支付寶泄密引關注 大數據由誰管理?

　　上周，阿里巴巴旗下支付寶驚現“內鬼”，泄露20G用戶信息的消息爆出，立刻引起了支付寶用戶們的擔憂。目前，案件還在偵辦中，用戶到底丟失了哪些數據?使用支付寶進行購物、信用卡還款和“余額寶”的安全還值得信賴嗎?在“大數據”時代，我們又該如何保護自己的信息安全?

　　支付寶回應：

　　敏感數據任何人都無法獲取

　　聽說了“支付寶泄密”事件，很多用戶對于自己的賬戶安全感到擔心。朱小姐就是個典型的“支付寶控”，她說：“我平時一向用支付寶給信用卡還款、在網上買東西、給手機充值……可以說我的銀行卡號、信用卡有效期、校驗碼、密碼等信息都在上面。如果支付寶各類信息一旦泄密，簡直變成了‘透明人’。”

　　此次支付寶泄露的信息包括哪些?據了解，支付寶前員工李某2010年開始曾多次下載用戶數據，內容超過20G，并多次出售給電商公司和數據公司。目前泄密的信息可能包含用戶的姓名、地址、交易記錄等，這些信息經過內容分析、提煉兜售給目標客戶，得到商業性的消費傾向。支付寶公關部負責人回應稱，“支付寶交易密碼、銀行賬戶、身份證號等核心信息技術人員是接觸不到的，對于這些敏感數據支付寶全部采用先進加密技術處理，無論是在該事件之前還是之后，任何人都無法獲取。”

　　事實上，電商購物網站究竟在如何處理我們的信息?據專家表示，購物網站記錄用戶信息，首先來自外部的監管要求。根據央行等中央監管機構的要求，相關公司必須對包括姓名、證件號等核心身份信息進行留存;同時還要對用戶消費行為、歷史交易記錄等信息留存10年以上。監管部門之所以有這些要求，主要是為了交易安全——防止互聯網上的非法交易損害社會公共利益。而消費行為、歷史交易等信息對于電商行業來說是也是關鍵資源。因此，這兩個模塊的信息是電商企業的重點保護信息，而用戶的信用卡號，使用期限等則不會在數據庫中留存。

　　信息販賣

　　已形成產業鏈

　　“對于商家，購買用戶信息幾乎是成本最低，且最為快捷的營銷手段。而如果信息經過了二次挖掘和包裝，價格會更高，一條價值較高的用戶信息甚至可以被賣至數十元。”據中國電子企業協會信息化促進發展中心專家表示，目前有價值的用戶信息大致被分為兩類，包括用戶的姓名、年齡、性別、聯系方式等基礎信息，以及有關用戶消費記錄等在內的業務性信息。

　　“基礎信息一般被購買用以進行垃圾短信、電話營銷。而業務類信息通過數據分析、加工和挖掘后可以實現精準營銷，更具商業應用價值。”此前，由于受關注度較小，一些人甚至在淘寶上叫賣，隨著近年來監管趨嚴，販賣信息的公司打著精準營銷、數據營銷的形象出現。

　　如今，正當互聯網沖擊金融業態和刷新社會的理財觀念，但支付寶用戶信息泄密事件可謂一瓢兜頭涼水，網絡第三方支付以及網絡金融安全的問題再度浮出水面。

　　信息泄露

　　支付寶不必買單?

　　支付寶的20G信息被泄露了——也許你的姓名和住址就在其中，有沒有想過索賠呢?

　　根據支付寶公布的《隱私權規則》，支付寶承諾“努力采取各種合理的物理、電子和管理方面的安全措施來保護您的信息，使您的信息不會被泄露、毀損或者丟失，包括但不限于ssl、信息加密存儲、數據中心的訪問控制。”“對可能接觸到您的信息的員工或外包人員也采取了嚴格管理，包括但不限于根據崗位的不同采取不同的權限控制，與他們簽署保密協議，監控他們的操作情況等措施。”事實上，想向支付寶索賠卻并不容易。

　　上海金融與法律研究院執行院長分析認為：“如何衡量違約責任的大小，該如何賠償，在現有的法律框架下還沒有一個確定的數據。更為重要的是，目前還不確定是哪些支付寶用戶的信息遭受泄露，而且這些被泄露的信息也不可能讓用戶知曉。原告都無法追尋，當然也就無法請求違約責任。”

　　在2011年12月發生的大規模網站信息泄密事件中，支付寶就“躋身其中”，但引發短暫關注后，很少再被提及。律師提醒消費者：“個人消費者在遇到這類事件時，如果確定自己的財產安全遭受損失，可以直接找支付寶公司進行索賠。第二，可以找支付寶的上級主管部門，例如杭州通信管理局進行協調。第三，則可以采取法律手段，對支付寶公司起訴。”

　　專家：

　　相關法律監管待開發完善

　　用戶數據網絡泄密，也并非支付寶一家。此前就發生過QQ群、保險公司、酒店入住等個人信息大規模泄密的事件發生。易觀國際發布的《中國第三方網絡支付安全調研報告》顯示，54%的用戶因安全顧慮不使用網絡支付。在網絡支付過程造成資金損失，賬戶、密碼被盜造成的資金損失所占的比例高達33.9%，成為第三方支付的頭號大敵。事實上，在大數據時代，數據對營銷的價值正在發生變化，然而相關法律監管卻常常缺席，即使是在全球范圍內，數據保密安全政策和標準還有許多需要開發與完善的地方。

　　廣東慧港律師事務所律師張天祥認為，隨著移動端支付和互聯網金融的興起，此類案件將進入一個高發期，實際當中，用戶在這一過程中處于弱勢地位，難以防范。據了解，根據《網絡商品交易及有關服務行為管理暫行辦法》第25條規定，“提供網絡交易平臺服務的經營者應當采取必要措施保護涉及經營者商業秘密或者消費者個人信息的數據資料信息的安全。非經交易當事人同意，不得向任何第三方披露、轉讓、出租或者出售交易當事人名單、交易記錄等涉及經營者商業秘密或者消費者個人信息的數據。”即便違反也只需要接受1萬元以下罰款，對于企業來說可謂“灑灑水”。