支付寶已不值得信任

支付寶昨天爆發(fā)了數據泄露丑聞，超過20g的支付數據資料被支付寶前員工從系統(tǒng)中竊取出去，并出售給第三方，后被媒體曝光。

這已經不是支付寶第一次發(fā)生此類事件了，前期谷歌等搜索引擎在網上能搜索到數百萬條支付寶用戶信息的事情，在引發(fā)了一些關注后戛然而止，從此很少被提及，此次用戶隱私數據丑聞在支付寶公關部的努力下，也很可能很快遠離公眾視野，消弭于無形。

不過，丑聞畢竟是丑聞，還是要引起一些重視。尤其是，支付寶的用戶數據包含大量用戶隱私，如電話、地址、身份證號、購物習慣、賬戶余額等。如果這些資料被不法分子掌握，理論上他們可以用來實施很多犯罪行為，威脅到用戶個人財務安全。但在記者時候的采訪中，支付寶公關部認為這些數據并沒有被傳到網上，對社會不構成公共性危害。

從一開始，支付寶就給這件事情定了調子，那就是對社會沒危害，對用戶數據安全沒威脅，支付寶沒做錯。隨后支付寶就此事在微博上發(fā)表的公開致歉，證實了這一點。那么，讓我們分析一下高大上企業(yè)支付寶的這份聲明，看看這到底是怎樣一家企業(yè)吧。

這份聲明總共數百字，分為六個部分。以下為原文，括號里是我的評論。

第一部分：今天，我們關注到有媒體報道支付寶前員工李某的案件，在此向關心此事的廣大用戶做幾點說明。

（注意了，這是個正常的開篇，但這短短幾十個字能看出很多信息。首先，支付寶做這份聲明的原因是注意到有媒體報道這件事了，做聲明是為了在信息外泄后解釋一下，而非為了提醒用戶注意安全。其次，這個開篇中真正的主語是支付寶前員工李某的案件（不提隱私泄露）），說的是李某的問題，而非支付寶的問題。從開篇來看，支付寶鐵了心要把這件事的責任推卸出去，這個開篇就是后面內容的基調。）

第二部分：1、基于已有的數據安全體系，阿里巴巴廉正部在2012年例行內部審計時發(fā)現了前員工李某在數據處理上的不正當行為，并在調查后將李某移送公安機關進行偵辦。

（首先強調這件事是阿里巴巴內部審計時調查出來的，是阿里巴巴主動報案拿人的，這是先把主動權抓在手里的姿態(tài)。其次，提到了李某因不正當行為被扭送公安機關，拜托，不正當行為是不歸公安機關管的。既用不正當行為這個詞來輕描淡寫這件事情本身的性質，結果還要扭送公安機關，自相矛盾。洗地的性質和撿肥皂不一樣，要注意姿態(tài)。）

第三部分：2、據李某自述，其銷售的數據為了，2010年之前不含密碼，不含核心身份信息的部分非敏感交易內容，不涉及用戶隱私及安全。同時，我們一直以來對于敏感數據如身份證信息、卡號、密碼等全部采用先進加密技術處理，無論是在該事件之前還是之后，任何人都無法獲取。

（強調這批泄露的數據不是敏感數據，強調是2010年前不包含密碼的數據，強調支付寶的技術固若金湯，強調誰也得不到敏感數據。用好幾個正面的強調，構成一個他們很不好意思說出來的事實，那就是數據已經泄露了，而且還抓了人。話說，如果這些泄露的數據無關緊要，為什么要抓人？公眾有權知道這批信息泄露的程度，對用戶信息安全到底有何種威脅。對于這些，支付寶只字未提，只是在強調他們有理，技術高大上等等，一貫的操作手法。）

第四部分：3、對于李某的行為我們深感痛心，并對由此給用戶帶來的不安深表歉意！但我們對此類事件會一查到底絕不姑息。

（這部分道歉了，替李某道歉，并表明決心。對于支付寶在這一過程中要承擔何種責任，則閃爍其詞，讓人不明白支付寶是為李某的行為向公眾道歉，還是為了自己在這個過程中承擔的責任向公眾道歉?；煜攸c的手法，我們領教很久，已成習慣。）

第五部分：4、支付寶相關安全體系已經通過了包括國家信息安全測評中心、dci、dss等眾多國內國際權威機構的檢測認證，并設立了首席安全官體系以完善內部安全架構，確保用戶信息的安全永遠是我們至高無上的首要任務。

（這一段是廣告，是要告訴人們支付寶的安全技術有多牛，他們對此做出了多大努力來維護用戶信息安全等等。但他們還是沒說清楚，支付寶在這個過程中到底該承擔何種責任。）

第六部分：大數據時代，信息安全成為了所有互聯網公司所面臨的最嚴峻挑戰(zhàn)之一，沒有一家公司可以獨善其身。如這篇報道所言，包括即時聊天工具的用戶資料，酒店住客信息也已經成為數據盜取及販賣的主要領域。因此，支付寶呼吁全行業(yè)的各個參與者一起行動起來，完善自身的同時更要共同斬斷販賣數據的黑色產業(yè)鏈，為數據的自由、安全流動貢獻全部的力量！

（這一段結尾點題，扯到了大數據，即時通訊和酒店等的數據泄露。支付寶一家的事情，要把所有企業(yè)拉進來一起陪綁。這就像是小學生在課堂上看漫畫被老師抓住了，被追問時說旁邊的同學也看了，那邊的同學還畫漫畫呢。對自己的問題避重就輕，東拉西扯的落腳點竟然是呼吁企業(yè)團結起來斬斷數據販賣的黑色產業(yè)鏈。這就像是小偷被抓住了之后，對自己的罪行只字不提，卻大談特談起個人生存環(huán)境，社會公平正義，社會保障等議題。把微觀問題扯到宏觀上去，似乎可以減輕支付寶的過錯，讓人們不再關注這件事的本身。這個手法，過去阿里巴巴在歷次公關危機中屢試不爽。）

我對這件事的看法：

支付寶的這份聲明中，還有很多問題沒有回答，也許他們根本就不想回答。

首先，這名前支付寶員工在3年前就開始竊取支付數據，這是孤立行為還是普遍行為，支付寶那些通過了多重安全鑒定的內部管控機制到底能否起作用？

本次數據泄露事件是否如支付寶輕描淡寫的那樣，僅是違規(guī)操作行為，不涉及敏感信息。如果真是這樣的話，為什么要動用公安機關抓人。

支付寶在數據泄露事件中要承擔什么責任？這么大一個公司，要對自己的行為負責，李某的職務身份是支付寶員工，履行的是公司職責，這個責任不能簡單推給個人或是全社會就完事兒了。

被交易的用戶數據既然有交易價值，為何支付寶還要死硬抵賴說不涉及用戶的敏感信息？什么算敏感信息？那些電商網站買去那些沒有人名，沒有ip地址、信用卡、身份證的信息回去是要做什么？真的沒有敏感信息嗎？

既然支付寶已說這些用來交易的用戶信息并沒有被傳到網上，必然是已經弄清了數據流動的一切來龍去脈，為何不公布這些事實真相，并積極檢討自身，而是要努力推卸責任，并東拉西扯把別的企業(yè)牽扯進來？

結論

支付寶和阿里巴巴的關系大家都清楚，這兩家公司的行事風格一脈相承，不管什么事情都是別人的錯，社會的錯，他們自己什么都沒做錯。支付寶的用戶信息泄露事件不是第一次，表明其內部管控機制已失靈，就像篩子一樣漏的到處都是?？申P鍵問題是，支付寶在公開聲明中的推卸責任、閃爍其詞、東拉西扯、讓人非常懷疑他們對待數據安全這個問題上的誠信。

一份沒有任何歉意的致歉聲明，把自己的責任推得干干凈凈，卻反而還要指責別人的數據泄露事件，以洗白自身。支付寶已成為一家傲慢的公司，面對三番五次出出現的安全事故不知反省，調整內部安全防范機制，卻積極動用公關力量去為自己涂脂抹粉。在支付寶的眼里，億萬用戶的信息安全威脅，也比不上他們自己浮華的面子，支付寶未來必將為自己所做過的一切，付出代價。

生成海報

免責聲明：本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網站出現的信息，均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后，將會依法盡快聯系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。