支付宝“安全门”远未过去。
继支付宝账户频遭盗刷风波后,近日又被曝出其前员工盗卖20G海量的支付宝用户信息。尽管支付宝声明称,据李某(注:上述前员工)自述,其销售的数据为2010年之前不含密码、核心身份信息的部分非敏感交易内容,不涉及用户隐私及安全。
但是,多位业内人士表示,支付宝泄露的信息具有交易价值,极有可能包含个人识别等敏感信息,也即与支付宝声明不符,其已经涉及用户隐私并威胁到账户安全。
北京惠诚律师事务所律师赵占领对记者表示,在这次的泄露事件中,支付宝即使没有刑事责任,也需要承担民事责任——用户在设置支付宝账户时,已经与支付宝公司签订用户协议,支付宝公司有义务和责任保护用户信息安全。
是否存在敏感信息
“信息有价值,才会有人买;如果李某能获得用户信息,那么用户的其他信息也就有渠道泄露。”艾媒咨询CEO张毅表示,这说明,支付宝存在安全隐患,在公司管理、技术和公司数据运用流程方面出了问题。
“对于用户隐私级别的定义,主要从两个方面进行控制。一是技术层面,包括信息的存储、抽取等都进行加密;二是体制以及公司管理流程方面。”一家涉足第三方支付、互联网金融等业务的上市公司风控高管向记者表示。
“外围部门要调用用户身份认证的信息或是交易信息时,需要从两个层面进行规范。”上述风控高管介绍,第三方支付平台需要根据央行等中央部门的要求,对用户的基本信息包括姓名、证件号、身份证影印信息等都要留存,这部分为核心信息;而对于消费行为、历史交易信息等,必须按照相关法规保留10年以上,这类信息对于电商行业来说也是关键资源。因此,这两个模块的信息是公司的重点保护信息,而用户的信用卡号、使用期限等则不会在数据库中留存。
“从法律上说,信息也分等级。信息如果能识别出个人身份、消费行为等,则为核心信息,一旦泄露,警方会介入。”赵占领对记者表示,如果如支付宝声明所指:李某泄露的信息不包括个人识别的信息,那么警方是不会介入的。他因此质疑支付宝的推责之嫌。
赵占领进一步解释称,支付宝泄密事件,如果不是技术上造成的问题,也肯定是在管理上出现了漏洞,对用户的信息以及支付宝账户上的财产安全造成损失,就必须承担民事责任。
“企业泄密并非新鲜事物,有企业就会有机密,就会有被泄露的可能。”复旦大学管理学院企业管理系孙金云博士认为,在互联网时代,大量数据的产生和技术层面对个人信息保护难度的增加导致泄密带来的后果和影响面都远超以往。
老牌数据公司美国安客诚亚太区域公共政策隐私官潘兆娟也向记者表示,在大数据时代,数据对营销的价值正在发生变化,即使是在全球范围内,数据保密安全政策和标准还有许多需要开发与完善的地方。
在风险控制方面,以此前“CSDN”论坛用户信息泄露为例,前述风控高管向记者表示,CSDN论坛信息泄露,许多注册用户的账户秘密被泄密;内部会对比泄露的信息和自己数据库的信息,然后对用户进行警告。如果属于严重泄密,例如用户账户密码泄露,会强制要求用户改密码。“如果支付宝泄露的数据已经威胁到用户账户安全,那么必须采取有效的风控举措。”
“互联网公司一般而言会针对竞争对手、公司损失等方面对信息进行安全级别的分类;但目前,互联网公司没有对信息泄露做出一个预警系统;没有人牵头做信息安全的预警系统,这是目前信息安全的困境。”张毅说。
治理难题
“只有高层可以阅读核心数据等类似的话,肯定是伪命题。”张毅向记者表示,公司需要技术人员在数据库中提取数据来给高层阅读。因此数据的搬运员才是关键,对其设定权限限制才是企业应该做的。
在前述风控高管看来,支付宝泄密事件的当事人,很有可能只是数据库操作维护级别的员工,公司高层有自己的信誉以及收入保障,没有动机泄露信息,“安全隐患一般来自数据库的维护人员以及数据提取人员,形象的说法为数据库的看门人。”
“这不是阿里的问题,只是阿里比较大,出现泄密的可能性更高一些而已。”孙金云对于前述事件如此表示。
在阿里集团董事局主席马云的世界观里,世界上就两种人,有梦想和没有梦想的人。
据一位阿里集团前中层管理员工描述:作为强调“互联网味道”的公司,马云对阿里强调团队精神、放权以及信任,也敢于把权力交给一线员工。
“相比国内其他公司,阿里对员工的权限放得比较开。”上述人士表示,在早期,这样的放权传递了积极信号,但随着公司体量越来越大,并不能保证所有员工都绝对自律。
特别是在近几年的高速成长期之后,一方面,阿里老员工们也不都是真正的江湖侠士,当现实利益摆在眼前时,他们面临更多选择;另一方面,更多的新进员工,并不把阿里巴巴当作一家创业型公司,而是按照一家成熟的大公司来期望。尤其是新进入公司的“85后”、“90后”,能够见到马云的次数很少,因而他们更关注自己的职业发展目标、收入等。
这些都在阿里内部管理中埋下了诸多隐患,如何科学放权与有效管控各种信息安全,是其无可回避的问题。此前,阿里的大规模轮岗以及几次变阵,也被期望达到“流水不腐、户枢不蠹”的目的。
事实上,从2011年的“挥泪斩卫哲”到2012年反腐卸载“阎利珉”,对于内部治理,阿里一直在边治疗边完善。2012年6月,阿里集团在管理团队中设立首席风险官一职,由原集团秘书长、副总裁邵晓锋出任该职务。对于设立该职位的原因,阿里集团形容为“必须学会在天晴的时候修屋顶”,在市场环境变化之前作出部署,未来阿里集团将在体制建设、价值观强化以及制度保障上,全面推进风险管理体系。
但是,阿里的体量决定其并没有参考配方。“想要防范这样的人,除了公司内部审计制度外,法律的制裁也是必需的。”前述上市公司风控高管称。
孙金云建议,对于企业机密的保护需要从产业环境、企业政策与架构、企业文化与员工自律三个方面入手。具体而言,在产业环境方面,政府对于泄密行为、泄密人、获益者必须第一时间做出响应,严格执法,增加泄密窃密的成本;而在企业政策与架构方面,企业本身要加强内部监管,从技术和制度上减少泄密的机会和可能;最后,在企业文化与员工自律方面,要加强员工的归属感和荣誉感,减少员工窃密的动机。