【溜溜快讯】近日，有媒体报道称支付宝闹“内鬼”，支付宝前技术员工利用工作之便，偷取公司20G用户信息盗卖，已被警方控制。支付宝方面也承认确有内部员工盗卖用户信息案。此外，据传凡客诚品系最大买家，花重金从该员工处购得支付宝用户资料1000万条。

　　支付宝闹“内鬼”用户信息被盗卖

　　据京华时报称，近日，有媒体报道“支付宝闹内鬼，20G用户信息被盗卖”，这些用户资料，包括公民个人的实名、手机号、电子邮箱、家庭住址、消费记录等。

　　媒体报道称，2013年11月27日，从事电商工作的张某因“涉嫌非法获取公民个人信息罪”，被杭州市公安局西湖分局刑事拘留。而张建案后牵出一个叫李明的人，他是阿里巴巴旗下支付宝的前技术员工，其利用工作之便，在2010年分多次在公司后台下载了支付宝用户的资料，资料内容超20G。李某伙同两名同伙，随后将用户信息多次出售给电商公司、数据公司。

　　另据经济观察报称，目前，张建、李明等处于取保候审状态。

　　经阿里巴巴廉正部查悉，下载支付宝用户资料的行径或为李明所为，并在杭州报案。杭州警方以该市翠苑派出所为主体，将上述四人予以控制。犯罪嫌疑人张建系李明团伙的第一个“客户”，其以500元的代价，从李明处购得3万条支付宝用户信息。

　　支付宝方面承认确有内部员工盗卖用户信息案。支付宝方面表示，阿里巴巴是在一次例行自查中，发现前员工李某的不正当行为。支付宝称，阿里巴巴廉正部在2012年例行内部审计时发现前员工李某在数据处理上的不正当行为，并在调查后将李某移交公安机关进行侦办。

　　支付宝方面回应称，这名支付宝前员工事发是阿里巴巴公司发现并主动报警的，该员工盗取的信息是2010年前不含密码、不含核心交易数据的非敏感信息。

　　不过，对于报道中提到的泄露的信息包括“公民个人的实名、手机号、电子邮箱、家庭住址、消费记录等”，支付宝并没有在这份声明中作出回应。支付宝只说，根据李某自述，其销售数据为2010年之前不含密码、不含核心身份信息的部分非敏感交易内容，不涉及用户隐私及安全。

　　此外，媒体报道还称，尽管是阿里巴巴自己报的案，但阿里巴巴系统内，大多数人对李明案都未曾听闻。一位支付宝内部的管理人员承认李明确实盗卖用户信息，但又强调，此案事发已有几年，且用户信息并未被大范围传播上网。

　　此外，有接近李明的人士表示，李明离职前从支付宝下载的数据多达20G以上，只要通过一些软件录入数据库再予以专业分析的话，基本上可以将所有支付宝、淘宝用户的消费习惯尽收眼底。“这些用户信息，都是可以带来钱的，可以变现的。”

　　不过，支付宝内部人士表示，“我们也不知道这20多G具体是什么信息，甚至究竟有没有20G这么大，我们也不知道。”该支付宝人士还表示，李明团队所盗卖的数据，至被用于其个人牟利，目前还没有被他们传到网上，对社会不构成公共性的危害。

　　阿里巴巴一位内部知情人士透露称，在阿里巴巴旗下诸公司内，员工等级不同，权限也不同，像李明这样大量下载用户资料为什么没有第一时间被监控到，直到3年后才被公司发现继而报案，他本人表示很难理解。“不得不承认，我们在管理上出了一些问题。”

　　此外，对于像支付宝员工盗卖用户信息案，江苏一位网警也表示很无奈。“作为警方而言，目前此类案件只能往‘非法获取公民个人信息罪’上靠，但此罪造成的影响很难被认定。公民个人信息被泄露，对于公民个人而言，究竟造成了多大的损失，很难被量化。在对犯罪嫌疑人的罪行认定中，警方目前一般是以犯罪嫌疑人贩卖信息的条数来认定情节严重与否。”

　　凡客诚品购买数据?

　　据涉案者供述，支付宝用户的最大买家系服装类电商公司凡客诚品，其花重金从李明团伙手中购得支付宝用户资料1000万条。不过，警方目前并未确认购买者涉及凡客。

　　1月2日晚间，凡客诚品一位副总裁表示，他对此案不清楚，也“没听说过”。凡客诚品公关总监焦宏宇亦表示她暂未听闻，问询过公司法务部门后，她向经济观察报表示：“我们暂时没接到警方的问询记录，如果警方有需要，我们会积极配合。”

　　是否存在敏感信息?

　　据第一财经日报称，多位业内人士向表示，支付宝泄露的信息具有交易价值，极有可能包含个人识别等敏感信息，也即与支付宝声明不符，其已经涉及用户隐私并威胁到账户安全。

　　一家涉足第三方支付、互联网金融等业务的上市公司风控高管表示,“对于用户隐私级别的定义，主要从两个方面进行控制。一是技术层面，包括信息的存储、抽取等都进行加密;二是体制以及公司管理流程方面。”“外围部门要调用用户身份认证的信息或是交易信息时，需要从两个层面进行规范。”第三方支付平台需要根据央行等中央部门的要求，对用户的基本信息包括姓名、证件号、身份证影印信息等都要留存，这部分为核心信息;而对于消费行为、历史交易信息等，必须按照相关法规保留10年以上，这类信息对于电商行业来说也是关键资源。因此，这两个模块的信息是公司的重点保护信息，而用户的信用卡号、使用期限等则不会在数据库中留存。

　　艾媒咨询CEO张毅表示，“信息有价值，才会有人买;如果李某能获得用户信息，那么用户的其他信息也就有渠道泄露。”这说明，支付宝存在安全隐患，在公司管理、技术和公司数据运用流程方面出了问题。

　　北京惠诚律师事务所律师赵占领表示，在这次的泄露事件中，支付宝即使没有刑事责任，也需要承担民事责任——用户在设置支付宝账户时，已经与支付宝公司签订用户协议，支付宝公司有义务和责任保护用户信息安全。“从法律上说，信息也分等级。信息如果能识别出个人身份、消费行为等，则为核心信息，一旦泄露，警方会介入。如果如支付宝声明所指：李某泄露的信息不包括个人识别的信息，那么警方是不会介入的。他因此质疑支付宝的推责之嫌。

　　赵占领进一步解释称，支付宝泄密事件，如果不是技术上造成的问题，也肯定是在管理上出现了漏洞，对用户的信息以及支付宝账户上的财产安全造成损失，就必须承担民事责任。

　　此外，分析称，“只有高层可以阅读核心数据等类似的话，肯定是伪命题。”公司需要技术人员在数据库中提取数据来给高层阅读。因此数据的搬运员才是关键，对其设定权限限制才是企业应该做的。“互联网公司一般而言会针对竞争对手、公司损失等方面对信息进行安全级别的分类;但目前，互联网公司没有对信息泄露做出一个预警系统;没有人牵头做信息安全的预警系统，这是目前信息安全的困境。”

　　在前述风控高管看来，支付宝泄密事件的当事人，很有可能只是数据库操作维护级别的员工，公司高层有自己的信誉以及收入保障，没有动机泄露信息，“安全隐患一般来自数据库的维护人员以及数据提取人员，形象的说法为数据库的看门人。”

　　复旦大学管理学院企业管理系孙金云博士认为，在互联网时代，大量数据的产生和技术层面对个人信息保护难度的增加导致泄密带来的后果和影响面都远超以往。

　　美国安客诚亚太区域公共政策隐私官潘兆娟也表示，在大数据时代，数据对营销的价值正在发生变化，即使是在全球范围内，数据保密安全政策和标准还有许多需要开发与完善的地方。

马云放权“惹祸”?

　　更早之前的2011年，马云针对公司CEO卫哲引咎辞职事件，在阿里巴巴内部邮件中表示：对于“触犯商业诚信原则和公司价值观底线的行为”，不能有任何的容忍姑息。

　　在阿里集团董事局主席马云的世界观里，世界上就两种人，有梦想和没有梦想的人。

　　据媒体援引一位阿里集团前中层管理员工的描述称：作为强调“互联网味道”的公司，马云对阿里强调团队精神、放权以及信任，也敢于把权力交给一线员工。“相比国内其他公司，阿里对员工的权限放得比较开。”在早期，这样的放权传递了积极信号，但随着公司体量越来越大，并不能保证所有员工都绝对自律。

　　特别是在近几年的高速成长期之后，一方面，阿里老员工们也不都是真正的江湖侠士，当现实利益摆在眼前时，他们面临更多选择;另一方面，更多的新进员工，并不把阿里巴巴当作一家创业型公司，而是按照一家成熟的大公司来期望。尤其是新进入公司的“85后”、“90后”，能够见到马云的次数很少，因而他们更关注自己的职业发展目标、收入等。

　　这些都在阿里内部管理中埋下了诸多隐患，如何科学放权与有效管控各种信息安全，是其无可回避的问题。此前，阿里的大规模轮岗以及几次变阵，也被期望达到“流水不腐、户枢不蠹”的目的。

　　事实上，从2011年的“挥泪斩卫哲”到2012年反腐卸载“阎利珉”，对于内部治理，阿里一直在边治疗边完善。2012年6月，阿里集团在管理团队中设立首席风险官一职，由原集团秘书长、副总裁邵晓锋出任该职务。对于设立该职位的原因，阿里集团形容为“必须学会在天晴的时候修屋顶”，在市场环境变化之前作出部署，未来阿里集团将在体制建设、价值观强化以及制度保障上，全面推进风险管理体系。

　　但是，阿里的体量决定其并没有参考配方。“想要防范这样的人，除了公司内部审计制度外，法律的制裁也是必需的。”前述上市公司风控高管称。

　　黑色产业链

　　据媒体援引某电商资深从业者的话称，自己在淘宝网上也代理了几个内衣品牌的销售。在他看来，“做电商就是做数据!”随着电商的发展，客户精准定位越发重要。大多数做电商的人，尤其是做到一定规模的人，都会购买数据。这些电商从业人员会选择一些付费的“情报工具”，如由上海某公司开发的“情报通”。以情报通为代表的数据软件，主要通过搜索引擎、数据库等技术，对淘宝店进行数据分析，比如你店铺的竞争对手做了哪些直通车广告，用了哪些关键词，效果如何，以及行业分析、店铺分析、宝贝分析、买家搜索等，软件都可以提供。通过使用这类软件，电商从业人员可以获取竞争对手的数据，以作为调整营销策略和产品定位的参考依据。“我用的情报通，一年的年费是5万元，数据对电商而言，太重要了。”这些付费的数据软件固然重要，但依然无法企及消费者的个人信息资料。“举个例子，比如我是卖女性内衣的，如果我手上有一个数据库，得知喜欢在网上买内衣的女性消费者，她们购物的频次如何，价格区间如何，消费规律如何，喜欢什么品牌，等等，如果知道了这些信息，我就可以提炼出更多的信息，以调整店铺战略。如果再知道了她们的手机号码、电子邮箱、家庭住址等，我甚至还可以向她们定向群发短信、邮件、直邮DM等，她们都是精细化营销的潜在消费者!”

　　据该电商资深从业者称，作为电商从业人员，他最需要的就是这样的精细化数据，但苦于没有门路，只能退而求其次地付费使用情报通等数据分析软件。

　　另据网警介绍称，在电商领域，的确存在隐秘的客户资料黑色产业链，在“黑市”中，用户资料的价格按照“行规”是以文件大小来销售的，打包文件大部分是上百兆的大小，含有几千条信息，一般价格是几万元不等。其中，最值钱的是电商的用户资料，可以按条数来卖，一个经过精细分析的“数据包”甚至可以叫价百万元以上。买家的目的各自不一，有人是用以信息诈骗，有人是买断竞争对手的全部用户资源，有人则是为了给目标客户发送广告。“这种产业链主要集中在电子商务发达的地区，比如杭州、上海、深圳等地。”>>返回溜溜快讯