戰(zhàn)宇

2013年11月27日，張某因“涉嫌非法獲取公民個(gè)人信息罪”被杭州市公安局西湖分局刑事拘留。張某供述，同案犯李某為阿里巴巴旗下支付寶的前技術(shù)員工，利用工作之便，自2010年分多次在公司后臺(tái)下載了支付寶用戶的資料，資料內(nèi)容超20 G，李某將這些資料提供給其他兩名同伙，并多次出售給電商公司和數(shù)據(jù)公司。這就是近日發(fā)生的支付寶“內(nèi)鬼”事件，支付寶“內(nèi)鬼”已經(jīng)被警方控制。支付寶方面回應(yīng)，泄露的用戶信息不含核心信息，并對(duì)由此給網(wǎng)絡(luò)用戶帶來(lái)的不安和疑慮深表歉意，支付寶將對(duì)此類(lèi)事件一查到底。

一、支付寶“內(nèi)鬼”事件始末

支付寶于2012年例行內(nèi)部審計(jì)時(shí)發(fā)現(xiàn)，前員工李某在數(shù)據(jù)處理上存在不正當(dāng)行為，并在調(diào)查后將李某移交公安機(jī)關(guān)進(jìn)行偵辦。2010年，張某在杭州某公司從事電商工作，負(fù)責(zé)品牌運(yùn)營(yíng)和推廣。因工作關(guān)系結(jié)識(shí)前支付寶員工李某，雙方開(kāi)始有“生意”上的合作。在一次合作中，李某欠下張某500元人民幣的酬勞，但這500元未發(fā)生實(shí)際支付。經(jīng)雙方協(xié)商，李某向張某提供三萬(wàn)條目標(biāo)消費(fèi)者信息作為“沖賬”條件，也就是說(shuō)，張某以“500元”為代價(jià)從李某處“購(gòu)”得三萬(wàn)條支付寶用戶信息。這些用戶資料包括公民個(gè)人的實(shí)名、手機(jī)、電子郵箱、家庭住址、消費(fèi)記錄等信息，該信息對(duì)普通人可能用處不大，但對(duì)于電商來(lái)講從這些定位精準(zhǔn)的用戶信息中，可以掌握目標(biāo)消費(fèi)群體的具體信息。李某自述，支付寶一直對(duì)身份證信息、卡號(hào)、密碼等敏感數(shù)據(jù)采用加密技術(shù)處理，任何人都無(wú)法獲取，其銷(xiāo)售的數(shù)據(jù)為2010年之前不含密碼、不含核心身份信息的部分非敏感交易內(nèi)容，不涉及用戶隱私及安全，張某是李某的第一個(gè)“主顧”。李某時(shí)任支付寶技術(shù)員工，其利用工作之便，多次從支付寶后臺(tái)下載用戶信息，其下載的信息的容量在20 G以上。李某下載支付寶用戶信息后，伙同其他兩位阿里巴巴系統(tǒng)外的IT業(yè)者，共同將用戶數(shù)據(jù)加以分析、提煉，并兜售給目標(biāo)客戶，從中獲得了經(jīng)濟(jì)利益，其中最大的買(mǎi)家系凡客誠(chéng)品，該公司曾一次性購(gòu)買(mǎi)支付寶用戶信息1000萬(wàn)條。

2014年1月2日，凡客誠(chéng)品副總裁、凡客誠(chéng)品公關(guān)總監(jiān)均表示暫未聽(tīng)聞，凡客誠(chéng)品暫沒(méi)接到警方的問(wèn)詢(xún)記錄，如果警方有需要，公司會(huì)積極配合。目前案件仍在偵查階段，且犯罪嫌疑人亦不排除供述造假的可能性。凡客誠(chéng)品是否實(shí)際發(fā)生過(guò)向李某團(tuán)隊(duì)購(gòu)買(mǎi)支付寶用戶信息的行為，最終需要警方的認(rèn)定，警方的偵破對(duì)象中是否包括凡客誠(chéng)品，也不得而知。就目前而言，不能武斷地認(rèn)為凡客誠(chéng)品有購(gòu)買(mǎi)支付寶用戶信息的行為。

阿里巴巴的廉正部由律師、注冊(cè)會(huì)計(jì)師和退役警察組成，旨在調(diào)查阿里巴巴內(nèi)部是否存在違反公司紀(jì)律的情況。事實(shí)上，阿里巴巴在對(duì)待“內(nèi)鬼”事件，一向是絕不姑息。2012年初，阿里巴巴廉正部發(fā)現(xiàn)聚劃算上一家團(tuán)購(gòu)業(yè)務(wù)指定運(yùn)行商“愛(ài)婚婚”存在不正常交易，該公司僅上線八個(gè)月，就參加過(guò)聚劃算200次以上的團(tuán)購(gòu)活動(dòng)。調(diào)查后發(fā)現(xiàn)，該公司其實(shí)是由一位阿里云員工、一位淘寶網(wǎng)員工和一名聚劃算員工合資組建的，故而其團(tuán)購(gòu)活動(dòng)被“自己人”特意關(guān)照了，幾名“內(nèi)鬼”的過(guò)失被記在了聚劃算總經(jīng)理的賬上，后者因此被阿里巴巴免職。2011年，馬云針對(duì)公司CEO引咎辭職事件，在阿里巴巴內(nèi)部郵件中表示：對(duì)于“觸犯商業(yè)誠(chéng)信原則和公司價(jià)值觀底線的行為”不能有任何的容忍姑息。

盡管這次內(nèi)鬼事件是阿里巴巴自己報(bào)案，但阿里巴巴系統(tǒng)內(nèi)大多數(shù)人對(duì)李某案都未曾聽(tīng)聞。一位支付寶內(nèi)部的管理人員承認(rèn)李某確實(shí)盜賣(mài)用戶信息，此案事發(fā)已有幾年，且用戶信息并未被大范圍傳播上網(wǎng)。在阿里巴巴旗下諸公司內(nèi)，員工等級(jí)不同，權(quán)限也不同，像李某這樣大量下載的用戶資料為什么沒(méi)有第一時(shí)間被監(jiān)控到？直到三年后才被公司發(fā)現(xiàn)繼而報(bào)案，不得不承認(rèn)，阿里巴巴在管理上出了問(wèn)題。

二、支付寶“內(nèi)鬼”事件揭示信息安全與信任危機(jī)

支付寶“內(nèi)鬼”事件引起網(wǎng)絡(luò)用戶對(duì)于信息安全問(wèn)題的關(guān)注，支付寶員工盜賣(mài)用戶信息，一方面，公司監(jiān)控不力、管理存在漏洞，另一方面，用戶信息安全危機(jī)四伏，特別是公民的個(gè)人財(cái)產(chǎn)安全，公民個(gè)人的隱私安全，公民個(gè)人的人身安全等等。被盜取的信息有的由個(gè)人販賣(mài)，有些則由公司運(yùn)作販賣(mài)。一般而言，私人進(jìn)行販賣(mài)價(jià)格較低，而公司化運(yùn)作后，將信息進(jìn)行二次挖掘和包裝，價(jià)格較高，一條用戶信息可賣(mài)數(shù)十元。社會(huì)上有很多的特殊人群，比如維權(quán)律師、調(diào)查記者等等，由于工作需要，難免會(huì)有特殊保護(hù)的需求，如果他們的個(gè)人隱私被他人獲悉，人身安全便難以得到保障。支付寶的用戶信息不同于其他網(wǎng)站的用戶注冊(cè)信息，包括公民個(gè)人的實(shí)名、身份證號(hào)碼、手機(jī)、住址、支付寶余額、購(gòu)物習(xí)慣等，擁有這些信息，就有可能破譯公民個(gè)人的網(wǎng)絡(luò)密碼。

隨著電商的發(fā)展，客戶精準(zhǔn)定位越發(fā)重要，大多數(shù)做電商，尤其是做到一定規(guī)模的人，都會(huì)購(gòu)買(mǎi)數(shù)據(jù)。這些電商從業(yè)人員會(huì)選擇一些付費(fèi)的“情報(bào)工具”(如由上海某公司開(kāi)發(fā)的“情報(bào)通”)，主要通過(guò)數(shù)據(jù)軟件的搜索引擎、數(shù)據(jù)庫(kù)等技術(shù)，對(duì)淘寶店進(jìn)行數(shù)據(jù)分析。比如你店鋪的競(jìng)爭(zhēng)對(duì)手做了哪些直通車(chē)廣告，用了哪些關(guān)鍵詞，效果如何，以及行業(yè)分析、店鋪分析、寶貝分析、買(mǎi)家搜索等，軟件都可以提供。通過(guò)使用這類(lèi)軟件，電商從業(yè)人員可以獲取競(jìng)爭(zhēng)對(duì)手的數(shù)據(jù)，以作為調(diào)整營(yíng)銷(xiāo)策略和產(chǎn)品定位的參考依據(jù)。數(shù)據(jù)對(duì)電商而言非常重要，這些付費(fèi)的數(shù)據(jù)軟件固然有一定作用，但依然無(wú)法企及消費(fèi)者的個(gè)人信息資料。作為電商從業(yè)人員最需要的就是更加精細(xì)化的數(shù)據(jù)，但苦于沒(méi)有門(mén)路，只能退而求其次地付費(fèi)使用情報(bào)通等數(shù)據(jù)分析軟件。

在電商領(lǐng)域，的確存在隱秘的客戶資料黑色產(chǎn)業(yè)鏈，在“黑市”中，用戶資料的價(jià)格按照“行規(guī)”是以文件大小來(lái)銷(xiāo)售的，打包文件容量大部分是上百兆，含有幾千條信息，價(jià)格是幾萬(wàn)元不等。最值錢(qián)的是電商的用戶資料，可以按條數(shù)來(lái)賣(mài)，一個(gè)經(jīng)過(guò)精細(xì)分析的“數(shù)據(jù)包”甚至可以叫價(jià)百萬(wàn)元。買(mǎi)家的目的各自不一，有的是用做信息詐騙，有的是買(mǎi)斷競(jìng)爭(zhēng)對(duì)手的全部用戶資源，有的則是為了給目標(biāo)客戶發(fā)送廣告。因此，對(duì)于李某離職前從支付寶下載的數(shù)據(jù)達(dá)20 G以上，只要通過(guò)一些軟件錄入數(shù)據(jù)庫(kù)再予以專(zhuān)業(yè)分析，基本上可以將所有支付寶、淘寶用戶的消費(fèi)習(xí)慣盡收眼底，這些用戶信息，都是可以產(chǎn)生經(jīng)濟(jì)效益的，可以最終變現(xiàn)。endprint

我國(guó)法律上對(duì)于公民個(gè)人隱私權(quán)的保護(hù)一直都比較薄弱，以往談及公民個(gè)人隱私，常常與名譽(yù)權(quán)一并被提及，但在電子商務(wù)發(fā)展迅猛的當(dāng)下，隱私權(quán)其實(shí)已經(jīng)成為了一種特殊性質(zhì)的財(cái)產(chǎn)權(quán)和精神權(quán)利，尤其是消費(fèi)隱私權(quán)。有誰(shuí)愿意自己何年何月何日何時(shí)花了多少錢(qián)偷偷買(mǎi)了一盒事后緊急避孕藥被天下皆知呢？防范電商再出用戶資料泄密事件，除了電商公司積極開(kāi)展商業(yè)倫理教育，建立內(nèi)部稽查部門(mén)及時(shí)監(jiān)控外，國(guó)家層面還根據(jù)新時(shí)代的新變化，出臺(tái)相關(guān)法規(guī)，對(duì)公民網(wǎng)絡(luò)隱私予以明確界定，并加大網(wǎng)絡(luò)獲取、公開(kāi)、買(mǎi)賣(mài)公民個(gè)人隱私等新犯罪形態(tài)的打擊力度。國(guó)家層面對(duì)隱私權(quán)的重新界定，在網(wǎng)絡(luò)時(shí)代更應(yīng)該有“新的說(shuō)法”，司法體系也應(yīng)該加大對(duì)利用公民網(wǎng)絡(luò)隱私從事牟利行為的打擊力度。支付寶對(duì)前員工私自倒賣(mài)用戶信息一事向用戶公開(kāi)致歉，雖然本次泄露的信息并不涉及銀行卡號(hào)、密碼等核心交易信息，但此事件對(duì)支付行業(yè)的內(nèi)控管理敲響了警鐘，需引起業(yè)界高度重視。

三、第三方支付企業(yè)擔(dān)負(fù)搭建互聯(lián)網(wǎng)

安全信任平臺(tái)責(zé)任

近期銀聯(lián)與公安部經(jīng)偵局聯(lián)合發(fā)布的一項(xiàng)調(diào)查顯示，31.3%的被調(diào)查者擔(dān)心交易信息被泄露，交易信息泄露是消費(fèi)者網(wǎng)購(gòu)時(shí)最擔(dān)心的問(wèn)題。第三方支付企業(yè)與用戶的資金安全息息相關(guān)，雖然支付企業(yè)、監(jiān)管機(jī)構(gòu)以及產(chǎn)業(yè)鏈上下游一直將安全性視為發(fā)展的首要考慮，但并不是所有的支付方式都能確?！叭f(wàn)無(wú)一失”。第三方支付以“快捷”聞名快速發(fā)展的同時(shí)，安全和信任成為繞不開(kāi)的一道門(mén)檻。

易觀國(guó)際發(fā)布《中國(guó)第三方網(wǎng)絡(luò)支付安全調(diào)研報(bào)告》顯示，目前安全問(wèn)題仍然是用戶不使用網(wǎng)絡(luò)支付的主要原因，占比高達(dá)54％。用戶在網(wǎng)絡(luò)支付過(guò)程中由于木馬、釣魚(yú)網(wǎng)站和賬戶、密碼被盜的原因帶來(lái)資金損失所占的比例最高，分別為24％和33.9％，成為第三方支付的頭號(hào)大敵。第三方支付相較于傳統(tǒng)網(wǎng)上銀行存在著獨(dú)立于銀行、服務(wù)意識(shí)更強(qiáng)、支付方面更深入等優(yōu)勢(shì)。如何保證客戶資金安全，增強(qiáng)支付信任，第三方支付企業(yè)應(yīng)該加強(qiáng)客戶信息加密、防釣魚(yú)、向客戶提示風(fēng)險(xiǎn)、合作商戶進(jìn)行嚴(yán)格審查等方面工作。2013年12月24日，人民銀行支付結(jié)算司主持召開(kāi)《全國(guó)支付機(jī)構(gòu)監(jiān)管工作電視電話會(huì)議》上明確指出，支付機(jī)構(gòu)在客戶資金管理、業(yè)務(wù)合規(guī)經(jīng)營(yíng)、客戶權(quán)益保護(hù)、可持續(xù)發(fā)展等方面存在較為突出的問(wèn)題。會(huì)議要求支付機(jī)構(gòu)切實(shí)保障客戶資金安全，嚴(yán)守監(jiān)管紅線；高度重視支付業(yè)務(wù)安全，有效保護(hù)客戶合法權(quán)益。

第三方支付企業(yè)確保支付一是應(yīng)盡量平衡支付便捷與安全之間的關(guān)系，二是提示交易風(fēng)險(xiǎn)，對(duì)用戶進(jìn)行普及教育。信息交易中絕大多數(shù)風(fēng)險(xiǎn)事件的發(fā)生不是支付技術(shù)上出現(xiàn)問(wèn)題，而是在信息化的知識(shí)亟須普及。風(fēng)險(xiǎn)控制作為第三方支付公司發(fā)展的重中之重，社會(huì)公眾理當(dāng)捍衛(wèi)自身的權(quán)益，要求阿里巴巴和支付寶搭建誠(chéng)信平臺(tái)，實(shí)現(xiàn)網(wǎng)絡(luò)金融和第三方支付的安全性。支付寶用戶信息泄密事件可謂一瓢兜頭涼水，網(wǎng)絡(luò)第三方支付金融安全問(wèn)題，成為互聯(lián)網(wǎng)金融創(chuàng)新的開(kāi)疆拓土的巨大障礙。對(duì)于本次“內(nèi)鬼”事件，阿里巴巴和支付寶未能遵守與用戶簽訂的隱私協(xié)議，客觀上已經(jīng)單方面毀壞契約，已經(jīng)失信于用戶，理當(dāng)承擔(dān)相應(yīng)的責(zé)任。身為當(dāng)事人，阿里巴巴和支付寶并未開(kāi)誠(chéng)布公地披露丑聞的真相和細(xì)節(jié)。在沒(méi)有更確切的事實(shí)和細(xì)節(jié)呈現(xiàn)，尚未經(jīng)獨(dú)立、權(quán)威的第三方檢驗(yàn)、審定和證明，阿里巴巴和支付寶沒(méi)有嚴(yán)格履行用戶隱私協(xié)議、承擔(dān)違約責(zé)任、彌補(bǔ)和賠償所損害的用戶權(quán)益之前，其一切說(shuō)法，比如內(nèi)部“廉政部門(mén)在2012年例行內(nèi)部審計(jì)時(shí)發(fā)現(xiàn)了前員工在數(shù)據(jù)處理上的不當(dāng)行為，并在調(diào)查后將李某移交公安機(jī)關(guān)偵辦”等這些，都只能視為自辯，所有動(dòng)作都只能看成危機(jī)公關(guān)，并不足以為公眾所采信。此次用戶數(shù)據(jù)泄密丑聞，如果在支付寶公關(guān)部的努力之下很快遠(yuǎn)離公眾視野，甚至消弭于無(wú)形，無(wú)疑將是方興未艾的互聯(lián)網(wǎng)金融的隱患，其貽害將難以預(yù)計(jì)。隨著移動(dòng)端支付和互聯(lián)網(wǎng)金融的興起，此類(lèi)案件將進(jìn)入一個(gè)高發(fā)期，而囿于技術(shù)瓶頸，用戶在這一過(guò)程中處于弱勢(shì)地位難以防范，故更應(yīng)該加重第三方支付企業(yè)責(zé)任。

四、支付寶“內(nèi)鬼”事件呼吁網(wǎng)絡(luò)

個(gè)人信息安全立法

“內(nèi)鬼”事件說(shuō)明，用戶安全信息盜取和販賣(mài)已經(jīng)形成了一條完整的產(chǎn)業(yè)鏈，市場(chǎng)需求很大。有價(jià)值的用戶信息大致被分為兩類(lèi)，包括用戶的姓名、年齡、性別、聯(lián)系方式等基礎(chǔ)信息，以及有關(guān)用戶消費(fèi)記錄等在內(nèi)的業(yè)務(wù)性信息。相較于基礎(chǔ)性信息，業(yè)務(wù)類(lèi)信息通過(guò)數(shù)據(jù)分析、加工和挖掘后可以實(shí)現(xiàn)精準(zhǔn)營(yíng)銷(xiāo)，更具商業(yè)應(yīng)用價(jià)值。當(dāng)你在瀏覽網(wǎng)頁(yè)、發(fā)微博、簽到甚至是玩手機(jī)游戲的時(shí)候，你的很多個(gè)人信息，如手機(jī)號(hào)碼、家庭住址、工作單位等，很可能已經(jīng)在不經(jīng)意間被自己“主動(dòng)”泄露。個(gè)人信息淪陷，人人都有可能“裸奔”?！袄碡?cái)推薦”“房屋中介”“移民指南”，銀行、保險(xiǎn)、醫(yī)院、電信、快遞、網(wǎng)站……個(gè)個(gè)套你資訊，漏你信息，不知不覺(jué)中惹上了無(wú)窮無(wú)盡的詢(xún)問(wèn)、搭訕、騷擾、窺探，卻又找不到自己被暴露在眾目睽睽之下的隱秘黑手究竟源自何處。中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心2012年的調(diào)查顯示，有超過(guò)八成的中國(guó)網(wǎng)民遭遇過(guò)信息安全事件，77.7%的網(wǎng)民都遭受了不同形式的損失。發(fā)生經(jīng)濟(jì)損失的網(wǎng)民人均損失額為553.1元，損失總額為194億元。其中，極為隱私性的健康醫(yī)療信息、金融財(cái)產(chǎn)信息泄露比例分別達(dá)到了11.2%和7.3%。這說(shuō)明，竊取個(gè)人信息的逐利性越來(lái)越強(qiáng)，已不滿足于傳統(tǒng)的個(gè)人聯(lián)系方式、屬性信息，而是追求更具營(yíng)銷(xiāo)精準(zhǔn)性的住房、汽車(chē)、健康、醫(yī)療、金融財(cái)產(chǎn)信息等。

英國(guó)人維克托·邁爾·舍恩伯格在其作品《刪除》中說(shuō)，如果有一天信息處理者們坐在堆積如山的個(gè)人信息中為所欲為，那么信息隱私權(quán)還有什么意義？一直以來(lái)，網(wǎng)絡(luò)信息安全問(wèn)題的重要性被嚴(yán)重低估，我國(guó)在這方面的意識(shí)、管理規(guī)范以及立法準(zhǔn)備，都遠(yuǎn)遠(yuǎn)落后于現(xiàn)實(shí)的需要。目前，我國(guó)有近40部法律、30多部法規(guī)，以及近200部規(guī)章涉及個(gè)人信息保護(hù)，其中包括規(guī)范互聯(lián)網(wǎng)信息規(guī)定、醫(yī)療信息規(guī)定、個(gè)人信用管理辦法等。數(shù)量并不少，但是內(nèi)容較為分散、法律法規(guī)層級(jí)偏低。此外，相關(guān)法律中對(duì)信息泄露者懲罰機(jī)制的不是使個(gè)人信息保護(hù)機(jī)制威懾力不足，這些都是亟須解決的問(wèn)題。

世界各國(guó)就個(gè)人信息保護(hù)立法情況如何？歐盟模式：領(lǐng)先制定了個(gè)人信息保護(hù)法律——《個(gè)人數(shù)據(jù)保護(hù)指令》，并且基于其在世界經(jīng)濟(jì)舞臺(tái)舉足輕重的地位，要求其貿(mào)易伙伴乃至世界各國(guó)依據(jù)其指令而制定相類(lèi)似的個(gè)人信息保護(hù)法律，否則將禁止個(gè)人信息的流通，進(jìn)而終止與個(gè)人信息流通有關(guān)的國(guó)際貿(mào)易，希望借此將其指令規(guī)范一舉推上“全球標(biāo)準(zhǔn)”的地位。美國(guó)模式：1986年頒布的《電子通訊隱私法案》，它禁止電子通信服務(wù)供應(yīng)商將服務(wù)過(guò)程中產(chǎn)生的通訊內(nèi)容提供給任何未經(jīng)批準(zhǔn)的實(shí)體。英國(guó)模式：英國(guó)從法律屬性、人事任命、經(jīng)費(fèi)預(yù)算以及內(nèi)部組織架構(gòu)等方面對(duì)信息專(zhuān)員制度進(jìn)行了詳細(xì)的設(shè)計(jì)，以確保其不受行政的干涉。德國(guó)模式：德國(guó)信息保護(hù)法律的適用對(duì)象同時(shí)包含公權(quán)機(jī)關(guān)和私權(quán)機(jī)構(gòu)，其中既有公私統(tǒng)一適用的準(zhǔn)則，又有公私不同領(lǐng)域的相應(yīng)細(xì)則。日本模式：日本企業(yè)在管理客戶信息方面非常嚴(yán)格。從公司發(fā)出的郵件，公司管理人員和監(jiān)管部門(mén)都嚴(yán)格審閱，公司的手提電腦一般不允許帶出公司，一旦存有客戶信息的電腦丟失，將給公司帶來(lái)極其惡劣的影響。

雖說(shuō)每個(gè)國(guó)家的國(guó)情不同，但借鑒他國(guó)的立法經(jīng)驗(yàn)，運(yùn)用到我們的立法準(zhǔn)備是件值得嘗試的事情。當(dāng)大數(shù)據(jù)改變我們生活的時(shí)候，人們看到它讓我們得以更全面，更多維度的理解這個(gè)世界，同時(shí)，它也讓我們生活在一個(gè)幾乎無(wú)所遁形的世界中，隱私的邊界開(kāi)始變得模糊不清。個(gè)人信息保護(hù)的有效實(shí)行，不僅需要自身警醒、企業(yè)自覺(jué)自律，更離不開(kāi)國(guó)家嚴(yán)格有效的法律法規(guī)進(jìn)行監(jiān)督與規(guī)制。endprint