“內鬼”盜賣支付寶信息 20G用戶信息恐泄密

　　2013年11月27日，從事電商工作的張建因“涉嫌非法獲取公民個人信息罪”，而被杭州市公安局西湖分局刑事拘留，羈押于杭州市三墩鎮振華路看守所。

　　張建案發，由李明(音)牽出。李明系阿里巴巴旗下支付寶的前技術員工，其利用工作之便，在2010年分多次在公司后臺下載了支付寶用戶的資料，資料內容超20G。李明伙同兩位同伙，隨后將用戶信息多次出售予電商公司、數據公司。

　　經阿里巴巴廉正部查悉，下載支付寶用戶資料的行徑或為李明所為，并在杭州報案。杭州警方以該市翠苑派出所為主體，將上述四人予以控制。犯罪嫌疑人張建系李明團伙的第一個“客戶”，其以500元的代價，從李明處購得3萬條支付寶用戶信息。

　　據李明等供述，支付寶用戶的最大買家系服裝類電商公司凡客誠品，其花重金從李明團伙手中購得支付寶用戶資料1000萬條。不過，一位在李明被取保候審后與之有過接觸的人士表示，“凡客誠品之說，僅僅是李明的供述，這不排除有作假的可能性，凡客誠品有無實際購買，最終應由警方認定。”1月2日晚間，凡客誠品一位副總裁向經濟觀察本報表示：“不太清楚這件事，沒聽說過。”公司公關總監焦宏宇表示，“如果警方需要，我們會積極配合。”

　　支付寶方面則在承認確有內部員工盜賣用戶信息案的同時，不愿發表更多意見。

　　截至發稿，該案仍在偵破中，翠苑派出所負責刑事案件的知情警官陳偉(音)表示不便透露案件進展。目前，張建、李明等處于取保候審狀態。1月2日晚，記者撥通張建電話，其表示在警方正式處理方案出來前，他不愿對此事再有提及。

　　“內鬼”盜賣

　　2010年，張建在杭州某公司從事電商工作，負責品牌運營和推廣。因工作關系，結識了前支付寶員工李明，雙方開始有了“生意”上的合作。在一次合作中，李明欠下張建500元人民幣的酬勞。

　　最終，這500元未發生實際支付，經雙方協商，李明向張建提供3萬條目標消費者信息作為“沖賬”。也就是說，張建僅以“500元”為代價，就從李明處“購”得了3萬條支付寶用戶信息。

　　張建所購的支付寶用戶資料中，包括公民個人的實名、手機、電子郵箱、家庭住址、消費記錄等，從這些定位精準的用戶信息中，張建掌握了目標消費群體的具體信息。

　　張建是李明的第一個“主顧”。李明時任支付寶技術員工，其利用工作之便，多次從支付寶后臺下載用戶信息。據其對警方的供述，其下載的信息的大小容量在20G以上。

　　李明下載支付寶用戶信息后，伙同兩位阿里巴巴系統外的IT業者，共同將用戶數據加以分析、提煉，并兜售給目標客戶。據一位在李明被取保候審后與其有過接觸的人士透露，李明團隊對警方承認，支付寶用戶信息被其團隊多次出售給多家電商公司、數據公司，并從中獲得了經濟利益，其中最大的買家系凡客誠品，該公司曾一次性購買支付寶用戶信息1000萬條。

　　1月2日晚間，凡客誠品一位副總裁向經濟觀察報(微博)表示，他對此案不清楚，也“沒聽說過”。凡客誠品公關總監焦宏宇亦表示她暫未聽聞，問詢過公司法務部門后，她向經濟觀察報表示：“我們暫時沒接到警方的問詢記錄，如果警方有需要，我們會積極配合。”

　　上述接近李明的人士強調稱，“目前案件仍在偵查階段，且犯罪嫌疑人亦不排除供述造假的可能性。凡客誠品是否實際發生過向李明團隊購買支付寶用戶信息的行為，最終需要警方的認定，警方的偵破對象中是否包括凡客誠品，也不得而知。就目前而言，不能武斷地認為凡客誠品有購買支付寶用戶信息的行為。”

　　張建的案發，由李明供出，而將李明交給警方的，則是阿里巴巴的廉正部。該部門由律師、注冊會計師和退役警察組成，旨在調查阿里巴巴內部是否存在違反公司紀律的情況。事實上，阿里巴巴在對待“內鬼”方面，一向是從不姑息。2012年初，阿里巴巴廉正部發現聚劃算上一家團購業務指定運行商“愛婚婚”存在不正常交易，該公司僅上線8個月，就參加過聚劃算200次以上的團購活動。調查后發現，該公司其實是由一位阿里云員工、一位淘寶網員工和一名聚劃算員工合資組建的，故而其團購活動被“自己人”特意關照了。幾名“內鬼”的過失被記在了聚劃算總經理閻利珉的賬上，后者因此被阿里巴巴免職。

　　更早之前的2011年，馬云針對公司CEO衛哲引咎辭職事件，在阿里巴巴內部郵件中表示：對于“觸犯商業誠信原則和公司價值觀底線的行為”，不能有任何的容忍姑息。

　　盡管是阿里巴巴自己報的案，但阿里巴巴系統內，大多數人對李明案都未曾聽聞。一位支付寶內部的管理人員承認李明確實盜賣用戶信息，但又強調，此案事發已有幾年，且用戶信息并未被大范圍傳播上網。

　　阿里巴巴一位內部知情人士透露稱，在阿里巴巴旗下諸公司內，員工等級不同，權限也不同，像李明這樣大量下載用戶資料為什么沒有第一時間被監控到，直到3年后才被公司發現繼而報案，他本人表示很難理解。“不得不承認，我們在管理上出了一些問題。”

　　錦天城律師事務所合伙人、律師陳良認為支付寶員工盜賣用戶信息，一方面是公司監控不力、管理漏洞，另一方面則非常“恐怖”。“首先是公民的個人財產安全，其次是公民個人的隱私安全，再次是公民個人的人身安全。社會上有很多的特殊人群，比如維權律師、調查記者等，他們由于工作需要，難免會做一些得罪人的事，如果他們的個人隱私比如家庭住址等被江湖仇家獲悉，人身安全便難以得到保障;另有一些不太能見得光的職業，比如夜總會的小姐等，她們的個人信息若被別有用心的人掌握，即有可能會做出一些讓她們不敢報案的威脅;再比如一些單位，出于商業的需要，也會從淘寶上購買大量禮品，如果其動向被競爭對手獲悉，極有可能會帶來不必要的麻煩。還有，支付寶的用戶信息不同于其他網站的用戶注冊信息，包括公民個人的實名、身份證號碼、手機、住址、支付寶余額、購物習慣等，有了這些信息，即有可能就此破譯公民個人的網絡密碼，畢竟有很多網民，尤其是中老年網名，其網絡密碼就是生日。所以說，這件事很可怕。”

　　截至發稿，案件仍在偵查中，具體操作此案的翠苑派出所并未透露案件進展，但張建、李明等已被取保候審。上述接近李明的人士表示，“就張建而言，涉案金額僅500元，情節不算嚴重。”

　　對于像支付寶員工盜賣用戶信息案，江蘇一位網警也表示很無奈。“作為警方而言，目前此類案件只能往‘非法獲取公民個人信息罪’上靠，但此罪造成的影響很難被認定。公民個人信息被泄露，對于公民個人而言，究竟造成了多大的損失，很難被量化。在對犯罪嫌疑人的罪行認定中，警方目前一般是以犯罪嫌疑人販賣信息的條數來認定情節嚴重與否。”

　　1月2日晚間，取保候審在家的張建對本報表示，在警方正式處理意見出來前，他本人不愿再提及此事。

　　隱秘產業鏈

　　與張建從事類似品牌推廣和運營工作的電商資深從業者徐巍，自己在淘寶網上也代理了幾個內衣品牌的銷售。在他看來，“做電商就是做數據!”

　　據徐巍介紹，隨著電商的發展，客戶精準定位越發重要。大多數做電商的人，尤其是做到一定規模的人，都會購買數據。這些電商從業人員會選擇一些付費的“情報工具”，如由上海某公司開發的“情報通”。以情報通為代表的數據軟件，主要通過搜索引擎、數據庫等技術，對淘寶店進行數據分析，比如你店鋪的競爭對手做了哪些直通車廣告，用了哪些關鍵詞，效果如何，以及行業分析、店鋪分析、寶貝分析、買家搜索等，軟件都可以提供。通過使用這類軟件，電商從業人員可以獲取競爭對手的數據，以作為調整營銷策略和產品定位的參考依據。“我用的情報通，一年的年費是5萬元，數據對電商而言，太重要了。”徐巍稱，這些付費的數據軟件固然重要，但依然無法企及消費者的個人信息資料。“舉個例子，比如我是賣女性內衣的，如果我手上有一個數據庫，得知喜歡在網上買內衣的女性消費者，她們購物的頻次如何，價格區間如何，消費規律如何，喜歡什么品牌，等等，如果知道了這些信息，我就可以提煉出更多的信息，以調整店鋪戰略。如果再知道了她們的手機號碼、電子郵箱、家庭住址等，我甚至還可以向她們定向群發短信、郵件、直郵DM等，她們都是精細化營銷的潛在消費者!”{page_break}

　　徐巍稱，作為電商從業人員，他最需要的就是這樣的精細化數據，但苦于沒有門路，只能退而求其次地付費使用情報通等數據分析軟件。

　　上述接近李明的人士表示，李明離職前從支付寶下載的數據多達20G以上，只要通過一些軟件錄入數據庫再予以專業分析的話，基本上可以將所有支付寶、淘寶用戶的消費習慣盡收眼底。“這些用戶信息，都是可以帶來錢的，可以變現的。”

　　不過，上述支付寶內部人士表示，“我們也不知道這20多G具體是什么信息，甚至究竟有沒有20G這么大，我們也不知道。”該支付寶人士還表示，李明團隊所盜賣的數據，至被用于其個人牟利，目前還沒有被他們傳到網上，對社會不構成公共性的危害。

　　盡管李明等盜賣的公民個人信息沒有大面積被傳至公眾網絡，但以錦江之星為代表的一批快捷連鎖酒店的住客信息，在今年10月便被公開，甚至公民個人的開房信息等隱私，都在網上可被公開查詢，甚至有人在美國新澤西州注冊了一個網站，可供網民公開查詢他人在錦江之星的入住記錄。目前，國內用戶已經無法訪問該網站，但數據包依然在百度云可被公開下載至個人電腦。更早之前，京東商城、當當網的注冊用戶資料泄密事件，亦鬧得沸沸揚揚。

　　2013 年11月，網上驚現一位出售真實QQ、微信用戶資料的信息，信息內容高達90G，涉及8000萬個微信群和15億QQ用戶，標價為400元。賣家宣稱，其出售的資料囊括市場所有行業的最新最全的活躍QQ用戶，同時已經按行業、產業、年齡、性別等分好類，還可以針對單個QQ、微信賬戶，查詢到具體的姓名、年齡、社交網及從業經歷等。騰訊在2013年11月21日發布公告稱，用戶資料泄密是2011年的問題，當時便已經進行了安全升級。淘寶網方面則接到了騰訊的協助請求，將網上販賣資料的信息處理下架。

　　上述網警介紹稱，在電商領域，的確存在隱秘的客戶資料黑色產業鏈，在“黑市”中，用戶資料的價格按照“行規”是以文件大小來銷售的，打包文件大部分是上百兆的大小，含有幾千條信息，一般價格是幾萬元不等。其中，最值錢的是電商的用戶資料，可以按條數來賣，一個經過精細分析的“數據包”甚至可以叫價百萬元以上。買家的目的各自不一，有人是用以信息詐騙，有人是買斷競爭對手的全部用戶資源，有人則是為了給目標客戶發送廣告。“這種產業鏈主要集中在電子商務發達的地區，比如杭州、上海、深圳等地。”

　　浙江大學新聞傳播學院的網絡傳播學者副教授汪凱認為，“中國法律上對于公民個人隱私權的保護一直都比較薄弱。以往談及公民個人隱私，常常與名譽權一并被提及，但在電子商務發展迅猛的當下，隱私權其實已經成為了一種產權和一種精神財富，尤其是消費隱私。有誰愿意自己何年何月何日何時花了多少錢偷偷買了一盒事后緊急避孕藥被天下皆知呢?”

　　汪凱表示，防范電商再出用戶資料泄密事件，除了電商公司積極開展商業倫理教育，建立內部稽查部門及時監控外，國家層面還根據新時代的新變化，出臺相關法規，對公民網絡隱私予以明確界定，并加大網絡獲取、公開、買賣公民個人隱私等新犯罪形態的打擊力度。

　　陳良亦表示，國家層面對隱私權的重新界定，在網絡時代更應該有“新的說法”，司法體系也應該加大對利用公民網絡隱私從事牟利行為的打擊力度。