【文章来源】法制网
　　2015年初，一场冒充“京东客服”的诈骗风波愈演愈烈，数百名消费者被盗刷银行卡。消费者的个人信息是否泄露？因何泄露？目前，这一疑问有了解答：京东出了“内鬼”。
　　据法制晚报报道，3名京东员工越权登录公司数据库系统，非法获取京东商城客户个人信息9313条，出售给电话诈骗犯罪分子。3人因以非法获取公民个人信息罪分别获刑1年6个月至1年。
　　记者获悉，目前已有律师接受了消费者的维权申请，正准备提起诉讼，向京东公司索赔。
　　【事件回顾】
　　骗子假冒京东客服 数百消费者被盗刷
　　2014年底，有消费者接到了声称是“京东客服”的电话，称京东系统升级导致消费者订单失效，要协助消费者办理退款。
　　之后，消费者会收到一条链接，按照要求一步步输入自己的身份证号、银行卡号、密码、短信验证码等信息，完成这一系列的操作后，这张银行卡里的钱就会被盗刷。
　　诈骗手法总是相似的，要识破骗局也并不难，然而这场骗局却有数百名消费者受骗，已知受害者最高被盗刷22万。有受害者认为，骗子之所以能够屡屡得手，很大程度上是因为他们掌握了消费者详细的购物信息并以此骗取信任。
　　这些个人信息有多详细？据警方透露，犯罪分子不仅可以报出消费者姓名、京东账号，甚至可以报出受害者3个月以内的购物信息，详细到衣服的颜色、款式、收货地址等。因此，很多受害者对于自称是“京东客服”的骗子深信不疑。
　　受害者们怀疑京东内部存在系统漏洞或者“内鬼”，泄露了消费者的个人信息。因此，上百名受害者建立了京东盗刷维权QQ群，与京东公司进行沟通，以期望联合起来进行维权。
　　【水落石出】
　　3名内鬼售卖9313条信息 越权登录系统
　　记者采访京东相关部门了解到，2014年12月，京东在内部审核中发现极个别员工有异常查询订单的行为，向公安机关报案，经公安机关调查取证，张某、杨某、王某三人有出售用户信息获利的犯罪行为，目前该案已经一审判决。
　　3人通过qq群寻找买家，以1.5元每条的价格售卖了这些个人信息。判决书显示，3人共出售9313条客户信息，而据3人称，他们共泄露客户信息近3万条。
　　值得注意的是，买主对于用户信息都有明确的要求，只要已在京东商城付款，但未确认收货的客户信息。这也跟骗子的诈骗手法相吻合。
　　3人并没有京东商城的客户信息系统登录权限，他们当时用的系统登录账号，是一位在昆山工作的主管的，虽然是越权登录并下载资料，但系统不会察觉到异常。
　　京东回复称，公司一贯重视用户信息安全，有严格的公司政策和规定，不允许任何人以任何方式泄露用户信息，一经发现绝不姑息。针对此案，京东已全力配合司法机关进行彻底调查。同时，加强了内部管理，杜绝类似事件的再次发生。
　　【律师说法】
　　电商应该承担民事赔偿 正准备提起诉讼
　　数百名消费者的个人信息到底是如何泄露的？事过一年，这个问题找到了答案，3名犯罪分子已受到了法律的惩处。然而在互联网时代，个人信息“裸奔”已不再是新鲜事儿，消费者因信息泄露被诈骗事件亦非仅此一例。客户个人信息被泄露，电商平台是否需要承担法律责任？
　　“网购的过程涉及多方参与主体及多重民事法律关系，其中最核心的是消费者与电商平台的关系。在‘消费者—电商—犯罪分子’这个关系链中，电商与消费者之间建立了合同关系，因为电商没有尽到基本的信息安全保障义务，导致消费者被骗，电商应承担违约责任。”公士公益团队张新年律师在接受记者采访时表示，在涉案员工承担刑事责任的同时，京东应依法对网购受害消费者承担民事赔偿责任。
　　据张新年透露，公士公益团队计划先从北京征集十位受害者接受委托起诉，然后面向全国征集，依法协助数百名被骗消费者集体维权。
　　“随着这起刑事案件的披露，可以确认京东内部员工非法泄露消费者信息的事实，将为网购消费者接下来的维权提供强有力的证据支撑。我们已经启动新一轮的维权工作，即将对京东提起民事诉讼。”张新年说道。
　　此前，有消费者起诉京东泄露个人信息要求索赔的案例，但该诉讼请求被法院驳回，理由是现有证据不足以证明订单信息被泄露系京东过失所致。但法院判决书提到，受害者取得足以证明系京东过失导致的证据，仍可要求京东过错范围内承担责任。