凡客诚品购买数据?
据涉案者供述,支付宝用户的最大买家系服装类电商公司凡客诚品,其花重金从李明团伙手中购得支付宝用户资料1000万条。不过,警方目前并未确认购买者涉及凡客。
1月2日晚间,凡客诚品一位副总裁表示,他对此案不清楚,也“没听说过”。凡客诚品公关总监焦宏宇亦表示她暂未听闻,问询过公司法务部门后,她向经济观察报表示:“我们暂时没接到警方的问询记录,如果警方有需要,我们会积极配合。”
是否存在敏感信息?
据第一财经日报称,多位业内人士向表示,支付宝泄露的信息具有交易价值,极有可能包含个人识别等敏感信息,也即与支付宝声明不符,其已经涉及用户隐私并威胁到账户安全。
一家涉足第三方支付、互联网金融等业务的上市公司风控高管表示,“对于用户隐私级别的定义,主要从两个方面进行控制。一是技术层面,包括信息的存储、抽取等都进行加密;二是体制以及公司管理流程方面。”“外围部门要调用用户身份认证的信息或是交易信息时,需要从两个层面进行规范。”第三方支付平台需要根据央行等中央部门的要求,对用户的基本信息包括姓名、证件号、身份证影印信息等都要留存,这部分为核心信息;而对于消费行为、历史交易信息等,必须按照相关法规保留10年以上,这类信息对于电商行业来说也是关键资源。因此,这两个模块的信息是公司的重点保护信息,而用户的信用卡号、使用期限等则不会在数据库中留存。
艾媒咨询CEO张毅表示,“信息有价值,才会有人买;如果李某能获得用户信息,那么用户的其他信息也就有渠道泄露。”这说明,支付宝存在安全隐患,在公司管理、技术和公司数据运用流程方面出了问题。
北京惠诚律师事务所律师赵占领表示,在这次的泄露事件中,支付宝即使没有刑事责任,也需要承担民事责任——用户在设置支付宝账户时,已经与支付宝公司签订用户协议,支付宝公司有义务和责任保护用户信息安全。“从法律上说,信息也分等级。信息如果能识别出个人身份、消费行为等,则为核心信息,一旦泄露,警方会介入。如果如支付宝声明所指:李某泄露的信息不包括个人识别的信息,那么警方是不会介入的。他因此质疑支付宝的推责之嫌。
赵占领进一步解释称,支付宝泄密事件,如果不是技术上造成的问题,也肯定是在管理上出现了漏洞,对用户的信息以及支付宝账户上的财产安全造成损失,就必须承担民事责任。
此外,分析称,“只有高层可以阅读核心数据等类似的话,肯定是伪命题。”公司需要技术人员在数据库中提取数据来给高层阅读。因此数据的搬运员才是关键,对其设定权限限制才是企业应该做的。“互联网公司一般而言会针对竞争对手、公司损失等方面对信息进行安全级别的分类;但目前,互联网公司没有对信息泄露做出一个预警系统;没有人牵头做信息安全的预警系统,这是目前信息安全的困境。”
在前述风控高管看来,支付宝泄密事件的当事人,很有可能只是数据库操作维护级别的员工,公司高层有自己的信誉以及收入保障,没有动机泄露信息,“安全隐患一般来自数据库的维护人员以及数据提取人员,形象的说法为数据库的看门人。”
复旦大学管理学院企业管理系孙金云博士认为,在互联网时代,大量数据的产生和技术层面对个人信息保护难度的增加导致泄密带来的后果和影响面都远超以往。
美国安客诚亚太区域公共政策隐私官潘兆娟也表示,在大数据时代,数据对营销的价值正在发生变化,即使是在全球范围内,数据保密安全政策和标准还有许多需要开发与完善的地方。
