支付宝“安全门”还未过去。
继支付宝账户频遭盗刷的风波后,近日又被爆出现其前员工盗卖20G海量的支付宝用户信息。尽管支付宝声明称,据李某(注:上述前员工)自述,其销售的数据为2010年之前不含密码,不含核心身份信息的部分非敏感交易内容,不涉及用户隐私及安全。
但是,多位业内人士向《第一财经日报》记者表示,支付宝此次泄露的信息具有交易价值,极有可能包含个人识别等敏感信息,也即:与支付宝声明不符,其已经涉及用户隐私并威胁到账户安全。
北京惠诚律师事务所律师赵占领对《第一财经日报》记者表示,在这次的泄漏事件中,支付宝即使没有刑事责任,也需要承担民事责任—用户在设置支付宝账户时,已经与支付宝公司签订用户协议,支付宝公司有义务和责任保护用户信息安全。
敏感信息
“信息有价值,才会有人买;如果李某能获得用户信息,那么用户的其他信息也就有渠道泄漏。”艾媒咨询CEO张毅表示,这说明,支付宝存在安全隐患,在公司管理,技术和公司数据运用流程方面出了问题;支付宝用户的财产安全已经受到威胁。
“对于用户隐私级别的定义,主要从两个方面进行控制。一是技术层面,包括信息的存储,抽取等都进行加密。二是体制以及公司管理流程方面。” 一家涉足第三方支付、互联网金融等业务的上市公司风控高管向《第一财经日报》记者表示“外围部门要调用用户身份认证的信息或是交易信息时,需要从两个层面进行规范。” 据其介绍,第三方支付平台需要根据央行等中央部门的要求,对用户的基本信息包括姓名,证件号,包括身份证影印信息等都要留存,这部分为核心信息;而对于消费行为、历史交易信息等,必须按照相关法规保留10年以上信息,这类信息对于电商行业来说是也是关键资源。 因此,这两个模块的信息是公司的重点保护信息,而用户的信用卡号,使用期限等则不会在数据库中留存。
“从法律上说,信息也分等级。信息如果能识别出个人身份、消费行为等,则为核心信息,一旦泄漏,警方会介入。” 昨日,赵占领对《第一财经日报》记者表示,如果如同支付宝声明中所指出的:李某泄漏的信息不包括个人信息识别的信息,那么警方是不会介入的。 他因此质疑支付宝声明的推责之嫌。
“真的没有敏感信息吗?”互联网观察人士葛甲则直言,被交易的用户数据既然有交易价值,为何支付宝还要死硬抵赖说不涉及用户的敏感信息?
“如果此次泄漏事件被定义为支付宝员工个人行为,这位员工就构成刑事犯罪,需要负刑事责任。如果是受公司指使,那么公司肯定要负责刑事责任。” 赵占领进一步解释称:支付宝泄密事件,如果不是技术上造成的问题,也肯定是在管理上出现了漏洞,对用户的信息以及支付宝账户上的财产安全造成损失,就必须承担民事责任。
“企业泄密并非新鲜事物,有企业就会有机密,就会有被泄露的可能。”复旦大学管理学院企业管理系孙金云博士认为,在互联网时代,大量数据的产生和技术层面对个人信息保护难度的增加导致泄密带来的后果和影响面都远超以往。
老牌数据公司、美国安客诚(Nasdaq: ACXM)亚太区域公共政策隐私官潘兆娟也向本报记者表示,在大数据时代,数据对营销的价值正在发生变化;即使是在全球范围内,数据保密安全政策和标准还有许多需要开发与完善的地方。
在风险控制方面,以此前“CSDN”论坛用户信息泄漏为例,前述风控高管向本报记者表示,CSDN论坛信息泄漏,许多注册用户的账户秘密被泄密;内部会对比泄漏的信息和自己数据库的信息,然后对用户进行警告。如果属于严重泄密,例如用户账户密码泄漏,会强制要求用户改密码。“如果支付宝泄露的数据已经威胁到用户账户安全,那么必须采取有效的风控举措。”
“互联网公司一般而言会针对竞争对手,公司损失等方面对信息进行安全级别的分类;但目前,互联网公司企业没有对信息泄漏做出一个预警系统;没有人牵头做信息安全的预警系统,这是目前的一个信息安全的困境。”张毅说
赵占领则表示,如何保护个人信息安全需要从两方面入手:一是用户在网上注册时,需要考虑自己提供的信息是否为享受该服务所必须的内容。二是用户信息如果必须提供,用户自己要做好安全防范手段 。
“个人消费者在遇到这类事件时,如果确定自己的财产安全遭受损失,可以直接找支付宝公司进行索赔。第二可以找支付宝的上级主管部门,例如杭州通信管理局进行协调。第三则可以采取法律手段,对支付宝公司起诉。”赵占领说。
治理难题
“只有高层可以阅读核心数据类似的话,肯定是伪命题。”张毅向《第一财经日报》记者表示,公司需要技术人员在数据库中提取数据来给高层阅读。因此数据的搬运员才是关键,对其设定权限限制才是企业应该做的。
显然,这正在考验阿里的管理风格。据一位阿里集团前中层管理员工向《第一财经日报》记者描述:作为强调“互联网味道”的公司,马云对于阿里强调团队精神、放权以及信任,也敢于把权利交给一线员工。
“相比国内有的公司,但阿里对于员工的权限放得比较开。”其表示,在早期,这样的放权传递了积极信号,但随着公司体量越来越大,并不能保证所有员工都绝对自律。
支付宝回应称,基于已有的数据安全体系,阿里巴巴廉正部在2012年例行内部审计时发现了前员工李某在数据处理上的不正当行为,并在调查后将李某移送公安机关进行侦办。
在前述风控高管看来,支付宝泄密事件的当事人,很有可能只是数据库操作维护级别的员工,公司高层有自己的信誉以及收入保障,没有动机泄漏信息;“安全隐患一般来自数据库的维护人员以及数据提取人员,形象说法为数据库的看门人。”
张毅也认为,此次支付宝泄密事件,其中接触信息的关键人员是问题的关键。
“这不是阿里的问题,只是阿里比较大,出现泄密的可能性更高一些而已。” 孙金云对于前述事件如此表示。
1999年,马云和十八罗汉创立了以B2B为主营业务的公司(Alibaba.com);到2012年,阿里集团一位高管在接受采访时曾披露,阿里集团的员工总数已经超过2万。
在马云的世界观里,世界上就两种人,有梦想和没有梦想。虽然这种“梦想驱动”与乔布斯的“现实扭曲力场”不无相似之处,但这将更像马云用江湖情节与梦想磁场打造的公司,但他也会发现,价值观可以很实也可以很虚。
特别是在近几年的高速成长期之后,一方面,阿里老员工们也不都是真正的江湖侠士,当现实利益摆在眼前时,他们面临更多选择。另一方面,更多的新进员工,并不把阿里巴巴当作一家创业型公司,而是按照一家成熟的大公司来期望。尤其是新进入公司的85后、90后,能够见到马云的次数很少,因而他们更关注自己的职业发展目标、收入等。
这些都在阿里内部管理中埋下了诸多隐患,如何科学放权与有效管控各种信息安全,是其无可回避的问题。此前,阿里的大规模轮岗以及几次变阵,也被期望达到“流水不腐、户枢不蠹”的目的。
事实上,从2011年的“挥泪斩卫哲”到2012年反腐卸载“阎利珉”,对于内部治理,阿里一直在边治疗边完善。2012年6月,阿里巴巴集团在管理团队中设立首席风险官一职,由原集团秘书长、副总裁邵晓锋出任该职务。对于设立该职位的原因,阿里集团形容为“必须学会在天晴的时候修屋顶”,在市场环境变化之前作出部署,未来阿里集团将在体制建设、价值观强化以及制度保障上,全面推进风险管理体系。
但是,阿里的体量决定其并没有参考配方。“想要防范这样的人,除了公司内部审计制度外,法律的制裁也是必须的。” 前述上市公司风控高管称。
孙金云建议,对于企业机密的保护需要从产业环境、企业政策与架构、企业文化与员工自律三个方面入手。具体而言,在产业环境方面,政府对于泄密行为、泄密人、获益者必须第一时间做出响应,严格执法,增加泄密窃密的成本;而在企业政策与架构方面,企业本身要加强内部监管,从技术和制度上减少泄密的机会和可能;最后,在企业文化与员工自律方面,要加强员工的归属感和荣誉感,减少员工窃密的动机。
(本报记者 黄远、赵楠、王馨梓对此文也有贡献)
我来说两句排行榜