📖 ZKIZ Archives

“應把籬笆紮緊一點，為消費者把好關” 蘇寧易購用戶信息遭泄露

“我按照電話一個個地打，越打越傷心。包括姓名、電話、買的東西……我發現那些信息都是真的。”

被自稱“蘇寧易購客服”的詐騙電話騙去47，500元後，華南師範大學教師李壽明抱著求證的心態，從網上購買了兩百條“蘇寧易購客戶信息”，經核實無誤後，一個一個致電提醒對方不要上當受騙，“我不想他們跟我一樣”。

截至2015年9月15日，“蘇寧泄露隱私維權群”中已有北京、長沙、廣州等141名受害者，單筆被騙金額最高達8.3萬元，被騙總金額達190萬元。

蘇寧易購方面表示，已向南京玄武區公安局報案，並會全力配合警方調查。但由於“沒有查詢到因為蘇寧易購系統的原因所導致的信息泄露”，不可能對受害者進行賠償。

以取消業務為名行騙

2015年4月5日，李壽明在蘇寧易購下單購買了一臺小冰箱。兩個月後，他接到一個自稱“蘇寧易購客服”的電話，對方一字不差地報出了他在蘇寧易購上下單的包括購物時間、所購商品、發貨地址等訂單信息。對方稱誤把李壽明歸到了批發商名單當中，希望他配合取消此業務，不然所綁定銀行卡的余額有被扣除的風險。

接著，另一自稱受蘇寧易購委托幫助取消業務的“銀行工作人員”打來電話，“指導”李壽明在ATM上進行了一連串操作。因為步驟多、對方的說辭也很專業，李壽明沒有意識到自己正在轉賬。等到恍然大悟，他的錢已經落入對方的銀行賬戶里。

華南理工大學學生林未也在蘇寧易購購物後接到“蘇寧易購客服”和“銀行工作人員”的電話，導致他的支付寶被騙走18，155元。

林未認為，他之所以上當是因為騙子提供了準確的訂單信息，使他相信了騙子假冒的“蘇寧易購客服”身份。他相信是蘇寧易購泄露了訂單信息，並決定找蘇寧易購理賠。

7月28日，林未等5名受害者來到蘇寧易購位於南京的總部，要求蘇寧易購道歉並賠償損失，同時在蘇寧易購網站首頁公示詐騙場景或群發防詐騙短信。蘇寧易購方面拒絕了這些要求。

當時在場的蘇寧易購法務部工作人員對林未說：“如果法院判了（是我們的錯），我們會一分錢不少地（賠給你）……但不會私底下協商賠償。”

8月16日，蘇寧易購山東濟南消費者王淑華同樣接到了自稱把她歸到了批發商名單、要求取消訂單的電話，最後導致她被騙近七萬元。多次向蘇寧易購投訴後，王淑華得到的回應是“蘇寧易購不會泄露用戶信息”“建議您盡快報警”以及“我們會協助警方調查”。

李壽明發現，蘇寧易購直到8月31日才在實體店發布了防詐騙提示信息。“而6月在網上掛出的防詐騙提示卻深藏在蘇寧易購的五級菜單下，要費很大的力氣才能找到。”

中國人民大學商法研究所所長、中國消費者協會常務理事劉俊海認為，蘇寧易購沒有以顯著的、容易理解的方式警示消費者，是在履行消費者保護義務方面有所懈怠。

系統漏洞或致信息泄露

訂單信息到底是從哪里泄露出去？被騙之後，大惑不解的李壽明專門翻出了冰箱外包裝，上面並沒有訂單信息。

他嘗試著搜索“個人信息出售”QQ群，並在一個群中求購蘇寧易購訂單交易數據。李壽明順利地買到了兩百條蘇寧易購電器類訂單信息。賣家告訴李壽明，既有蘇寧易購內部員工在販賣信息，也有黑客通過攻擊蘇寧易購的系統來提取數據。

李壽明還發現，在第三方安全漏洞平臺烏雲網上，由“白帽子”（識別並公布系統安全漏洞但不惡意利用的網絡高手）提交給蘇寧易購的系統漏洞多達兩百多條。讀大學時修讀過計算機專業的李壽明稱，經查詢，他在烏雲平臺上獲得的蘇寧易購的系統漏洞，早前確實存在。

“可能因為蘇寧易購的業務比較龐大，程序邏輯問題比較多，旗下網站的子系統問題也比較多。”烏雲網安全專家王彪這樣評價蘇寧易購系統漏洞問題。

自2012年6月至2015年9月，烏雲平臺上共發布蘇寧易購系統漏洞270條，其中在2015年發布的漏洞數目顯著增多，僅6月就發布了58條。

270條漏洞中，與敏感信息泄露相關的占5%，與用戶敏感數據泄露相關的占1%。其他類別的漏洞也可能導致泄露用戶信息的風險，比如後臺弱口令。王彪解釋，後臺弱口令就是管理人員的密碼設置比較簡單，容易被暴力猜出；如果在有敏感信息的系統中存在後臺弱口令漏洞，那麽用戶信息同樣有泄露的可能。

據王彪分析，從目前發現的蘇寧易購系統漏洞中能夠得到部分用戶的訂單號碼、姓名、電話、地址等信息。但是，“漏洞是‘白帽子’發現後提交到烏雲的，在此之前，我們也不知道是否有被利用。理論上來說，廠商收到漏洞都是會立馬修複的。這畢竟關系到他們自身系統、業務安全。”

王彪向南方周末記者分析了提交於7月份的兩個蘇寧易購系統漏洞。其中一個漏洞名為“蘇寧易購主站多接口越權操作訂單及遍歷用戶訂單信息”，在正常情況下登錄蘇寧易購系統，用戶看到的應該是自己的酒店訂單。但由於蘇寧易購的系統驗證問題，用戶通過訪問不同的訂單網址，還能看到別人的訂單信息。“如果沒有更多安全防護措施的話，所有酒店訂單信息都可以看到。”

7月31日提交的題為“蘇寧易購支付某處url任意跳轉已被大量運用到釣魚詐騙中”的漏洞指出，蘇寧易付寶的某個鏈接沒有做跳轉限制，可以跳到其他網站。如果攻擊者利用它跳轉到釣魚網站，用戶看到主域名是蘇寧易購的，就會比較信任，容易上當受騙。王彪表示，蘇寧易購現在已經增加了這一限制，不會再出現類似問題。

蘇寧易購：我們不可能賠償消費者

蘇寧易購客戶服務中心負責處理此事的蔣姓工作人員告訴南方周末記者，烏雲網提交的系統漏洞“已經修複掉了”。他表示，蘇寧易購網站的安全等級是絕對達到標準的。針對4月以來大批消費者被騙，蘇寧易購成立了專門調查小組，“目前沒有跡象證明因為蘇寧易購系統原因導致用戶信息泄露”。

“無論出於什麽原因，我們都不可能對消費者做任何賠償。”該工作人員表示，蘇寧易購有責任去保護用戶信息，但沒有責任賠償這部分消費者的損失，因為“蘇寧易購沒有主動泄露任何的用戶隱私信息，在這件事上也是一個受害者，這對蘇寧易購的名譽也造成了較大的影響”。

劉俊海認為，即便蘇寧易購沒有主動泄露消費者隱私信息，也不能證明其沒有過失。“你應當把籬笆紮緊一點，為消費者站好崗把好關。”根據消費者權益保護法第七條，消費者在購買、使用商品和接受服務時享有人身、財產安全不受損害的權利；消費者有權要求經營者提供的商品和服務，符合保障人身、財產安全的要求。如果因未采取合理的保障措施致使消費者個人信息泄露並造成損害，蘇寧易購就違反了消費者安全保護義務。

劉俊海建議，除了協助公安機關破案，蘇寧易購也應積極與消費者商討解決方案。

北京市律師協會消費者權益法律事務專業委員會主任邱寶昌建議受害者報案，或向市場監管部門投訴。他認為，消費者可以盡到自己的舉證義務，但要證明蘇寧易購是過失性泄露信息或個別人故意泄露信息，還須借助行政力量和司法力量進行調查，單憑消費者個人舉證很難做到證據充分。

美國紮緊籬笆：入門價翻倍，投資移民迎“冰風暴”

羅厚民這幾個星期特別忙碌。

作為美國元臣國際律師事務所的國際合夥人，他告訴第一財經記者，近期每天預約的客人有四五個，還有許多打電話來咨詢的。

“往年春節前夕都是淡季，生意很冷清。但今年卻比較反常。”他認為，“反常”的原因，是最近政策有一些變動。

羅厚民所說的“政策變動”，主要是指1月12日美國國土安全部(Homeland Security Department)公布的投資移民政策修改建議。其中，投資移民的最低“入門價”從50萬美元(約合人民幣345萬元)飆升至135萬美元(約合人民幣927萬元)，大漲1.7倍。

目前，該建議正在征求公眾意見。當選總統特朗普即將就職，而他從競選階段起就表明要收緊移民政策，把工作機會留給美國人。特朗普及其新班子將如何對待EB-5，也成為人們關註的焦點。

提高申請門檻

“50萬美元，全家投資移民美國。”許多想移民美國的人都知道這句誘人的口號。

不過，根據最新的美國投資移民簽證EB-5規定修改建議(EB-5 Immigrant Investor Program Modernization)，申請移民簽證的最低標準投資金額將從100萬美元提高到180萬美元，目標就業區(TEA)最低投資標準將從50萬美元提高到135萬美元。目標就業區最低投資金額相當於標準最低投資的75%，而不是過去的50%。

由美國國會主導，《美國移民歸化法案》於1990年新設了職業移民第五優先[第203(b)(5)條的8 U.S.C.§1153(b)(5)款]， 又稱EB-5項目，鼓勵外國投資者通過投資獲得美國永久居留權。

一般而言，具體負責相關事宜的美國公民及移民服務局(USCIS，隸屬美國土安全部，下稱“移民局”)對外國投資者要求投資金額不少於100萬美元。但為了刺激美國偏遠或高失業率地區的經濟發展，移民局規定如果申請人投資的對象處在 “目標就業區域”，即人口低於2萬的農村地區或失業率高於美國平均失業率50%的高失業率地區，投資金額限制可下調到不少於50萬美元。也就是說，一名外國人最低投資50萬美元給某一至少能夠產生10個工作機會的項目，全家(包括配偶和未成年子女)就能獲得“EB-5”移民簽證，進而可申請綠卡(即永久居留權)。

2008年金融危機後，美國國會將建築業納入EB-5創造就業範圍，EB-5申請急遽升溫，中國富有階層的大量資金湧入酒店、公寓、大型綜合體等建築項目的籌款中。

“漲價是沒有疑問的。2015年，美國國會就開始討論漲價的問題。當時，移民局局長還接受國會的咨詢。”羅厚民說，但大家似乎都沒想到，修改意見將最低投資標準從50萬美元提高到135萬美元，“這麽高的漲幅，反映出投資移民政策的主管對投資移民不太友善。”

美國國土安全部則認為，漲價幅度完全根據通脹的程度設計，135萬美元也就相當於1990年國會制訂該規定時50萬美元的價值。國土安全部還建議從新規定生效之後，每5年按照通脹率調整一次最低投資標準。

收權歸移民局

由於漲價的字眼太吸引眼球，所以許多人忽略了建議里的另一條款，即國土安全部建議取消各州劃定某些地理或政治區域為高失業地區的權力，由國土安全部直接劃定。

國土安全部還建議修改目標就業區的定義，保證它更能反映國會的意圖。國土安全部建議允許不超過2萬人口、失業率相當於全國平均失業率150%的任何城鎮都能成為目標就業區。而目前，只有州政府劃定的並提供能保護EB-5投資者證據的城鎮才能成為目標就業區。

其實，目標就業區的定義是要失業率相當於全國平均失業率的150%，但實際操作上，由於各州政府為了吸引投資，在劃定目標就業區上經常放水。

例如，繁華的紐約曼哈頓的時代廣場項目就被劃定為目標就業區項目，其實，這個酒店在42號街和第9大道的位置，是一個黃金地段。但最低投資金額也只要50萬美元。

根據移民局統計，美國98%投資移民都是走50萬美元這條通道，100萬美元的項目基本無人問津。最近幾年來，這個方案越來越受歡迎。從2015年以來，全年的1萬個簽證定額提前半年以上就被用完，80%的投資移民簽證申請來自中國。

EB-5的那些騙局

值得註意的是人氣高的地方，騙子也會聞風而至。

就在去年年末，美國證券交易委員會(SEC)對加利福尼亞州一名律師提起訴訟，稱該律師參與了一項EB-5投資移民項目，卻將來自投資移民客戶的巨額申請費挪用於自己的生意和購買私人遊艇等，存在嚴重的欺詐行為。

這名被起訴的律師名叫弗朗西斯科(Emilio Francisco)。根據SEC的指控，弗朗西斯科和他的PDC資本把所獲得的資金從一個項目挪到了另一個項目，直接盜取了至少960萬美元(約合人民幣6600萬元)用於私人的生意和奢華生活。

美國EB-5投資移民進入中國以來的最大一次醜聞，當數2013年曝光的“芝加哥會議中心”項目。在該案件中，美國商人塞思涉嫌布下投資移民騙局，受害人多達294名，其中有250人來自中國，涉案金額包括1.45億美元的投資費用和1100萬美元管理費用。

SEC隨後對塞思及其兩家公司的資產進行了凍結，保留了上億美元的投資款項，但投資者被騙的1100萬美元管理費用已有九成被花掉。

EB-5項目業內權威人士告訴第一財經記者，這些欺詐案例，往往都源於區域中心和開發商是一家，缺乏約束機制。“當投資者有意向辦理美國EB-5投資移民時，必須選擇獲得中國公安部門許可並批準的出入境服務機構。律所和海外的項目公司在中國境內的私募行為都是不具備合法性的。”外聯出國顧問集團美國項目部總監劉佳妮表示。

漲價主謀還是國會

雖然這次美國國土安全部鬧出那麽大動靜，但專家認為，真正做決定的還是美國國會。目前，國會對於EB-5最新版本的議案仍是去年3月9日公布的建議。

在美國國會此前公布的建議中，漲價力度沒有那麽大。“它提到分三步走，首先是從50萬美元漲到65萬美元，一年以後漲到75萬美元，最後才漲到80萬美元，並不像現在移民局公布的意見幅度那麽大。”羅厚民說，“不過，移民局只是根據國會的指引做事。移民局新主管的確是要進行改革。移民局最終要做什麽，還是取決於國會要做什麽。”

過去兩年，有關投資移民EB-5項目的爭議在美國國會一直沒有間斷。一方面，投資移民創造了就業機會。在去年上半年國會召開的聽證會上，移民局投資者服務中心主任尼古拉斯·克魯奇(Nicholas Colucci)說： “就2013和2015財年來說，EB-5項目大約吸引了87億美元的投資，創造了約35000個工作崗位。可以說，這個項目史無前例地受歡迎。”

特朗普女婿庫什納位於新澤西州的Kushner88公寓，也通過EB-5項目融資（創意圖）

然而，另一方面，該項目也暴露出涉嫌洗錢等許多問題。項目本身對外國投資者的資金缺乏限制，也有機構或個人利用投資者想要移民的心理進行詐騙。美國證監會執法部的數據顯示，2013年2月至2015年12月，該委員會提起19樁涉及EB-5項目的訴訟，其中將近一半涉及欺詐指控。

民主黨資深參議員範斯坦(Dianne Feinstein)曾在聽證會上表示，現行的EB-5項目應當在去年財政年結束之前被取消。“我不認為美國應當出售簽證和公民身份。移民權不應當被拿來銷售。”

由於移民局新建議的爭議性大，國會正在對此進行辯論，重大改革勢在必行。而在此期間，投資移民項目多次延期，每次時間不等。2012年，該項目延期3年到2015年9月，然後又延期一年至2016年9月，接著延期了兩個月到去年12月。去年12月通過的新規定是延期到2017年4月28日。這樣“走一步看一步的態度”讓人擔心其穩定性。

“考慮到國會4月28日會有新動作，並且移民局現在的征求意見是4月份到期，所以不會在4月28日之前采取什麽行動。”羅厚民說。

（記者繆琦對本文亦有貢獻）