映象新聞

　　國家電網面向4億用戶推出的掌上電力App，如今正成為數據黑色產業鏈覬覦的對象。近日，有知情人士向21世紀經濟報道記者爆料：“掌上電力、電e寶App正在出現數據泄露，涉及用戶規模已經超過千萬級，而且部分數據可能已經流入‘黑產’，危害持續擴大。”

　　掌上電力系國內首批電力便民服務類App，注冊用戶可以通過該App進行電費充值、故障報修、要求應急送電、查看停電通知等等操作。該App在2014年推出后，在北京等地區曾經推出首批試點。2016年初，該App在北京、山東、河北、浙江、安徽等10多個地區正式推廣運營。11月開始，國家電網在全國27個省（市、區）開始全面推廣掌上電力，目前已擁有接近9000萬用戶。

　　“2016年5月開始，國家電網各地電力公司開始規模推廣掌上電力。”“大量的數據從各地供電公司流入淘寶，然后從淘寶店鋪倒賣至黑產。”上述知情人士告訴21世紀經濟報道記者，“掌上電力開始面向消費者推廣時，淘寶上就開始出現了大量提供‘掌上電力綁定’服務的店鋪，他們給各省電力公司提供關注、注冊、綁定等服務，為各省的掌上電力迅速增加‘用戶量’。”

　　21世紀經濟報道記者下載掌上電力App發現，相比于普通互聯網應用，掌上電力要求用戶在使用手機、微信注冊登錄之外，還需要用手機或者微信號綁定家庭電表的戶號、密碼，完成綁定操作之后可使用繳費、查詢等功能。

　　“在淘寶店鋪提供綁定服務的過程中，地方供電公司需要向淘寶店主提供消費者的客戶編號、查詢密碼，部分店鋪還要求提供詳細地址。”上述知情人士介紹，“從2016年5月開始，淘寶上這類業務非常火，有的店鋪很長一段時間內三班倒，幾天就銷量上萬筆，掙錢的同時還拿到大量數據。”

　　在淘寶搜索“掌上電力”，排在首位的商家在其名為“國網電力微信戶號綁定”的寶貝評價中注明“提供戶號、位置（省-市-縣-鎮）”。

　　針對這一情況，12月9日，國家電網已經向淘寶官方提起投訴、舉報。

　　海量用戶數據外流

　　掌上電力、電e寶的綁定滋生出大量市場需求，一批以“掌上電力綁定”、“北京浙江山東湖北江蘇掌上電力”等為主營業務的商戶在淘寶上陸續出現。

　　21世紀經濟報道記者以關鍵詞“掌上電力”在淘寶搜索，共發現180多個店鋪，21世紀經濟報道記者統計了其中銷量較高的72個商戶，進入這72個店鋪中統計相應產品的歷史銷量總計831807筆，產品中包括關注、注冊、綁定三類。

　　名為“劉先生誠信店”的店鋪，推出了“代做國網浙江、江蘇、江西、山東掌上電力app綁定”的兩款寶貝，歷史銷量累計5300件。店鋪工作人員告訴記者：“綁定一個戶號1.2元。”該工作人員要求記者提供戶號、密碼、詳細地址，并且表示：“這沒什么違法的，浙江所有的供電局都在我這做業務，都提供戶號、密碼，他們一年給我十幾萬、幾十萬套。”而且，該員工并不擔心業務違規，“你們有這個任務，我們就提供這個服務。淘寶也沒說過這是違規的。”

　　需要指出，這家號稱一年拿到“十幾萬套戶號”的店鋪，在淘寶的排名靠后。排名首位的是一家名為“掌上電力客戶綁定”的店鋪，淘寶顯示其掌上電力類交易筆數總計17.8萬筆，而且，該店鋪“只做綁定”，“需要提供戶號、查詢密碼、省市”。

　　此外，一家名為“貍貓工作室”的店鋪告訴21世紀經濟報道記者：“在安徽，綁定幾萬戶的電力公司很多。”而且，該店鋪告訴21世紀經濟報道記者：“這兩天安徽、湖北的國網系統有問題，綁定比較慢。所以這兩個地方目前只接注冊，等電力公司系統好了之后再接綁定的活。”

　　根據多家淘寶店反饋的信息，供電公司每戶綁定一個手機號的成本約1-1.3元，店鋪完成任務后，會返還帶有注冊手機、密碼、綁定戶號、地址的表格，供電力公司員工“登錄、驗貨”。此外，還有一種“一綁五”的低成本方式，按照國家電網規定，掌上電力App允許消費者用一個手機號綁定5個戶號，“一綁五”每戶成本約0.4-0.5元。

　　在淘寶上，“掌上電力客戶綁定”、“江先生weixin代做業務”、“u（2810633167）”、“奇妙A工作室”、“強力網絡”5個店鋪的交易筆數超過五萬。“每筆綁定交易，都可能是數百個戶號、密碼的泄露。”前述知情人士告訴21世紀經濟報道記者，“有的地方一次提供幾百個，有的嫌麻煩的一次就給店鋪18萬個戶號、密碼，全國泄露數量已經到千萬級。”

　　需要指出，在掌上電力App綁定戶號之后，家庭詳細地址、門牌號等關鍵信息部分以“**”字符代替，實現脫敏。不過，數位技術人員告訴21世紀經濟報道記者：“這種遮擋并沒有意義。戶號、密碼都有，稍微一點技術手段，就可以破解這種脫敏，拿到詳細地址。”

　　該知情人士向21世紀經濟報道記者出示了山東某市3萬多戶號、密碼、地址的數據泄露截圖，“這只是冰山一角，這些數據現在一次就可以找到幾十萬條。”而且，“我自己家的戶號都被泄露了，我向國家電網投訴過很多次這種大規模泄露數據的情況，但石沉大海。”

　　或涉嫌違規

　　比詳細地址泄露更危險的是，這些數據如今或已經流入黑市。知情人士告訴21世紀經濟報道記者：“這些淘寶店主已經把數據轉售給他人，現在是已經成為黑產的‘一手數據’。”匹配目前已經在黑市泛濫的電商訂單、快遞數據、身份證、銀行卡信息，“這些數據加工之后，帶來的危害難以估計，最簡單的，可以根據用電數據分析你家什么時候有人、什么時候沒人，后果可想而知。”

　　在向國家電網投訴的同時，該人士向淘寶投訴此類涉嫌收集、倒賣用戶數據的商戶“非法經營”。但是，根據該人士提供的一張投訴編號為“1468242”的淘寶投訴單顯示，淘寶對此投訴的回應為“舉報商品違規證據不足、舉報不成立”。需要指出，此類店鋪用來綁定的大量手機號，屬于公安部、工信部一直明確重點打擊的“黑卡”，但因為淘寶上類似掌上電力等注冊、綁定服務市場的存在，“黑卡”屢禁不止。

　　根據2012年12月28日第十一屆全國人民代表大會常務委員會議通過的《關于加強網絡信息保護的決定》，其中第三條規定，“網絡服務提供者和其他企業事業單位及其工作人員對在業務活動中收集的公民個人電子信息必須嚴格保密，不得泄露、篡改、毀損，不得出售或者非法向他人提供”。其后，工信部頒布《電信和互聯網個人信息保護規定》，第二章第十條規定，“電信業務經營者、互聯網信息服務提供者及其工作人員對在提供服務過程中收集、使用的用戶個人信息應當嚴格保密，不得泄露、篡改或者毀損，不得出售或者非法向他人提供。”

　　知名IT與知識產權律師、中國互聯網協會信用評價中心法律顧問趙占領認為，根據《關于加強網絡信息保護的決定》、《電信和互聯網個人信息保護規定》，“泄露個人信息，可以追究公司職工的民事責任、以及單位的行政責任。”

　　而在淘寶規則中，“虛擬賬號類商品，如支付寶、微信號、百度錢包、翼支付、快錢錢包、QQ錢包等；提供或接收驗證碼的服務類商品；手機號碼注冊、認證類商品；代注冊賬號類商品”等商品被視為發布涉嫌欺詐等非法用途的商品或服務。

　　國家電網已向淘寶舉報

　　21世紀經濟報道記者就上訴情況咨詢國家電網對外聯絡部，后者調查后回應記者稱：“經查證，根據目前掌握的實際情況和公司現有的技術管控手段，在推廣掌上電力、電e寶App過程中不存在泄露大量戶號、查詢密碼、詳細地址的情況。”

　　國家電網表示，“按照公司《信息系統業務授權許可使用管理辦法》的要求，全網范圍內的信息系統無批量導出功能，無渠道可獲取批量用戶信息。”且“公司高度重視用戶個人信息的保護，不僅從技術手段上進行嚴密防控，在業務管理方面也實現周密管理。業務人員需簽訂安全保密協議、定期開展安全自查，并主動向公安部申請安全防護檢查。”

　　國家電網一直把網絡安全作為重點工作，且與公安部進行多次攻防演練。2016年9月，按照公安部要求，國家電網已經開始對存在弱口令風險的用戶賬號、密碼進行批量重置，且對內部數據的使用權限進行了嚴格規定。

　　國家電網相關人士回應，2016年9月之前，國家電網曾對各省掌上電力App發展情況進行排名。但9月份之后，國家電網對掌上電力發展開始明確要求“業務滲透率”，只考核“繳費業務”、“新裝業務辦理線上比例”，不對App綁定數量做要求。該人士表示：“我們肯定會嚴格審查，如果發現有違規現象，不會手軟，該上公檢法就上公檢法，嚴格處理。”

　　對于淘寶上提供“掌上電力綁定”業務的情況，國家電網表示：“網絡上存在淘寶商家銷售相關商品的行為，對我公司的企業形象造成損害，對公司服務的客戶造成誤導，我們已向淘寶網進行舉報。”

　　12月9日，國家電網已經向淘寶官方提起投訴、舉報，但至12月12日下午14時，掌上電力綁定服務仍未下架，且一家名為“投票大王”的店鋪還在使用淘寶直通車服務，其宣傳圖片上宣稱“掌上電力注冊綁定、萬戶一天完成”。

　　12月12日15：40之后，21世紀經濟報道記者搜索“掌上電力”，大量寶貝被下架，此前記者統計過的銷量較高的寶貝均顯示“商品過期不存在”。但是，仍然有70多個寶貝出現在搜索結果中，而且，記者統計過的72家店鋪均未被關閉，已經有店鋪通過更改寶貝圖片、夾帶關鍵詞等方式逃避審批，上述使用淘寶直通車服務的商戶，仍然排在廣告欄的首位。21世紀經濟報道記者之前咨詢的多位店主告訴記者：“淘寶說是業務違規，給我們都下架了。但業務照做，你去拍個其他的鏈接。”

　　需要指出，手機號碼注冊、非法信息采集等類目都屬于淘寶禁限售類別，違規者會被處以“立即刪除商品、扣12分”的處罰。但是，多位店主告訴記者“沒有扣過分”。