移动支付流行，用户须谨慎对待自己的个人资料。

    大家经常使用的支付宝竟然泄露了我们的个人信息？

    上周，阿里巴巴旗下支付宝惊现“内鬼”，泄露20G用户信息的消息爆出，立刻引起了支付宝用户们的担忧。目前，案件还在侦办中，用户到底丢失了哪些数据？使用支付宝进行购物、信用卡还款和“余额宝”的安全还值得信赖吗？在“大数据”时代，我们又该如何保护自己的信息安全？

    文、图片整理/记者 冯秋瑜

    支付宝回应：

    敏感数据任何人都无法获取

    听说了“支付宝泄密”事件，很多用户对于自己的账户安全感到担心。朱小姐就是个典型的“支付宝控”，她说：“我平时一向用支付宝给信用卡还款、在网上买东西、给手机充值……可以说我的银行卡号、信用卡有效期、校验码、密码等信息都在上面。如果支付宝各类信息一旦泄密，简直变成了‘透明人’。”

    此次支付宝泄露的信息包括哪些？据了解，支付宝前员工李某2010年开始曾多次下载用户数据，内容超过20G，并多次出售给电商公司和数据公司。目前泄密的信息可能包含用户的姓名、地址、交易记录等，这些信息经过内容分析、提炼兜售给目标客户，得到商业性的消费倾向。支付宝公关部负责人回应称，“支付宝交易密码、银行账户、身份证号等核心信息技术人员是接触不到的，对于这些敏感数据支付宝全部采用先进加密技术处理，无论是在该事件之前还是之后，任何人都无法获取。”

    事实上，电商购物网站究竟在如何处理我们的信息？据专家表示，购物网站记录用户信息，首先来自外部的监管要求。根据央行等中央监管机构的要求，相关公司必须对包括姓名、证件号等核心身份信息进行留存；同时还要对用户消费行为、历史交易记录等信息留存10年以上。监管部门之所以有这些要求，主要是为了交易安全——防止互联网上的非法交易损害社会公共利益。而消费行为、历史交易等信息对于电商行业来说是也是关键资源。因此，这两个模块的信息是电商企业的重点保护信息，而用户的信用卡号，使用期限等则不会在数据库中留存。

    信息贩卖

    已形成产业链

    支付宝信息泄密引起了用户对于信息安全问题的关注，也令网络信息贩卖产业链浮现。

    “对于商家，购买用户信息几乎是成本最低，且最为快捷的营销手段。而如果信息经过了二次挖掘和包装，价格会更高，一条价值较高的用户信息甚至可以被卖至数十元。”据中国电子企业协会信息化促进发展中心专家表示，目前有价值的用户信息大致被分为两类，包括用户的姓名、年龄、性别、联系方式等基础信息，以及有关用户消费记录等在内的业务性信息。

    “基础信息一般被购买用以进行垃圾短信、电话营销。而业务类信息通过数据分析、加工和挖掘后可以实现精准营销，更具商业应用价值。”此前，由于受关注度较小，一些人甚至在淘宝上叫卖，随着近年来监管趋严，贩卖信息的公司打着精准营销、数据营销的形象出现。

    如今，正当互联网冲击金融业态和刷新社会的理财观念，但支付宝用户信息泄密事件可谓一瓢兜头凉水，网络第三方支付以及网络金融安全的问题再度浮出水面。

    信息泄露

    支付宝不必买单？

    支付宝的20G信息被泄露了——也许你的姓名和住址就在其中，有没有想过索赔呢？

    根据支付宝公布的《隐私权规则》，支付宝承诺“努力采取各种合理的物理、电子和管理方面的安全措施来保护您的信息，使您的信息不会被泄露、毁损或者丢失，包括但不限于ssl、信息加密存储、数据中心的访问控制。”“对可能接触到您的信息的员工或外包人员也采取了严格管理，包括但不限于根据岗位的不同采取不同的权限控制，与他们签署保密协议，监控他们的操作情况等措施。”事实上，想向支付宝索赔却并不容易。

    上海金融与法律研究院执行院长分析认为：“如何衡量违约责任的大小，该如何赔偿，在现有的法律框架下还没有一个确定的数据。更为重要的是，目前还不确定是哪些支付宝用户的信息遭受泄露，而且这些被泄露的信息也不可能让用户知晓。原告都无法追寻，当然也就无法请求违约责任。”

    在2011年12月发生的大规模网站信息泄密事件中，支付宝就“跻身其中”，但引发短暂关注后，很少再被提及。律师提醒消费者：“个人消费者在遇到这类事件时，如果确定自己的财产安全遭受损失，可以直接找支付宝公司进行索赔。第二，可以找支付宝的上级主管部门，例如杭州通信管理局进行协调。第三，则可以采取法律手段，对支付宝公司起诉。”

    专家：

    相关法律监管待开发完善

    用户数据网络泄密，也并非支付宝一家。此前就发生过QQ群、保险公司、酒店入住等个人信息大规模泄密的事件发生。易观国际发布的《中国第三方网络支付安全调研报告》显示，54%的用户因安全顾虑不使用网络支付。在网络支付过程造成资金损失，账户、密码被盗造成的资金损失所占的比例高达33.9％，成为第三方支付的头号大敌。事实上，在大数据时代，数据对营销的价值正在发生变化，然而相关法律监管却常常缺席，即使是在全球范围内，数据保密安全政策和标准还有许多需要开发与完善的地方。

    广东慧港律师事务所律师张天祥认为，随着移动端支付和互联网金融的兴起，此类案件将进入一个高发期，实际当中，用户在这一过程中处于弱势地位，难以防范。据了解，根据《网络商品交易及有关服务行为管理暂行办法》第25条规定，“提供网络交易平台服务的经营者应当采取必要措施保护涉及经营者商业秘密或者消费者个人信息的数据资料信息的安全。非经交易当事人同意，不得向任何第三方披露、转让、出租或者出售交易当事人名单、交易记录等涉及经营者商业秘密或者消费者个人信息的数据。”即便违反也只需要接受1万元以下罚款，对于企业来说可谓“洒洒水”。