最近，不少微博用户诉苦称，网上超市1号店账户余额被盗刷，更有上海媒体曝出90万份1号店账号在网上贩卖，电子信息安全问题再次引发质疑。好在，《个人信息保护指南》即将出台，目前网友所关注的信息泄露问题，或许有解。

　　90万份账号被贩卖

　　6月上旬，微博用户Susu_sj爆料称，6月11日自己在1号店的退款余额被陌生人提现，损失100元左右，绑定手机号码被修改。Susu_sj 还贴出了1号店发出的提现和账户存在异常的邮件截屏图。

　　随后，记者在微博上查到了更多与Susu_sj有着同样或相似遭遇的1号店用户，账户余额被盗刷、接到“工作人员”打来的中奖喜讯、收到货到付款的包裹，1号店用户信息被盗者遭遇各种烦恼。

　　最近，1号店市场部工作人员邹小姐在接受采访时坦承，1号店已关注到用户信息泄露的情况，并已向公安机关报案，信息泄露的具体情况不方便透露。5月25日，1号店官网曾发表的一份提醒用户注意信息安全的“防诈骗安全提示”公告。

　　近期，微博网友“挨踢客”曾爆料称，有人向其兜售1号店的账户资料，称有90万份的用户资料只卖500元，该资料中包括了1号店用户账号、密码、手机等信息。记者通过微博联系了“挨踢客”，获取了兜售信息人的联系方式，但其QQ号码已设置为拒绝添加好友。根据之前上海媒体已证实并公开报道，此兜售人提供的90万用户资料，大部分数据属实。

　　“数据贩子手上的数据说是90万，但我估计应该不止这个数，因为3月份有人在1号店买东西时的账号也泄露了。而且，最近很多用户的账号被盗，余额被人提走。”“挨踢客”在微博上接受记者采访时称。

　　成立于2008年7月的“1号店”，是国内电子商务行业“网上超市”的企业之一。根据其官方数据显示，2012年3月，1号店注册会员已达2000万。如果90万用户资料被泄露的消息属实，则此次事件涉及到1号店4.5%的会员，意味着每1000名会员中约有45人牵扯其中。

　　谁动了你的账户

　　为数众多的用户信息是如何被泄露出去的？1号店称，原因与去年社区网站集体泄密事件有关，业内人士则认为，账户泄密有多种可能性，具体原因需等待警方认定。

　　“我们内部调查发现，去年一些社区网站账户泄密事件，波及到少量的1号店顾客。” 在回应信息是如何泄露时邹小姐称。

　　去年12月，国内知名IT社区CSDN、天涯社区等先后发布公告称，因遭到黑客攻击，多家网站的部分数据库外泄，恳请用户修改天涯社区账户密码。

　　今年三月，京东商城、当当网先后曝出账户被盗的情况，更有部分钓鱼网站公开出卖用户数据。此次1号店用户数据泄露事件，再次挑起了公众对电商数据安全的质疑。

　　知名IT法律人士赵占领在电话采访中告诉记者，目前公安机关仍在调查此次1号店泄密事件，泄密原因尚不能完全确定。“挨踢客”在采访中也向记者分析道，“泄露的方式无非是有几种渠道，比如：网站本身出卖信息，或者员工偷卖信息，或者被黑客攻击。”

　　某不愿透露姓名的业内人士，在解释电商用户信息泄露的问题时分析称，快速发展的电商，精力往往不会放在用户数据安全上，敏捷开发、敏捷发布的程序，在流程中隐藏了很多漏洞，发现BUG（电脑系统或程序缺陷），也不会随便下线。加上不相关人员拥有核心数据权限、系统架构问题等，种种原因导致了用户信息数据的不安全。

　　1号店工作人员邹小姐在邮件采访中则向记者强调，“1号店非常重视信息安全，并有非常严密的防范措施，我们会全力保护顾客账户信息安全。”

　　纵深

　　信息泄露 电商平台有过错吗？

　　陷入舆论漩涡的1号店，在用户信息泄密事件中有过错吗？

　　最近，重庆大学电子商务与营销教授邵兵家在电话中称，“用户在注册网站时，就相当于与电商网站签订了‘协议’。网站有义务为用户保障信息和财产安全。没有尽到这些义务导致用户注册账户被盗，应该承担违约责任。”

　　知名IT法律人士赵占领也在最近的电话采访中告诉记者，用户与网站建立服务合同关系后，网站有义务保障用户账号本身安全和账户内资金安全的双重义务，注册账户内的资金需要采取更加严格的安全措施，比如手机绑定验证，资金提取原路返回，否则需要进一步的验证等等。

　　微博上，多数被盗用户也认为，1号店提现流程有漏洞、系统设置存在风险，才导致了自己的信息被盗，1号店要承担相应责任。

　　那么具体责任该如何认定？赵占领称，判定网站是否有过错有两种方式，一种是被盗用户起诉，那么网站有义务举证证明自己没有过错，所需证据包括，是否对用户信息做加密处理、防护墙设置、安全等级是否符合法律规定等。另一种是公安机关调查、判定网站的信息安全等级是否达到要求。“去年CSDN泄密事件中，北京公安机关最终认定运营公司安全等级不够，对之做出了行政警告的处罚。”

　　“此外，在用户信息泄露后，是否及时提醒用户修改密码，保护账户安全，也可以判定网站是否有过失。”赵占领称。记者在微博上采访多位爆料人时了解到，1号店并没有通知自己账户可能存在风险，余额被盗后才知道1号店账户被盗的事情。

　　相关

　　《个人信息保护指南》即将出台

　　“在互联网时代，代表个人信息的数据，意味着日益庞大的商业价值。”赵占领称。随着电子商务的快速发展，如何保障消费者的“电子钱包”安全，使得信息安全立法日益迫切。

　　“按照《刑法》规定，非法窃取和出售个人信息的行为是犯罪。《侵权责任法》规定的民事权益范围中包括了隐私权。但是在法律上，对个人信息并没有界定范围，没有一个标准。《信息安全等级保护管理办法》中，对于网站采取的信息安全等级也没有明确规定。对不能保障个人信息安全的企业，处罚力度也比较小。”赵占领向记者称。

　　据介绍，目前在欧洲、美国等地，个人信息立法比较完善，部分国家还会有专门的行政部门，处理个人信息保护工作。

　　最近，中国软件评测中心信息安全研究部副总经理刘陶在电话中告诉记者，从2010年开始，由工信部直属的中国软件评测中心及30多家单位起草的《信息安全技术、公共及商用服务信息系统个人信息保护指南》，已经通过了程序评审，正式报国标委审批，有望近期出台。

　　“《个人信息保护指南》中，明确规定了个人信息的范围，例如姓名加身份证号、实名制的手机号码、个人通讯地址等。在网站收集用户个人信息时，要获得用户的明确同意，且只能用于网站自身提供的业务范围，不得向第三方转让。”刘陶称，对包括收集、加工、转移和删除四个主要环节的个人信息处理，都给出了规范，还提出了个人信息保护的原则。

　　“但是《个人信息保护指南》属于推荐实施或指导性文件，在法律上并没有强制实施的法律效力。即使通过了有关部门的审批，也不能对电商企业产生实质性的约束作用。”赵占领称。 本组稿件由见习记者田晓燕采写