,其基本原理是利用射频信号和空间耦合传输特性,实现对被识别物体的自动识别。RFID系统一般由四个部分组成,即电子标签、阅读器、RFID中间件和RFID应用系统软件。
在RFID系统的应用中,标签附着在被识别物体上(表面或内部),一旦带有电子标签的被识别物体进入读写器可识读范围时,读写器以自动无接触的方式将约定的信息从标签中读取出来从而完成自动识别物品或者自动识别物品标志信息的功能。
把无线射频识别系统运用于电商物流领域,能大幅减少人员参与快件物流流转过程。因此,需要快递员在取件的同时,把电子标签嵌入快递包裹中。通过这些标签,即可以用全自动的方式,对包裹进行识别、计数和跟踪。从电子化网点收寄的包裹被转运至区域配送中心,在区域配送中心的阅读器天线将自动对到达的总包裹上电子标签进行扫描、勾核,同时与电子化网点早已上传的快递信息网中的关联信息(信息源)进行对比。再将接收到的包裹输送到自动分拣台上,在分拣台上的固定式阅读器扫描输送中的包裹标签,再与信息源进行对比。通过包裹检测器和智能控制器完成对包裹的自动分拣。从自动分拣台上分拣完的包裹进行总包封发、总包并堆发送。装上RFID系统的运输车出发后,车上的阅读器定时扫描车上包裹,并连同运输车所在位置一起通过无线网络发给调拨管理中心。经过干线运输的包裹到达目的地区域配送中心,进行相同的自动扫描、分拣、总包封发、并堆、发送至各电子化网点。派件时通过手持式阅读器对到达电子化网点的包裹进行扫描,对比上传的包裹信息,核对取件人身份,将包裹取走,同时删除电子标签信息,回收电子标签。
(二)行业监管规范化
1.面单销毁
2013年8月14日,苏州市保密局联合市邮政管理局,对苏州申通快递公司180万份快递详情单进行集中销毁,为规范电商物流信息安全工作开了先河。
作为快递企业的管理部门,2013年6月,苏州市邮政管理局与保密局联合出台了《关于规范寄递服务信息安全工作的通知》,要求全市快递企业不得将快递单销售给废品回收单位,而要通过预约上门或自行送销方式,交由市保密局统一销毁,并对快递单据送销情况进行登记保存,按照规定格式向市邮政管理局报送。在市保密技术管理服务中心,这些快递单粉碎成纸屑后,将会进行无害化处理,该中心对销毁进行全程摄像,刻录光盘后存档。
2.法律规范
销毁快递单,确实在很大程度上对个人信息进行了有效保护,但是,快递公司内部电脑上存储的大量电子数据如何监管,如何避免泄露,仍是一个棘手的问题。为了防止快递公司内部电脑存储的用户个人信息泄露,邮政管理局已推出相关规定:快递公司涉及快递单保存、信息录入、信息管理方面的岗位,要实行专人专责,公司对其管理情况进行实时监控,非工作用途限制访问,该岗位人员要填写《快递企业信息操作人员登记表》,报邮政管理部门备案。
近年来,我国在保护个人信息方面的举措可圈可点。2013年2月,首部个人信息保护国家标准——《信息安全技术公共及商用服务信息系统个人信息保护指南》正式实施。该指南借鉴了欧盟《个人数据保护指令》等国外立法的规定,比如,收集用户信息要坚持“最少够用”和“用后即删”原则。
然而“用后即删”原则缺乏专业性,删除难以从根本上保证相关信息不会泄露。法律制度的缺失,导致了当今个人信息泄露问题频现,也导致无主体履行职责困境的产生。随着信息化的不断推进,信息安全权越来越与个人生存权和发展权紧密联系在一起,个人信息安全保护已经成为一个重要的民生问题,需要制度的跟进和配套。尤其是电商物流发展较快的江浙沪粤等地区,应该根据本地区实际情况制定一系列保障公民个人信息安全的地方性法规,开创电商物流个人信息安全立法的先河。
(三)终端派送优化
结合本文原因分析,我们可以知道在电商物流最后一公里配送环节中,存在诸多个人信息泄露的可能。因此针对终端配送,可以进行流程优化。电商或快递企业可以在城乡基层设置代收发快递的服务站点,这样就可以避免个人信息的泄露。本文以菜鸟驿站和农村淘宝为例,阐述优化终端配送的利处。
菜鸟驿站是由菜鸟牵头,建立面向社区的物流服务平台,致力于为消费者提供多元化的最后一公里服务。目前“菜鸟驿站(原天猫服务站)”作为天猫和淘宝网的指定代收包裹站点为消费者提供该项服务。代收包裹服务的使用流程为:用户挑选商品、选择附近合适的菜鸟驿站为收货地址、卖家发货、物流派送至指定的菜鸟驿站地址、菜鸟驿站检查签收、菜鸟驿站发送短信至用户签收、用户到菜鸟驿站取货、确认收货完成订单。然而菜鸟驿站仅仅作为包裹代收发点的话,很难获得更可观的利润,如果驿站融入便利店或者公益理念,就可以拓展业务或企业形象。现在主流的快递代收服务,是在类似于十足等原有品牌便利店的基础上,强硬附加了一个包裹代收业务。“零售+快递”这样没有前期规划和店铺布局的强行融合,只能说成是一个过渡期间,之后必会被更加完善的联合体系所取代。
农村淘宝则为了服务农民,以电子商务平台为基础,充分发挥电子商务优势,突破物流,信息流的瓶颈,最终实现“网货下乡”。其代购流程为:用户在农村淘宝店中自行挑选商品、店主代替村民在网上下单、以支付宝的形式在“农村淘宝”店担保账户里向卖家支付货款、卖家发货、农村淘宝店检查签收、联系用户签收、用户取货并支付货款。
无论是菜鸟驿站还是农村淘宝,它们提供的代签收服务能够有效避免电商物流所需要的个人地址信息泄露。然而为了整合社会资源,更应该考虑套用菜鸟驿站和农村淘宝的运作模式,以各地区零售便利店为依托,借用区域原有实体店平台,开展代收代购业务,这样既可以大幅减少投资成本,实现项目长期运作的可能,又能为实体便利店开拓业务,增加收入,两全其美。
四、总结
在电商物流高速发展的“互联网+”新时代,我们不能仅仅追求速度,更要关注该行业发展的问题并寻求解决思路,确保电商物流这个新兴产业又好又快发展。在相比房地产、银行等传统行业所泄露的个人信息,快递单信息更完整,背后隐藏的社会危害性更大,更容易滋生犯罪的现实情况下,保障电商物流个人信息安全已迫在眉睫。
在电商物流领域引入条码和无线射频识别系统,并通过对现行电商物流形式进行创新推广的想法,为解决目前电商物流领域存在的泄露个人隐私的问题提供了一种新思路。采用将用户信息进行加密后生成二维码的方式,可以有效防止他人获取用户信息,快递公司配合使用的无线射频识别系统,可以根据电子标签进行自动分拣,最大化减少电子面单上的信息和物流流转过程中人的参与度。快递APP贯穿整个电商物流流程,可以改善物流管理信息化水平,极大的促进“智慧物流”的发展。
作者:戚继元 何铭强 来源:企业文化·中旬刊 2015年10期
上一篇:军事信息安全
下一篇:计算机网络信息安全