支付寶“內鬼”事件引發互聯網安全與信任思考

戰宇

2013年11月27日，張某因“涉嫌非法獲取公民個人信息罪”被杭州市公安局西湖分局刑事拘留。張某供述，同案犯李某為阿里巴巴旗下支付寶的前技術員工，利用工作之便，自2010年分多次在公司后臺下載了支付寶用戶的資料，資料內容超20 G，李某將這些資料提供給其他兩名同伙，并多次出售給電商公司和數據公司。這就是近日發生的支付寶“內鬼”事件，支付寶“內鬼”已經被警方控制。支付寶方面回應，泄露的用戶信息不含核心信息，并對由此給網絡用戶帶來的不安和疑慮深表歉意，支付寶將對此類事件一查到底。

一、支付寶“內鬼”事件始末

支付寶于2012年例行內部審計時發現，前員工李某在數據處理上存在不正當行為，并在調查后將李某移交公安機關進行偵辦。2010年，張某在杭州某公司從事電商工作，負責品牌運營和推廣。因工作關系結識前支付寶員工李某，雙方開始有“生意”上的合作。在一次合作中，李某欠下張某500元人民幣的酬勞，但這500元未發生實際支付。經雙方協商，李某向張某提供三萬條目標消費者信息作為“沖賬”條件，也就是說，張某以“500元”為代價從李某處“購”得三萬條支付寶用戶信息。這些用戶資料包括公民個人的實名、手機、電子郵箱、家庭住址、消費記錄等信息，該信息對普通人可能用處不大，但對于電商來講從這些定位精準的用戶信息中，可以掌握目標消費群體的具體信息。李某自述，支付寶一直對身份證信息、卡號、密碼等敏感數據采用加密技術處理，任何人都無法獲取，其銷售的數據為2010年之前不含密碼、不含核心身份信息的部分非敏感交易內容，不涉及用戶隱私及安全，張某是李某的第一個“主顧”。李某時任支付寶技術員工，其利用工作之便，多次從支付寶后臺下載用戶信息，其下載的信息的容量在20 G以上。李某下載支付寶用戶信息后，伙同其他兩位阿里巴巴系統外的IT業者，共同將用戶數據加以分析、提煉，并兜售給目標客戶，從中獲得了經濟利益，其中最大的買家系凡客誠品，該公司曾一次性購買支付寶用戶信息1000萬條。

2014年1月2日，凡客誠品副總裁、凡客誠品公關總監均表示暫未聽聞，凡客誠品暫沒接到警方的問詢記錄，如果警方有需要，公司會積極配合。目前案件仍在偵查階段，且犯罪嫌疑人亦不排除供述造假的可能性。凡客誠品是否實際發生過向李某團隊購買支付寶用戶信息的行為，最終需要警方的認定，警方的偵破對象中是否包括凡客誠品，也不得而知。就目前而言，不能武斷地認為凡客誠品有購買支付寶用戶信息的行為。

阿里巴巴的廉正部由律師、注冊會計師和退役警察組成，旨在調查阿里巴巴內部是否存在違反公司紀律的情況。事實上，阿里巴巴在對待“內鬼”事件，一向是絕不姑息。2012年初，阿里巴巴廉正部發現聚劃算上一家團購業務指定運行商“愛婚婚”存在不正常交易，該公司僅上線八個月，就參加過聚劃算200次以上的團購活動。調查后發現，該公司其實是由一位阿里云員工、一位淘寶網員工和一名聚劃算員工合資組建的，故而其團購活動被“自己人”特意關照了，幾名“內鬼”的過失被記在了聚劃算總經理的賬上，后者因此被阿里巴巴免職。2011年，馬云針對公司CEO引咎辭職事件，在阿里巴巴內部郵件中表示：對于“觸犯商業誠信原則和公司價值觀底線的行為”不能有任何的容忍姑息。

盡管這次內鬼事件是阿里巴巴自己報案，但阿里巴巴系統內大多數人對李某案都未曾聽聞。一位支付寶內部的管理人員承認李某確實盜賣用戶信息，此案事發已有幾年，且用戶信息并未被大范圍傳播上網。在阿里巴巴旗下諸公司內，員工等級不同，權限也不同，像李某這樣大量下載的用戶資料為什么沒有第一時間被監控到？直到三年后才被公司發現繼而報案，不得不承認，阿里巴巴在管理上出了問題。

二、支付寶“內鬼”事件揭示信息安全與信任危機

支付寶“內鬼”事件引起網絡用戶對于信息安全問題的關注，支付寶員工盜賣用戶信息，一方面，公司監控不力、管理存在漏洞，另一方面，用戶信息安全危機四伏，特別是公民的個人財產安全，公民個人的隱私安全，公民個人的人身安全等等。被盜取的信息有的由個人販賣，有些則由公司運作販賣。一般而言，私人進行販賣價格較低，而公司化運作后，將信息進行二次挖掘和包裝，價格較高，一條用戶信息可賣數十元。社會上有很多的特殊人群，比如維權律師、調查記者等等，由于工作需要，難免會有特殊保護的需求，如果他們的個人隱私被他人獲悉，人身安全便難以得到保障。支付寶的用戶信息不同于其他網站的用戶注冊信息，包括公民個人的實名、身份證號碼、手機、住址、支付寶余額、購物習慣等，擁有這些信息，就有可能破譯公民個人的網絡密碼。

隨著電商的發展，客戶精準定位越發重要，大多數做電商，尤其是做到一定規模的人，都會購買數據。這些電商從業人員會選擇一些付費的“情報工具”(如由上海某公司開發的“情報通”)，主要通過數據軟件的搜索引擎、數據庫等技術，對淘寶店進行數據分析。比如你店鋪的競爭對手做了哪些直通車廣告，用了哪些關鍵詞，效果如何，以及行業分析、店鋪分析、寶貝分析、買家搜索等，軟件都可以提供。通過使用這類軟件，電商從業人員可以獲取競爭對手的數據，以作為調整營銷策略和產品定位的參考依據。數據對電商而言非常重要，這些付費的數據軟件固然有一定作用，但依然無法企及消費者的個人信息資料。作為電商從業人員最需要的就是更加精細化的數據，但苦于沒有門路，只能退而求其次地付費使用情報通等數據分析軟件。

在電商領域，的確存在隱秘的客戶資料黑色產業鏈，在“黑市”中，用戶資料的價格按照“行規”是以文件大小來銷售的，打包文件容量大部分是上百兆，含有幾千條信息，價格是幾萬元不等。最值錢的是電商的用戶資料，可以按條數來賣，一個經過精細分析的“數據包”甚至可以叫價百萬元。買家的目的各自不一，有的是用做信息詐騙，有的是買斷競爭對手的全部用戶資源，有的則是為了給目標客戶發送廣告。因此，對于李某離職前從支付寶下載的數據達20 G以上，只要通過一些軟件錄入數據庫再予以專業分析，基本上可以將所有支付寶、淘寶用戶的消費習慣盡收眼底，這些用戶信息，都是可以產生經濟效益的，可以最終變現。endprint

我國法律上對于公民個人隱私權的保護一直都比較薄弱，以往談及公民個人隱私，常常與名譽權一并被提及，但在電子商務發展迅猛的當下，隱私權其實已經成為了一種特殊性質的財產權和精神權利，尤其是消費隱私權。有誰愿意自己何年何月何日何時花了多少錢偷偷買了一盒事后緊急避孕藥被天下皆知呢？防范電商再出用戶資料泄密事件，除了電商公司積極開展商業倫理教育，建立內部稽查部門及時監控外，國家層面還根據新時代的新變化，出臺相關法規，對公民網絡隱私予以明確界定，并加大網絡獲取、公開、買賣公民個人隱私等新犯罪形態的打擊力度。國家層面對隱私權的重新界定，在網絡時代更應該有“新的說法”，司法體系也應該加大對利用公民網絡隱私從事牟利行為的打擊力度。支付寶對前員工私自倒賣用戶信息一事向用戶公開致歉，雖然本次泄露的信息并不涉及銀行卡號、密碼等核心交易信息，但此事件對支付行業的內控管理敲響了警鐘，需引起業界高度重視。

三、第三方支付企業擔負搭建互聯網

安全信任平臺責任

近期銀聯與公安部經偵局聯合發布的一項調查顯示，31.3%的被調查者擔心交易信息被泄露，交易信息泄露是消費者網購時最擔心的問題。第三方支付企業與用戶的資金安全息息相關，雖然支付企業、監管機構以及產業鏈上下游一直將安全性視為發展的首要考慮，但并不是所有的支付方式都能確保“萬無一失”。第三方支付以“快捷”聞名快速發展的同時，安全和信任成為繞不開的一道門檻。

易觀國際發布《中國第三方網絡支付安全調研報告》顯示，目前安全問題仍然是用戶不使用網絡支付的主要原因，占比高達54％。用戶在網絡支付過程中由于木馬、釣魚網站和賬戶、密碼被盜的原因帶來資金損失所占的比例最高，分別為24％和33.9％，成為第三方支付的頭號大敵。第三方支付相較于傳統網上銀行存在著獨立于銀行、服務意識更強、支付方面更深入等優勢。如何保證客戶資金安全，增強支付信任，第三方支付企業應該加強客戶信息加密、防釣魚、向客戶提示風險、合作商戶進行嚴格審查等方面工作。2013年12月24日，人民銀行支付結算司主持召開《全國支付機構監管工作電視電話會議》上明確指出，支付機構在客戶資金管理、業務合規經營、客戶權益保護、可持續發展等方面存在較為突出的問題。會議要求支付機構切實保障客戶資金安全，嚴守監管紅線；高度重視支付業務安全，有效保護客戶合法權益。

第三方支付企業確保支付一是應盡量平衡支付便捷與安全之間的關系，二是提示交易風險，對用戶進行普及教育。信息交易中絕大多數風險事件的發生不是支付技術上出現問題，而是在信息化的知識亟須普及。風險控制作為第三方支付公司發展的重中之重，社會公眾理當捍衛自身的權益，要求阿里巴巴和支付寶搭建誠信平臺，實現網絡金融和第三方支付的安全性。支付寶用戶信息泄密事件可謂一瓢兜頭涼水，網絡第三方支付金融安全問題，成為互聯網金融創新的開疆拓土的巨大障礙。對于本次“內鬼”事件，阿里巴巴和支付寶未能遵守與用戶簽訂的隱私協議，客觀上已經單方面毀壞契約，已經失信于用戶，理當承擔相應的責任。身為當事人，阿里巴巴和支付寶并未開誠布公地披露丑聞的真相和細節。在沒有更確切的事實和細節呈現，尚未經獨立、權威的第三方檢驗、審定和證明，阿里巴巴和支付寶沒有嚴格履行用戶隱私協議、承擔違約責任、彌補和賠償所損害的用戶權益之前，其一切說法，比如內部“廉政部門在2012年例行內部審計時發現了前員工在數據處理上的不當行為，并在調查后將李某移交公安機關偵辦”等這些，都只能視為自辯，所有動作都只能看成危機公關，并不足以為公眾所采信。此次用戶數據泄密丑聞，如果在支付寶公關部的努力之下很快遠離公眾視野，甚至消弭于無形，無疑將是方興未艾的互聯網金融的隱患，其貽害將難以預計。隨著移動端支付和互聯網金融的興起，此類案件將進入一個高發期，而囿于技術瓶頸，用戶在這一過程中處于弱勢地位難以防范，故更應該加重第三方支付企業責任。

四、支付寶“內鬼”事件呼吁網絡

個人信息安全立法

“內鬼”事件說明，用戶安全信息盜取和販賣已經形成了一條完整的產業鏈，市場需求很大。有價值的用戶信息大致被分為兩類，包括用戶的姓名、年齡、性別、聯系方式等基礎信息，以及有關用戶消費記錄等在內的業務性信息。相較于基礎性信息，業務類信息通過數據分析、加工和挖掘后可以實現精準營銷，更具商業應用價值。當你在瀏覽網頁、發微博、簽到甚至是玩手機游戲的時候，你的很多個人信息，如手機號碼、家庭住址、工作單位等，很可能已經在不經意間被自己“主動”泄露。個人信息淪陷，人人都有可能“裸奔”。“理財推薦”“房屋中介”“移民指南”，銀行、保險、醫院、電信、快遞、網站……個個套你資訊，漏你信息，不知不覺中惹上了無窮無盡的詢問、搭訕、騷擾、窺探，卻又找不到自己被暴露在眾目睽睽之下的隱秘黑手究竟源自何處。中國互聯網絡信息中心2012年的調查顯示，有超過八成的中國網民遭遇過信息安全事件，77.7%的網民都遭受了不同形式的損失。發生經濟損失的網民人均損失額為553.1元，損失總額為194億元。其中，極為隱私性的健康醫療信息、金融財產信息泄露比例分別達到了11.2%和7.3%。這說明，竊取個人信息的逐利性越來越強，已不滿足于傳統的個人聯系方式、屬性信息，而是追求更具營銷精準性的住房、汽車、健康、醫療、金融財產信息等。

英國人維克托·邁爾·舍恩伯格在其作品《刪除》中說，如果有一天信息處理者們坐在堆積如山的個人信息中為所欲為，那么信息隱私權還有什么意義？一直以來，網絡信息安全問題的重要性被嚴重低估，我國在這方面的意識、管理規范以及立法準備，都遠遠落后于現實的需要。目前，我國有近40部法律、30多部法規，以及近200部規章涉及個人信息保護，其中包括規范互聯網信息規定、醫療信息規定、個人信用管理辦法等。數量并不少，但是內容較為分散、法律法規層級偏低。此外，相關法律中對信息泄露者懲罰機制的不是使個人信息保護機制威懾力不足，這些都是亟須解決的問題。

世界各國就個人信息保護立法情況如何？歐盟模式：領先制定了個人信息保護法律——《個人數據保護指令》，并且基于其在世界經濟舞臺舉足輕重的地位，要求其貿易伙伴乃至世界各國依據其指令而制定相類似的個人信息保護法律，否則將禁止個人信息的流通，進而終止與個人信息流通有關的國際貿易，希望借此將其指令規范一舉推上“全球標準”的地位。美國模式：1986年頒布的《電子通訊隱私法案》，它禁止電子通信服務供應商將服務過程中產生的通訊內容提供給任何未經批準的實體。英國模式：英國從法律屬性、人事任命、經費預算以及內部組織架構等方面對信息專員制度進行了詳細的設計，以確保其不受行政的干涉。德國模式：德國信息保護法律的適用對象同時包含公權機關和私權機構，其中既有公私統一適用的準則，又有公私不同領域的相應細則。日本模式：日本企業在管理客戶信息方面非常嚴格。從公司發出的郵件，公司管理人員和監管部門都嚴格審閱，公司的手提電腦一般不允許帶出公司，一旦存有客戶信息的電腦丟失，將給公司帶來極其惡劣的影響。

雖說每個國家的國情不同，但借鑒他國的立法經驗，運用到我們的立法準備是件值得嘗試的事情。當大數據改變我們生活的時候，人們看到它讓我們得以更全面，更多維度的理解這個世界，同時，它也讓我們生活在一個幾乎無所遁形的世界中，隱私的邊界開始變得模糊不清。個人信息保護的有效實行，不僅需要自身警醒、企業自覺自律，更離不開國家嚴格有效的法律法規進行監督與規制。endprint