支付宝遭遇“安全门”：马云放权阿里面临规模难题

支付宝“安全门”远未过去。

继支付宝账户频遭盗刷风波后，近日又被曝出其前员工盗卖20G海量的支付宝用户信息。尽管支付宝声明称，据李某（注：上述前员工）自述，其销售的数据为2010年之前不含密码、核心身份信息的部分非敏感交易内容，不涉及用户隐私及安全。

但是，多位业内人士向《第一财经日报》表示，支付宝泄露的信息具有交易价值，极有可能包含个人识别等敏感信息，也即与支付宝声明不符，其已经涉及用户隐私并威胁到账户安全。

北京惠诚律师事务所律师赵占领对记者表示，在这次的泄露事件中，支付宝即使没有刑事责任，也需要承担民事责任——用户在设置支付宝账户时，已经与支付宝公司签订用户协议，支付宝公司有义务和责任保护用户信息安全。

是否存在敏感信息

“信息有价值，才会有人买；如果李某能获得用户信息，那么用户的其他信息也就有渠道泄露。”艾媒咨询CEO张毅表示，这说明，支付宝存在安全隐患，在公司管理、技术和公司数据运用流程方面出了问题。

“对于用户隐私级别的定义，主要从两个方面进行控制。一是技术层面，包括信息的存储、抽取等都进行加密；二是体制以及公司管理流程方面。”一家涉足第三方支付、互联网金融等业务的上市公司风控高管向记者表示。

“外围部门要调用用户身份认证的信息或是交易信息时，需要从两个层面进行规范。”上述风控高管介绍，第三方支付平台需要根据央行等中央部门的要求，对用户的基本信息包括姓名、证件号、身份证影印信息等都要留存，这部分为核心信息；而对于消费行为、历史交易信息等，必须按照相关法规保留10年以上，这类信息对于电商行业来说也是关键资源。因此，这两个模块的信息是公司的重点保护信息，而用户的信用卡号、使用期限等则不会在数据库中留存。

“从法律上说，信息也分等级。信息如果能识别出个人身份、消费行为等，则为核心信息，一旦泄露，警方会介入。”赵占领对记者表示，如果如支付宝声明所指：李某泄露的信息不包括个人识别的信息，那么警方是不会介入的。他因此质疑支付宝的推责之嫌。

赵占领进一步解释称，支付宝泄密事件，如果不是技术上造成的问题，也肯定是在管理上出现了漏洞，对用户的信息以及支付宝账户上的财产安全造成损失，就必须承担民事责任。

“企业泄密并非新鲜事物，有企业就会有机密，就会有被泄露的可能。”复旦大学管理学院企业管理系孙金云博士认为，在互联网时代，大量数据的产生和技术层面对个人信息保护难度的增加导致泄密带来的后果和影响面都远超以往。