| 标题 | 支付宝“内鬼”事件引发互联网安全与信任思考 |
| 范文 | 战宇 2013年11月27日,张某因“涉嫌非法获取公民个人信息罪”被杭州市公安局西湖分局刑事拘留。张某供述,同案犯李某为阿里巴巴旗下支付宝的前技术员工,利用工作之便,自2010年分多次在公司后台下载了支付宝用户的资料,资料内容超20 G,李某将这些资料提供给其他两名同伙,并多次出售给电商公司和数据公司。这就是近日发生的支付宝“内鬼”事件,支付宝“内鬼”已经被警方控制。支付宝方面回应,泄露的用户信息不含核心信息,并对由此给网络用户带来的不安和疑虑深表歉意,支付宝将对此类事件一查到底。 一、支付宝“内鬼”事件始末 支付宝于2012年例行内部审计时发现,前员工李某在数据处理上存在不正当行为,并在调查后将李某移交公安机关进行侦办。2010年,张某在杭州某公司从事电商工作,负责品牌运营和推广。因工作关系结识前支付宝员工李某,双方开始有“生意”上的合作。在一次合作中,李某欠下张某500元人民币的酬劳,但这500元未发生实际支付。经双方协商,李某向张某提供三万条目标消费者信息作为“冲账”条件,也就是说,张某以“500元”为代价从李某处“购”得三万条支付宝用户信息。这些用户资料包括公民个人的实名、手机、电子邮箱、家庭住址、消费记录等信息,该信息对普通人可能用处不大,但对于电商来讲从这些定位精准的用户信息中,可以掌握目标消费群体的具体信息。李某自述,支付宝一直对身份证信息、卡号、密码等敏感数据采用加密技术处理,任何人都无法获取,其销售的数据为2010年之前不含密码、不含核心身份信息的部分非敏感交易内容,不涉及用户隐私及安全,张某是李某的第一个“主顾”。李某时任支付宝技术员工,其利用工作之便,多次从支付宝后台下载用户信息,其下载的信息的容量在20 G以上。李某下载支付宝用户信息后,伙同其他两位阿里巴巴系统外的IT业者,共同将用户数据加以分析、提炼,并兜售给目标客户,从中获得了经济利益,其中最大的买家系凡客诚品,该公司曾一次性购买支付宝用户信息1000万条。 2014年1月2日,凡客诚品副总裁、凡客诚品公关总监均表示暂未听闻,凡客诚品暂没接到警方的问询记录,如果警方有需要,公司会积极配合。目前案件仍在侦查阶段,且犯罪嫌疑人亦不排除供述造假的可能性。凡客诚品是否实际发生过向李某团队购买支付宝用户信息的行为,最终需要警方的认定,警方的侦破对象中是否包括凡客诚品,也不得而知。就目前而言,不能武断地认为凡客诚品有购买支付宝用户信息的行为。 阿里巴巴的廉正部由律师、注册会计师和退役警察组成,旨在调查阿里巴巴内部是否存在违反公司纪律的情况。事实上,阿里巴巴在对待“内鬼”事件,一向是绝不姑息。2012年初,阿里巴巴廉正部发现聚划算上一家团购业务指定运行商“爱婚婚”存在不正常交易,该公司仅上线八个月,就参加过聚划算200次以上的团购活动。调查后发现,该公司其实是由一位阿里云员工、一位淘宝网员工和一名聚划算员工合资组建的,故而其团购活动被“自己人”特意关照了,几名“内鬼”的过失被记在了聚划算总经理的账上,后者因此被阿里巴巴免职。2011年,马云针对公司CEO引咎辞职事件,在阿里巴巴内部邮件中表示:对于“触犯商业诚信原则和公司价值观底线的行为”不能有任何的容忍姑息。 尽管这次内鬼事件是阿里巴巴自己报案,但阿里巴巴系统内大多数人对李某案都未曾听闻。一位支付宝内部的管理人员承认李某确实盗卖用户信息,此案事发已有几年,且用户信息并未被大范围传播上网。在阿里巴巴旗下诸公司内,员工等级不同,权限也不同,像李某这样大量下载的用户资料为什么没有第一时间被监控到?直到三年后才被公司发现继而报案,不得不承认,阿里巴巴在管理上出了问题。 二、支付宝“内鬼”事件揭示信息安全与信任危机 支付宝“内鬼”事件引起网络用户对于信息安全问题的关注,支付宝员工盗卖用户信息,一方面,公司监控不力、管理存在漏洞,另一方面,用户信息安全危机四伏,特别是公民的个人财产安全,公民个人的隐私安全,公民个人的人身安全等等。被盗取的信息有的由个人贩卖,有些则由公司运作贩卖。一般而言,私人进行贩卖价格较低,而公司化运作后,将信息进行二次挖掘和包装,价格较高,一条用户信息可卖数十元。社会上有很多的特殊人群,比如维权律师、调查记者等等,由于工作需要,难免会有特殊保护的需求,如果他们的个人隐私被他人获悉,人身安全便难以得到保障。支付宝的用户信息不同于其他网站的用户注册信息,包括公民个人的实名、身份证号码、手机、住址、支付宝余额、购物习惯等,拥有这些信息,就有可能破译公民个人的网络密码。 随着电商的发展,客户精准定位越发重要,大多数做电商,尤其是做到一定规模的人,都会购买数据。这些电商从业人员会选择一些付费的“情报工具”(如由上海某公司开发的“情报通”),主要通过数据软件的搜索引擎、数据库等技术,对淘宝店进行数据分析。比如你店铺的竞争对手做了哪些直通车广告,用了哪些关键词,效果如何,以及行业分析、店铺分析、宝贝分析、买家搜索等,软件都可以提供。通过使用这类软件,电商从业人员可以获取竞争对手的数据,以作为调整营销策略和产品定位的参考依据。数据对电商而言非常重要,这些付费的数据软件固然有一定作用,但依然无法企及消费者的个人信息资料。作为电商从业人员最需要的就是更加精细化的数据,但苦于没有门路,只能退而求其次地付费使用情报通等数据分析软件。 在电商领域,的确存在隐秘的客户资料黑色产业链,在“黑市”中,用户资料的价格按照“行规”是以文件大小来销售的,打包文件容量大部分是上百兆,含有几千条信息,价格是几万元不等。最值钱的是电商的用户资料,可以按条数来卖,一个经过精细分析的“数据包”甚至可以叫价百万元。买家的目的各自不一,有的是用做信息诈骗,有的是买断竞争对手的全部用户资源,有的则是为了给目标客户发送广告。因此,对于李某离职前从支付宝下载的数据达20 G以上,只要通过一些软件录入数据库再予以专业分析,基本上可以将所有支付宝、淘宝用户的消费习惯尽收眼底,这些用户信息,都是可以产生经济效益的,可以最终变现。 我国法律上对于公民个人隐私权的保护一直都比较薄弱,以往谈及公民个人隐私,常常与名誉权一并被提及,但在电子商务发展迅猛的当下,隐私权其实已经成为了一种特殊性质的财产权和精神权利,尤其是消费隐私权。有谁愿意自己何年何月何日何时花了多少钱偷偷买了一盒事后紧急避孕药被天下皆知呢?防范电商再出用户资料泄密事件,除了电商公司积极开展商业伦理教育,建立内部稽查部门及时监控外,国家层面还根据新时代的新变化,出台相关法规,对公民网络隐私予以明确界定,并加大网络获取、公开、买卖公民个人隐私等新犯罪形态的打击力度。国家层面对隐私权的重新界定,在网络时代更应该有“新的说法”,司法体系也应该加大对利用公民网络隐私从事牟利行为的打击力度。支付宝对前员工私自倒卖用户信息一事向用户公开致歉,虽然本次泄露的信息并不涉及银行卡号、密码等核心交易信息,但此事件对支付行业的内控管理敲响了警钟,需引起业界高度重视。 三、第三方支付企业担负搭建互联网 安全信任平台责任 近期银联与公安部经侦局联合发布的一项调查显示,31.3%的被调查者担心交易信息被泄露,交易信息泄露是消费者网购时最担心的问题。第三方支付企业与用户的资金安全息息相关,虽然支付企业、监管机构以及产业链上下游一直将安全性视为发展的首要考虑,但并不是所有的支付方式都能确保“万无一失”。第三方支付以“快捷”闻名快速发展的同时,安全和信任成为绕不开的一道门槛。 易观国际发布《中国第三方网络支付安全调研报告》显示,目前安全问题仍然是用户不使用网络支付的主要原因,占比高达54%。用户在网络支付过程中由于木马、钓鱼网站和账户、密码被盗的原因带来资金损失所占的比例最高,分别为24%和33.9%,成为第三方支付的头号大敌。第三方支付相较于传统网上银行存在着独立于银行、服务意识更强、支付方面更深入等优势。如何保证客户资金安全,增强支付信任,第三方支付企业应该加强客户信息加密、防钓鱼、向客户提示风险、合作商户进行严格审查等方面工作。2013年12月24日,人民银行支付结算司主持召开《全国支付机构监管工作电视电话会议》上明确指出,支付机构在客户资金管理、业务合规经营、客户权益保护、可持续发展等方面存在较为突出的问题。会议要求支付机构切实保障客户资金安全,严守监管红线;高度重视支付业务安全,有效保护客户合法权益。 第三方支付企业确保支付一是应尽量平衡支付便捷与安全之间的关系,二是提示交易风险,对用户进行普及教育。信息交易中绝大多数风险事件的发生不是支付技术上出现问题,而是在信息化的知识亟须普及。风险控制作为第三方支付公司发展的重中之重,社会公众理当捍卫自身的权益,要求阿里巴巴和支付宝搭建诚信平台,实现网络金融和第三方支付的安全性。支付宝用户信息泄密事件可谓一瓢兜头凉水,网络第三方支付金融安全问题,成为互联网金融创新的开疆拓土的巨大障碍。对于本次“内鬼”事件,阿里巴巴和支付宝未能遵守与用户签订的隐私协议,客观上已经单方面毁坏契约,已经失信于用户,理当承担相应的责任。身为当事人,阿里巴巴和支付宝并未开诚布公地披露丑闻的真相和细节。在没有更确切的事实和细节呈现,尚未经独立、权威的第三方检验、审定和证明,阿里巴巴和支付宝没有严格履行用户隐私协议、承担违约责任、弥补和赔偿所损害的用户权益之前,其一切说法,比如内部“廉政部门在2012年例行内部审计时发现了前员工在数据处理上的不当行为,并在调查后将李某移交公安机关侦办”等这些,都只能视为自辩,所有动作都只能看成危机公关,并不足以为公众所采信。此次用户数据泄密丑闻,如果在支付宝公关部的努力之下很快远离公众视野,甚至消弭于无形,无疑将是方兴未艾的互联网金融的隐患,其贻害将难以预计。随着移动端支付和互联网金融的兴起,此类案件将进入一个高发期,而囿于技术瓶颈,用户在这一过程中处于弱势地位难以防范,故更应该加重第三方支付企业责任。 四、支付宝“内鬼”事件呼吁网络 个人信息安全立法 “内鬼”事件说明,用户安全信息盗取和贩卖已经形成了一条完整的产业链,市场需求很大。有价值的用户信息大致被分为两类,包括用户的姓名、年龄、性别、联系方式等基础信息,以及有关用户消费记录等在内的业务性信息。相较于基础性信息,业务类信息通过数据分析、加工和挖掘后可以实现精准营销,更具商业应用价值。当你在浏览网页、发微博、签到甚至是玩手机游戏的时候,你的很多个人信息,如手机号码、家庭住址、工作单位等,很可能已经在不经意间被自己“主动”泄露。个人信息沦陷,人人都有可能“裸奔”。“理财推荐”“房屋中介”“移民指南”,银行、保险、医院、电信、快递、网站……个个套你资讯,漏你信息,不知不觉中惹上了无穷无尽的询问、搭讪、骚扰、窥探,却又找不到自己被暴露在众目睽睽之下的隐秘黑手究竟源自何处。中国互联网络信息中心2012年的调查显示,有超过八成的中国网民遭遇过信息安全事件,77.7%的网民都遭受了不同形式的损失。发生经济损失的网民人均损失额为553.1元,损失总额为194亿元。其中,极为隐私性的健康医疗信息、金融财产信息泄露比例分别达到了11.2%和7.3%。这说明,窃取个人信息的逐利性越来越强,已不满足于传统的个人联系方式、属性信息,而是追求更具营销精准性的住房、汽车、健康、医疗、金融财产信息等。 英国人维克托·迈尔·舍恩伯格在其作品《删除》中说,如果有一天信息处理者们坐在堆积如山的个人信息中为所欲为,那么信息隐私权还有什么意义?一直以来,网络信息安全问题的重要性被严重低估,我国在这方面的意识、管理规范以及立法准备,都远远落后于现实的需要。目前,我国有近40部法律、30多部法规,以及近200部规章涉及个人信息保护,其中包括规范互联网信息规定、医疗信息规定、个人信用管理办法等。数量并不少,但是内容较为分散、法律法规层级偏低。此外,相关法律中对信息泄露者惩罚机制的不是使个人信息保护机制威慑力不足,这些都是亟须解决的问题。 世界各国就个人信息保护立法情况如何?欧盟模式:领先制定了个人信息保护法律——《个人数据保护指令》,并且基于其在世界经济舞台举足轻重的地位,要求其贸易伙伴乃至世界各国依据其指令而制定相类似的个人信息保护法律,否则将禁止个人信息的流通,进而终止与个人信息流通有关的国际贸易,希望借此将其指令规范一举推上“全球标准”的地位。美国模式:1986年颁布的《电子通讯隐私法案》,它禁止电子通信服务供应商将服务过程中产生的通讯内容提供给任何未经批准的实体。英国模式:英国从法律属性、人事任命、经费预算以及内部组织架构等方面对信息专员制度进行了详细的设计,以确保其不受行政的干涉。德国模式:德国信息保护法律的适用对象同时包含公权机关和私权机构,其中既有公私统一适用的准则,又有公私不同领域的相应细则。日本模式:日本企业在管理客户信息方面非常严格。从公司发出的邮件,公司管理人员和监管部门都严格审阅,公司的手提电脑一般不允许带出公司,一旦存有客户信息的电脑丢失,将给公司带来极其恶劣的影响。 虽说每个国家的国情不同,但借鉴他国的立法经验,运用到我们的立法准备是件值得尝试的事情。当大数据改变我们生活的时候,人们看到它让我们得以更全面,更多维度的理解这个世界,同时,它也让我们生活在一个几乎无所遁形的世界中,隐私的边界开始变得模糊不清。个人信息保护的有效实行,不仅需要自身警醒、企业自觉自律,更离不开国家严格有效的法律法规进行监督与规制。 |
| 随便看 |
|
科学优质学术资源、百科知识分享平台,免费提供知识科普、生活经验分享、中外学术论文、各类范文、学术文献、教学资料、学术期刊、会议、报纸、杂志、工具书等各类资源检索、在线阅读和软件app下载服务。