原標(biāo)題：支付寶遭遇“安全門”：馬云放權(quán)阿里面臨規(guī)模難題

　　支付寶“安全門”遠(yuǎn)未過去。

　　繼支付寶賬戶頻遭盜刷風(fēng)波后，近日又被曝出其前員工盜賣20G海量的支付寶用戶信息。盡管支付寶聲明稱，據(jù)李某(注：上述前員工)自述，其銷售的數(shù)據(jù)為2010年之前不含密碼、核心身份信息的部分非敏感交易內(nèi)容，不涉及用戶隱私及安全。

　　但是，多位業(yè)內(nèi)人士表示，支付寶泄露的信息具有交易價(jià)值，極有可能包含個(gè)人識(shí)別等敏感信息，也即與支付寶聲明不符，其已經(jīng)涉及用戶隱私并威脅到賬戶安全。

　　北京惠誠(chéng)律師事務(wù)所律師趙占領(lǐng)對(duì)記者表示，在這次的泄露事件中，支付寶即使沒有刑事責(zé)任，也需要承擔(dān)民事責(zé)任——用戶在設(shè)置支付寶賬戶時(shí)，已經(jīng)與支付寶公司簽訂用戶協(xié)議，支付寶公司有義務(wù)和責(zé)任保護(hù)用戶信息安全。

　　是否存在敏感信息

　　“信息有價(jià)值，才會(huì)有人買;如果李某能獲得用戶信息，那么用戶的其他信息也就有渠道泄露。”艾媒咨詢CEO張毅表示，這說明，支付寶存在安全隱患，在公司管理、技術(shù)和公司數(shù)據(jù)運(yùn)用流程方面出了問題。

　　“對(duì)于用戶隱私級(jí)別的定義，主要從兩個(gè)方面進(jìn)行控制。一是技術(shù)層面，包括信息的存儲(chǔ)、抽取等都進(jìn)行加密;二是體制以及公司管理流程方面。”一家涉足第三方支付、互聯(lián)網(wǎng)金融等業(yè)務(wù)的上市公司風(fēng)控高管向記者表示。

　　“外圍部門要調(diào)用用戶身份認(rèn)證的信息或是交易信息時(shí)，需要從兩個(gè)層面進(jìn)行規(guī)范?！鄙鲜鲲L(fēng)控高管介紹，第三方支付平臺(tái)需要根據(jù)央行等中央部門的要求，對(duì)用戶的基本信息包括姓名、證件號(hào)、身份證影印信息等都要留存，這部分為核心信息;而對(duì)于消費(fèi)行為、歷史交易信息等，必須按照相關(guān)法規(guī)保留10年以上，這類信息對(duì)于電商行業(yè)來說也是關(guān)鍵資源。因此，這兩個(gè)模塊的信息是公司的重點(diǎn)保護(hù)信息，而用戶的信用卡號(hào)、使用期限等則不會(huì)在數(shù)據(jù)庫(kù)中留存。

　　“從法律上說，信息也分等級(jí)。信息如果能識(shí)別出個(gè)人身份、消費(fèi)行為等，則為核心信息，一旦泄露，警方會(huì)介入?！壁w占領(lǐng)對(duì)記者表示，如果如支付寶聲明所指：李某泄露的信息不包括個(gè)人識(shí)別的信息，那么警方是不會(huì)介入的。他因此質(zhì)疑支付寶的推責(zé)之嫌。

　　趙占領(lǐng)進(jìn)一步解釋稱，支付寶泄密事件，如果不是技術(shù)上造成的問題，也肯定是在管理上出現(xiàn)了漏洞，對(duì)用戶的信息以及支付寶賬戶上的財(cái)產(chǎn)安全造成損失，就必須承擔(dān)民事責(zé)任。

　　“企業(yè)泄密并非新鮮事物，有企業(yè)就會(huì)有機(jī)密，就會(huì)有被泄露的可能?！睆?fù)旦大學(xué)管理學(xué)院企業(yè)管理系孫金云博士認(rèn)為，在互聯(lián)網(wǎng)時(shí)代，大量數(shù)據(jù)的產(chǎn)生和技術(shù)層面對(duì)個(gè)人信息保護(hù)難度的增加導(dǎo)致泄密帶來的后果和影響面都遠(yuǎn)超以往。

　　老牌數(shù)據(jù)公司美國(guó)安客誠(chéng)亞太區(qū)域公共政策隱私官潘兆娟也向記者表示，在大數(shù)據(jù)時(shí)代，數(shù)據(jù)對(duì)營(yíng)銷的價(jià)值正在發(fā)生變化，即使是在全球范圍內(nèi)，數(shù)據(jù)保密安全政策和標(biāo)準(zhǔn)還有許多需要開發(fā)與完善的地方。

　　在風(fēng)險(xiǎn)控制方面，以此前“CSDN”論壇用戶信息泄露為例，前述風(fēng)控高管向記者表示，CSDN論壇信息泄露，許多注冊(cè)用戶的賬戶秘密被泄密;內(nèi)部會(huì)對(duì)比泄露的信息和自己數(shù)據(jù)庫(kù)的信息，然后對(duì)用戶進(jìn)行警告。如果屬于嚴(yán)重泄密，例如用戶賬戶密碼泄露，會(huì)強(qiáng)制要求用戶改密碼?！叭绻Ц秾毿孤兜臄?shù)據(jù)已經(jīng)威脅到用戶賬戶安全，那么必須采取有效的風(fēng)控舉措?！?/p>

　　“互聯(lián)網(wǎng)公司一般而言會(huì)針對(duì)競(jìng)爭(zhēng)對(duì)手、公司損失等方面對(duì)信息進(jìn)行安全級(jí)別的分類;但目前，互聯(lián)網(wǎng)公司沒有對(duì)信息泄露做出一個(gè)預(yù)警系統(tǒng);沒有人牽頭做信息安全的預(yù)警系統(tǒng)，這是目前信息安全的困境?！睆堃阏f。

　　治理難題

　　“只有高層可以閱讀核心數(shù)據(jù)等類似的話，肯定是偽命題?！睆堃阆蛴浾弑硎?，公司需要技術(shù)人員在數(shù)據(jù)庫(kù)中提取數(shù)據(jù)來給高層閱讀。因此數(shù)據(jù)的搬運(yùn)員才是關(guān)鍵，對(duì)其設(shè)定權(quán)限限制才是企業(yè)應(yīng)該做的。

　　在前述風(fēng)控高管看來，支付寶泄密事件的當(dāng)事人，很有可能只是數(shù)據(jù)庫(kù)操作維護(hù)級(jí)別的員工，公司高層有自己的信譽(yù)以及收入保障，沒有動(dòng)機(jī)泄露信息，“安全隱患一般來自數(shù)據(jù)庫(kù)的維護(hù)人員以及數(shù)據(jù)提取人員，形象的說法為數(shù)據(jù)庫(kù)的看門人?！?/p>

　　“這不是阿里的問題，只是阿里比較大，出現(xiàn)泄密的可能性更高一些而已?！睂O金云對(duì)于前述事件如此表示。

　　在阿里集團(tuán)董事局主席馬云的世界觀里，世界上就兩種人，有夢(mèng)想和沒有夢(mèng)想的人。

　　據(jù)一位阿里集團(tuán)前中層管理員工描述：作為強(qiáng)調(diào)“互聯(lián)網(wǎng)味道”的公司，馬云對(duì)阿里強(qiáng)調(diào)團(tuán)隊(duì)精神、放權(quán)以及信任，也敢于把權(quán)力交給一線員工。

　　“相比國(guó)內(nèi)其他公司，阿里對(duì)員工的權(quán)限放得比較開?！鄙鲜鋈耸勘硎?，在早期，這樣的放權(quán)傳遞了積極信號(hào)，但隨著公司體量越來越大，并不能保證所有員工都絕對(duì)自律。

　　特別是在近幾年的高速成長(zhǎng)期之后，一方面，阿里老員工們也不都是真正的江湖俠士，當(dāng)現(xiàn)實(shí)利益擺在眼前時(shí)，他們面臨更多選擇;另一方面，更多的新進(jìn)員工，并不把阿里巴巴當(dāng)作一家創(chuàng)業(yè)型公司，而是按照一家成熟的大公司來期望。尤其是新進(jìn)入公司的“85后”、“90后”，能夠見到馬云的次數(shù)很少，因而他們更關(guān)注自己的職業(yè)發(fā)展目標(biāo)、收入等。

　　這些都在阿里內(nèi)部管理中埋下了諸多隱患，如何科學(xué)放權(quán)與有效管控各種信息安全，是其無可回避的問題。此前，阿里的大規(guī)模輪崗以及幾次變陣，也被期望達(dá)到“流水不腐、戶樞不蠹”的目的。

　　事實(shí)上，從2011年的“揮淚斬衛(wèi)哲”到2012年反腐卸載“閻利珉”，對(duì)于內(nèi)部治理，阿里一直在邊治療邊完善。2012年6月，阿里集團(tuán)在管理團(tuán)隊(duì)中設(shè)立首席風(fēng)險(xiǎn)官一職，由原集團(tuán)秘書長(zhǎng)、副總裁邵曉鋒出任該職務(wù)。對(duì)于設(shè)立該職位的原因，阿里集團(tuán)形容為“必須學(xué)會(huì)在天晴的時(shí)候修屋頂”，在市場(chǎng)環(huán)境變化之前作出部署，未來阿里集團(tuán)將在體制建設(shè)、價(jià)值觀強(qiáng)化以及制度保障上，全面推進(jìn)風(fēng)險(xiǎn)管理體系。

　　但是，阿里的體量決定其并沒有參考配方?！跋胍婪哆@樣的人，除了公司內(nèi)部審計(jì)制度外，法律的制裁也是必需的?！鼻笆錾鲜泄撅L(fēng)控高管稱。

　　孫金云建議，對(duì)于企業(yè)機(jī)密的保護(hù)需要從產(chǎn)業(yè)環(huán)境、企業(yè)政策與架構(gòu)、企業(yè)文化與員工自律三個(gè)方面入手。具體而言，在產(chǎn)業(yè)環(huán)境方面，政府對(duì)于泄密行為、泄密人、獲益者必須第一時(shí)間做出響應(yīng)，嚴(yán)格執(zhí)法，增加泄密竊密的成本;而在企業(yè)政策與架構(gòu)方面，企業(yè)本身要加強(qiáng)內(nèi)部監(jiān)管，從技術(shù)和制度上減少泄密的機(jī)會(huì)和可能;最后，在企業(yè)文化與員工自律方面，要加強(qiáng)員工的歸屬感和榮譽(yù)感，減少員工竊密的動(dòng)機(jī)。