原標題：支付寶遭遇“安全門”：馬云放權阿里面臨規(guī)模難題

　　支付寶“安全門”遠未過去。

　　繼支付寶賬戶頻遭盜刷風波后，近日又被曝出其前員工盜賣20G海量的支付寶用戶信息。盡管支付寶聲明稱，據(jù)李某(注：上述前員工)自述，其銷售的數(shù)據(jù)為2010年之前不含密碼、核心身份信息的部分非敏感交易內(nèi)容，不涉及用戶隱私及安全。

　　但是，多位業(yè)內(nèi)人士表示，支付寶泄露的信息具有交易價值，極有可能包含個人識別等敏感信息，也即與支付寶聲明不符，其已經(jīng)涉及用戶隱私并威脅到賬戶安全。

　　北京惠誠律師事務所律師趙占領對記者表示，在這次的泄露事件中，支付寶即使沒有刑事責任，也需要承擔民事責任——用戶在設置支付寶賬戶時，已經(jīng)與支付寶公司簽訂用戶協(xié)議，支付寶公司有義務和責任保護用戶信息安全。

　　是否存在敏感信息

　　“信息有價值，才會有人買;如果李某能獲得用戶信息，那么用戶的其他信息也就有渠道泄露?！卑阶稍僀EO張毅表示，這說明，支付寶存在安全隱患，在公司管理、技術和公司數(shù)據(jù)運用流程方面出了問題。

　　“對于用戶隱私級別的定義，主要從兩個方面進行控制。一是技術層面，包括信息的存儲、抽取等都進行加密;二是體制以及公司管理流程方面。”一家涉足第三方支付、互聯(lián)網(wǎng)金融等業(yè)務的上市公司風控高管向記者表示。

　　“外圍部門要調(diào)用用戶身份認證的信息或是交易信息時，需要從兩個層面進行規(guī)范?！鄙鲜鲲L控高管介紹，第三方支付平臺需要根據(jù)央行等中央部門的要求，對用戶的基本信息包括姓名、證件號、身份證影印信息等都要留存，這部分為核心信息;而對于消費行為、歷史交易信息等，必須按照相關法規(guī)保留10年以上，這類信息對于電商行業(yè)來說也是關鍵資源。因此，這兩個模塊的信息是公司的重點保護信息，而用戶的信用卡號、使用期限等則不會在數(shù)據(jù)庫中留存。

　　“從法律上說，信息也分等級。信息如果能識別出個人身份、消費行為等，則為核心信息，一旦泄露，警方會介入。”趙占領對記者表示，如果如支付寶聲明所指：李某泄露的信息不包括個人識別的信息，那么警方是不會介入的。他因此質(zhì)疑支付寶的推責之嫌。

　　趙占領進一步解釋稱，支付寶泄密事件，如果不是技術上造成的問題，也肯定是在管理上出現(xiàn)了漏洞，對用戶的信息以及支付寶賬戶上的財產(chǎn)安全造成損失，就必須承擔民事責任。

　　“企業(yè)泄密并非新鮮事物，有企業(yè)就會有機密，就會有被泄露的可能?！睆偷┐髮W管理學院企業(yè)管理系孫金云博士認為，在互聯(lián)網(wǎng)時代，大量數(shù)據(jù)的產(chǎn)生和技術層面對個人信息保護難度的增加導致泄密帶來的后果和影響面都遠超以往。

　　老牌數(shù)據(jù)公司美國安客誠亞太區(qū)域公共政策隱私官潘兆娟也向記者表示，在大數(shù)據(jù)時代，數(shù)據(jù)對營銷的價值正在發(fā)生變化，即使是在全球范圍內(nèi)，數(shù)據(jù)保密安全政策和標準還有許多需要開發(fā)與完善的地方。

　　在風險控制方面，以此前“CSDN”論壇用戶信息泄露為例，前述風控高管向記者表示，CSDN論壇信息泄露，許多注冊用戶的賬戶秘密被泄密;內(nèi)部會對比泄露的信息和自己數(shù)據(jù)庫的信息，然后對用戶進行警告。如果屬于嚴重泄密，例如用戶賬戶密碼泄露，會強制要求用戶改密碼。“如果支付寶泄露的數(shù)據(jù)已經(jīng)威脅到用戶賬戶安全，那么必須采取有效的風控舉措?！?/p>

　　“互聯(lián)網(wǎng)公司一般而言會針對競爭對手、公司損失等方面對信息進行安全級別的分類;但目前，互聯(lián)網(wǎng)公司沒有對信息泄露做出一個預警系統(tǒng);沒有人牽頭做信息安全的預警系統(tǒng)，這是目前信息安全的困境。”張毅說。

　　治理難題

　　“只有高層可以閱讀核心數(shù)據(jù)等類似的話，肯定是偽命題?！睆堃阆蛴浾弑硎?，公司需要技術人員在數(shù)據(jù)庫中提取數(shù)據(jù)來給高層閱讀。因此數(shù)據(jù)的搬運員才是關鍵，對其設定權限限制才是企業(yè)應該做的。

　　在前述風控高管看來，支付寶泄密事件的當事人，很有可能只是數(shù)據(jù)庫操作維護級別的員工，公司高層有自己的信譽以及收入保障，沒有動機泄露信息，“安全隱患一般來自數(shù)據(jù)庫的維護人員以及數(shù)據(jù)提取人員，形象的說法為數(shù)據(jù)庫的看門人?！?/p>

　　“這不是阿里的問題，只是阿里比較大，出現(xiàn)泄密的可能性更高一些而已。”孫金云對于前述事件如此表示。

　　在阿里集團董事局主席馬云的世界觀里，世界上就兩種人，有夢想和沒有夢想的人。

　　據(jù)一位阿里集團前中層管理員工描述：作為強調(diào)“互聯(lián)網(wǎng)味道”的公司，馬云對阿里強調(diào)團隊精神、放權以及信任，也敢于把權力交給一線員工。

　　“相比國內(nèi)其他公司，阿里對員工的權限放得比較開。”上述人士表示，在早期，這樣的放權傳遞了積極信號，但隨著公司體量越來越大，并不能保證所有員工都絕對自律。

　　特別是在近幾年的高速成長期之后，一方面，阿里老員工們也不都是真正的江湖俠士，當現(xiàn)實利益擺在眼前時，他們面臨更多選擇;另一方面，更多的新進員工，并不把阿里巴巴當作一家創(chuàng)業(yè)型公司，而是按照一家成熟的大公司來期望。尤其是新進入公司的“85后”、“90后”，能夠見到馬云的次數(shù)很少，因而他們更關注自己的職業(yè)發(fā)展目標、收入等。

　　這些都在阿里內(nèi)部管理中埋下了諸多隱患，如何科學放權與有效管控各種信息安全，是其無可回避的問題。此前，阿里的大規(guī)模輪崗以及幾次變陣，也被期望達到“流水不腐、戶樞不蠹”的目的。

　　事實上，從2011年的“揮淚斬衛(wèi)哲”到2012年反腐卸載“閻利珉”，對于內(nèi)部治理，阿里一直在邊治療邊完善。2012年6月，阿里集團在管理團隊中設立首席風險官一職，由原集團秘書長、副總裁邵曉鋒出任該職務。對于設立該職位的原因，阿里集團形容為“必須學會在天晴的時候修屋頂”，在市場環(huán)境變化之前作出部署，未來阿里集團將在體制建設、價值觀強化以及制度保障上，全面推進風險管理體系。

　　但是，阿里的體量決定其并沒有參考配方?！跋胍婪哆@樣的人，除了公司內(nèi)部審計制度外，法律的制裁也是必需的?！鼻笆錾鲜泄撅L控高管稱。

　　孫金云建議，對于企業(yè)機密的保護需要從產(chǎn)業(yè)環(huán)境、企業(yè)政策與架構、企業(yè)文化與員工自律三個方面入手。具體而言，在產(chǎn)業(yè)環(huán)境方面，政府對于泄密行為、泄密人、獲益者必須第一時間做出響應，嚴格執(zhí)法，增加泄密竊密的成本;而在企業(yè)政策與架構方面，企業(yè)本身要加強內(nèi)部監(jiān)管，從技術和制度上減少泄密的機會和可能;最后，在企業(yè)文化與員工自律方面，要加強員工的歸屬感和榮譽感，減少員工竊密的動機。