當你在網上購物時，除了電商平台、商家和快遞，還有别人能看到你填寫的個人信息嗎？答案是肯定的。近日，南都記者調查發現，在網購訂單信息的流轉鍊條中，存在着不為公衆所熟知的第三方服務商。它存儲着各大電商平台的網購訂單，在其後台搜索網名、地址、電話等關鍵詞，甚至可以找到某一買家幾年來在系統中記錄的全部訂單信息。專家分析認為，電信詐騙涉及的網購訂單信息，有些時候是從第三方軟件洩露出去的，因為第三方服務商的信息安全能力普遍較為薄弱，屢屢成為黑客和内鬼的攻擊目标。但因其通常隐藏在電商平台和商家之後，極易被忽視。

除了商家和平台，還有誰知道我的網購訂單信息？

近日，淘寶買家陳嘉向南都記者反映，她在淘寶上買東西時，發現貨品有損壞。與商家協商後，商家承諾二次補發。不過，她并沒有收到補發的貨品，因為貨品被寄到了她三年前的住址。吊詭的是，陳嘉此前從未向該商家提供三年前的住址，商家又是怎麼知道的？

陳嘉與淘寶商家聊天記錄截圖。受訪者供圖。

原來，在淘寶、商家、快遞公司和用戶之間，還隐藏着其他第三方——陳嘉遭遇的這次地址匹配錯誤，正是這個第三方的“鍋”。

商家解釋稱，為了方便管理各個電商平台的訂單以及貨品存儲，他們和一家名為“廣州我配網倉倉儲有限公司”（下稱“我配網倉”）的倉儲公司合作。他進一步解釋道，很多商家都與同一家倉儲公司合作，使用同一款訂單管理軟件，可能陳嘉在其他商家購物時曾提供過三年前的地址，所以軟件保存了陳嘉的訂單信息，這次碰巧自動匹配上了。根據商家展示的軟件後台截圖，搜索陳嘉的淘寶ID，可以查詢到她使用過的所有地址信息。不過商家強調，“這邊是不會給您洩露信息的，您放心。”“我覺得有點吓人。”陳嘉告訴南都記者，在她的認知中，應該隻有商家和快遞公司知道她的訂單信息，她完全不知道其他第三方的存在，“但是他們卻保有我的個人信息。”

第三方服務商可看到全部訂單信息 多未加密

南都記者從我配網倉的官網了解到，其是一家倉儲管理服務商，為多家電商平台的賣家提供貨物存儲、收發貨管理、信息對接等服務。對接的電商平台包括淘寶、京東、唯品會、拼多多等各大知名電商平台。

我配網倉的官方介紹圖。

與我配網倉合作的訂單管理軟件——“網店管家”則是電商平台的第三方服務商，主要功能有處理店鋪訂單、門店訂單、庫存管理等，其在淘寶服務市場上的銷量為4.3萬。

南都記者以電商平台商家談合作為由，聯系上我配網倉的業務人員趙翔。他介紹了訂單信息的流轉模式：通常商家把貨品放在我配網倉進行存儲，買家下單之後，經過商家審核，我配網倉會從電商平台的API接口自動抓單到網店管家，再由網店管家推送給我配網倉，由後者配貨并聯系快遞公司發貨。也就是說，無論是倉儲公司還是第三方訂單管理軟件，都有能力獲取和存儲電商平台買家的訂單信息。

網店管家的業務流程圖。

當被問及訂單信息是否會删除時，我配網倉的技術人員張洪表示，“基本上客人的訂單會一直存在系統裡”。網店管家的工作人員陸豐也證實，在軟件後台可以看到導入此系統的全部網購訂單信息，并且一般情況下，不會将這些訂單信息删除。他們都表示，可以通過搜索關鍵詞如淘寶ID、訂單編号、電話、地址等信息，找到買家在系統中的全部訂單。張洪表示，“沒查過太久的，但是半年和一年的信息是能查得到的。”從陸豐展示的網店管家後台中，南都記者看到，雖然淘寶對網購訂單進行了局部打碼，但隻要單機鼠标左鍵或雙擊某一具體的訂單信息即可“解碼”，完整顯示訂單号、成交時間、用戶名、收件人、地址、物流方式等信息。

網店管家的後台截圖。

陸豐還透露，在與其合作的200餘家電商平台中，隻有拼多多對手機号進行了虛拟号處理，淘寶正在嘗試對訂單信息進行部分打碼加密，其他電商平台并未對訂單信息進行加密處理。

第三方服務商應及時删除訂單信息 電商平台有審核義務

盡管陳嘉的遭遇可能是一次概率極小的系統錯誤，但隻要這些隐藏在用戶視線之外的第三方繼續存在，隐私被侵犯的感覺就難以消除。那麼，第三方服務商的存在是否合理？未經用戶同意，第三方服務商有權存儲其個人信息嗎？App違法違規收集使用個人信息專項治理工作組專家何延哲表示，一個商家往往在多個電商平台開設店鋪，如果由其中一個電商平台開發訂單管理軟件，可能涉及到各平台之間的數據競争問題。獨立第三方服務商有其存在的理由，長期磨合之下形成了當下這種結果。北京大學法學院副院長薛軍也認為，第三方服務商保存相關信息具有一定的合理性和必要性。但是保存的期限要有一個合理的限度，不宜長期保存，并在沒有經過同意的情況下進行分享。國家标準《信息安全技術 個人信息安全規範》要求，個人信息控制者委托第三方處理個人信息時，受委托者應嚴格按照個人信息控制者的要求處理個人信息。在委托關系解除時不再存儲相關個人信息。薛軍表示，如果是商家授權第三方服務商幫他管理發貨，那麼第三方服務商收集相關信息屬于為履行合同所必要的範圍之内，但商家也應該把委托第三方發貨的商業模式向用戶明确告知。北京網絡行業協會法律委員會副主任王琮玮也持有類似觀點：“倉儲公司與商家之前共享信息的目的是為了把貨送給用戶，在配送結束後，原則上應及時删除，而不應該保留。”她認為，商家在收集用戶信息的時候，應該按照網絡安全法的規定去明示收集信息使用的目的、方法等并征得用戶同意，另外也需要告知用戶，為其提供服務時會向第三方共享信息。此外，電商平台也有義務對于第三方獲取用戶信息的渠道進行審核。

有網購類電信詐騙因第三方洩露信息 建議增加審核制度

除了在存儲個人信息的時長方面可能存在違規風險，信息安全能力薄弱也讓第三方服務商屢屢成為黑客和内鬼的攻擊目标，用戶的個人信息因此屢遭洩露，進而引發詐騙。“請問您是否在××平台購買過××牌衣服？我是××平台客服。”近幾年，網購退款詐騙猖獗。冒充客服的詐騙分子以各種名義要求用戶彙款轉賬，而不少人上當的原因就在于——假客能夠精準地說出他們的網購訂單信息。網購訂單信息從何處洩露？36氪此前分析認為，電商平台和商家洩露的可能性較低，問題就出現在兩者交接的環節上：為了提高工作效率，快速填寫、打印快遞單、自動發貨等等，商家通常會使用第三方訂單管理軟件。

第三方管理軟件易成為黑客攻擊對象。圖：36氪。

上述分析稱，第三方軟件開發公司的信息安全能力往往不如電商平台強大，因此成為黑客主攻的薄弱環節——黑客可以輕而易舉地找到某些軟件的後門，在軟件工作的過程中掃描所有訂單信息并打包下載。除了黑客，内鬼也是主要的洩露源頭之一。網店管家的陸豐透露，此前曾有新來員工把客人的訂單信息拿出去賣，工作幾天就離職了。目前網店管家正在配合電商平台整改，後續電商平台也可能會徹底對訂單信息加密。何延哲告訴南都記者，從電商平台、商家、第三方管理軟件、倉儲公司，再到物流配送，已經形成了一個非常成熟的系統。如果網購訂單信息被洩露，大家可能首先想到的是電商平台和商家，很少有人注意到第三方服務商也是一個潛在的洩露渠道。而電信詐騙、金融詐騙涉及的網購訂單信息，有些時候就是從第三方軟件洩露出去的。他指出，商家可以通過正常的業務渠道獲得大量訂單信息，而這些信息又保存在第三方軟件中，“這種業務架構上的缺陷可能會增加信息洩露的風險。”中國交通運輸協會快運分會副會長徐勇提出，應該建立一個第三方管理軟件的審核制度，去審核軟件是否存在信息洩露的缺陷和風險。從技術上，應建立内部的防火牆和審核制度、登錄記錄檔案，防止内部人員洩露信息。何延哲也建議，如果由一個通過技術安全檢測的第三方技術平台進行訂單管理，那麼這個環節就會變得更加可靠。此外，還應該加大對此環節信息洩露的打擊力度，增強商家和第三方軟件維護人員的個人信息保護意識。（為保護受訪人隐私，文中陳嘉、趙翔、張洪、陸豐均為化名）采寫：見習記者 孫朝

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!