原標題：支付寶遭遇“安全門”：馬云放權阿里面臨規模難題

　　支付寶“安全門”遠未過去。

　　繼支付寶賬戶頻遭盜刷風波后，近日又被曝出其前員工盜賣20G海量的支付寶用戶信息。盡管支付寶聲明稱，據李某(注：上述前員工)自述，其銷售的數據為2010年之前不含密碼、核心身份信息的部分非敏感交易內容，不涉及用戶隱私及安全。

　　但是，多位業內人士表示，支付寶泄露的信息具有交易價值，極有可能包含個人識別等敏感信息，也即與支付寶聲明不符，其已經涉及用戶隱私并威脅到賬戶安全。

　　北京惠誠律師事務所律師趙占領對記者表示，在這次的泄露事件中，支付寶即使沒有刑事責任，也需要承擔民事責任——用戶在設置支付寶賬戶時，已經與支付寶公司簽訂用戶協議，支付寶公司有義務和責任保護用戶信息安全。

　　是否存在敏感信息

　　“信息有價值，才會有人買;如果李某能獲得用戶信息，那么用戶的其他信息也就有渠道泄露。”艾媒咨詢CEO張毅表示，這說明，支付寶存在安全隱患，在公司管理、技術和公司數據運用流程方面出了問題。

　　“對于用戶隱私級別的定義，主要從兩個方面進行控制。一是技術層面，包括信息的存儲、抽取等都進行加密;二是體制以及公司管理流程方面?！币患疑孀愕谌街Ц?、互聯網金融等業務的上市公司風控高管向記者表示。

　　“外圍部門要調用用戶身份認證的信息或是交易信息時，需要從兩個層面進行規范?！鄙鲜鲲L控高管介紹，第三方支付平臺需要根據央行等中央部門的要求，對用戶的基本信息包括姓名、證件號、身份證影印信息等都要留存，這部分為核心信息;而對于消費行為、歷史交易信息等，必須按照相關法規保留10年以上，這類信息對于電商行業來說也是關鍵資源。因此，這兩個模塊的信息是公司的重點保護信息，而用戶的信用卡號、使用期限等則不會在數據庫中留存。

　　“從法律上說，信息也分等級。信息如果能識別出個人身份、消費行為等，則為核心信息，一旦泄露，警方會介入?！壁w占領對記者表示，如果如支付寶聲明所指：李某泄露的信息不包括個人識別的信息，那么警方是不會介入的。他因此質疑支付寶的推責之嫌。

　　趙占領進一步解釋稱，支付寶泄密事件，如果不是技術上造成的問題，也肯定是在管理上出現了漏洞，對用戶的信息以及支付寶賬戶上的財產安全造成損失，就必須承擔民事責任。

　　“企業泄密并非新鮮事物，有企業就會有機密，就會有被泄露的可能?！睆偷┐髮W管理學院企業管理系孫金云博士認為，在互聯網時代，大量數據的產生和技術層面對個人信息保護難度的增加導致泄密帶來的后果和影響面都遠超以往。

　　老牌數據公司美國安客誠亞太區域公共政策隱私官潘兆娟也向記者表示，在大數據時代，數據對營銷的價值正在發生變化，即使是在全球范圍內，數據保密安全政策和標準還有許多需要開發與完善的地方。

　　在風險控制方面，以此前“CSDN”論壇用戶信息泄露為例，前述風控高管向記者表示，CSDN論壇信息泄露，許多注冊用戶的賬戶秘密被泄密;內部會對比泄露的信息和自己數據庫的信息，然后對用戶進行警告。如果屬于嚴重泄密，例如用戶賬戶密碼泄露，會強制要求用戶改密碼。“如果支付寶泄露的數據已經威脅到用戶賬戶安全，那么必須采取有效的風控舉措?！?/p>

　　“互聯網公司一般而言會針對競爭對手、公司損失等方面對信息進行安全級別的分類;但目前，互聯網公司沒有對信息泄露做出一個預警系統;沒有人牽頭做信息安全的預警系統，這是目前信息安全的困境?！睆堃阏f。

　　治理難題

　　“只有高層可以閱讀核心數據等類似的話，肯定是偽命題?！睆堃阆蛴浾弑硎?，公司需要技術人員在數據庫中提取數據來給高層閱讀。因此數據的搬運員才是關鍵，對其設定權限限制才是企業應該做的。

　　在前述風控高管看來，支付寶泄密事件的當事人，很有可能只是數據庫操作維護級別的員工，公司高層有自己的信譽以及收入保障，沒有動機泄露信息，“安全隱患一般來自數據庫的維護人員以及數據提取人員，形象的說法為數據庫的看門人?！?/p>

　　“這不是阿里的問題，只是阿里比較大，出現泄密的可能性更高一些而已。”孫金云對于前述事件如此表示。

　　在阿里集團董事局主席馬云的世界觀里，世界上就兩種人，有夢想和沒有夢想的人。

　　據一位阿里集團前中層管理員工描述：作為強調“互聯網味道”的公司，馬云對阿里強調團隊精神、放權以及信任，也敢于把權力交給一線員工。

　　“相比國內其他公司，阿里對員工的權限放得比較開。”上述人士表示，在早期，這樣的放權傳遞了積極信號，但隨著公司體量越來越大，并不能保證所有員工都絕對自律。

　　特別是在近幾年的高速成長期之后，一方面，阿里老員工們也不都是真正的江湖俠士，當現實利益擺在眼前時，他們面臨更多選擇;另一方面，更多的新進員工，并不把阿里巴巴當作一家創業型公司，而是按照一家成熟的大公司來期望。尤其是新進入公司的“85后”、“90后”，能夠見到馬云的次數很少，因而他們更關注自己的職業發展目標、收入等。

　　這些都在阿里內部管理中埋下了諸多隱患，如何科學放權與有效管控各種信息安全，是其無可回避的問題。此前，阿里的大規模輪崗以及幾次變陣，也被期望達到“流水不腐、戶樞不蠹”的目的。

　　事實上，從2011年的“揮淚斬衛哲”到2012年反腐卸載“閻利珉”，對于內部治理，阿里一直在邊治療邊完善。2012年6月，阿里集團在管理團隊中設立首席風險官一職，由原集團秘書長、副總裁邵曉鋒出任該職務。對于設立該職位的原因，阿里集團形容為“必須學會在天晴的時候修屋頂”，在市場環境變化之前作出部署，未來阿里集團將在體制建設、價值觀強化以及制度保障上，全面推進風險管理體系。

　　但是，阿里的體量決定其并沒有參考配方。“想要防范這樣的人，除了公司內部審計制度外，法律的制裁也是必需的?！鼻笆錾鲜泄撅L控高管稱。

　　孫金云建議，對于企業機密的保護需要從產業環境、企業政策與架構、企業文化與員工自律三個方面入手。具體而言，在產業環境方面，政府對于泄密行為、泄密人、獲益者必須第一時間做出響應，嚴格執法，增加泄密竊密的成本;而在企業政策與架構方面，企業本身要加強內部監管，從技術和制度上減少泄密的機會和可能;最后，在企業文化與員工自律方面，要加強員工的歸屬感和榮譽感，減少員工竊密的動機。