支付宝“内鬼泄密”事件促业界内控反思

　　近日，支付宝对前员工私自倒卖用户信息一事向用户公开致歉，虽然本次泄露的信息并不涉及银行卡号、密码等核心交易信息，但业内专家认为，此事件对支付行业的内控管理敲响了警钟，需引起业界高度重视。

　　日前有消息称，支付宝的前技术员工李某利用工作之便，在2010年多次下载容量超过20G的用户信息，并转卖给第三方获利。支付宝在微博上公开证实了此事，并向用户致歉。

　　当证券时报记者询问此事进展时，一位支付宝内部人士对记者表示：“目前案件已进入公安办案，我们员工都不方便对外透露更多内容。”

　　由于支付宝掌握着用户身份证号、银行卡号等关键信息，此事引起舆论高度关注。不过，支付宝方面强调，李某所售数据为不含密码、不含核心身份信息的非敏感交易内容，支付宝对于敏感数据如身份证信息、银行卡号、密码等均采用了加密技术处理。

　　一位不愿具名的主流第三方支付企业的技术专家向记者证实了支付宝的说法。他称，第三方支付企业均会对用户的身份证、银行卡号码等敏感信息加密，内部员工是无法看到所有数据的。

　　该专家又称，部分第三方支付的技术部员工有权限查看用户的姓名、通信信息等非敏感信息，不过，一般公司内部都有十分严格的规定，查看此类信息需事先经过部门审批，另外公司系统对查看以及下载等行为均会实时监控，因此不排除支付宝前员工李某抱着侥幸心理多次违规下载数据。

　　该专家表示，李某多次下载用户数据得逞，也侧面反映了支付宝的内控管理存在漏洞，须引起第三方支付行业的警惕，行业应加强内部员工道德教育、内部流程管理以及日常监控。

　　不过，支付宝微博表示，信息安全是大数据时代所有互联网企业的严峻挑战，没有一家公司可以独善其身；支付宝呼吁全行业一致行动，完善自身的同时还要斩断贩卖数据的黑色产业链。

　　支付宝方面强调，为保护用户信息安全，该公司设立了首席安全官体系，同时每年要求内部审计部门以及聘请第三方独立审计公司对公司内部的信息安全管理和内部体制进行评估，李某的案件正是在内部审计时被发现的。

　　随着电子商务的急速发展以及支付机构加快创新，网络支付的安全性已引起了消费者及公安部门的重视。近期银联与公安部经侦局联合发布的一项调查显示，交易信息泄露是消费者网购时最担心的问题，31.3%的被调查者担心交易信息被泄露。

　　易观国际分析师张萌表示，第三方支付企业与用户的资金安全息息相关，虽然支付企业、监管机构以及产业链上下游一直将安全性视为发展的首要考虑，但并不是所有的支付方式都能确保“万无一失”，传统金融机构例如银行、保险等也屡次出现员工倒卖用户资料的事件，因此如何有效用户信息安全，应该引起整个支付行业的反思并做出相应改进。蔡恺