支付宝遭遇“安全门”：马云放权阿里面临规模难题（2）

老牌数据公司美国安客诚亚太区域公共政策隐私官潘兆娟也向记者表示，在大数据时代，数据对营销的价值正在发生变化，即使是在全球范围内，数据保密安全政策和标准还有许多需要开发与完善的地方。

在风险控制方面，以此前“CSDN”论坛用户信息泄露为例，前述风控高管向记者表示，CSDN论坛信息泄露，许多注册用户的账户秘密被泄密；内部会对比泄露的信息和自己数据库的信息，然后对用户进行警告。如果属于严重泄密，例如用户账户密码泄露，会强制要求用户改密码。“如果支付宝泄露的数据已经威胁到用户账户安全，那么必须采取有效的风控举措。”

“互联网公司一般而言会针对竞争对手、公司损失等方面对信息进行安全级别的分类；但目前，互联网公司没有对信息泄露做出一个预警系统；没有人牵头做信息安全的预警系统，这是目前信息安全的困境。”张毅说。

治理难题

“只有高层可以阅读核心数据等类似的话，肯定是伪命题。”张毅向记者表示，公司需要技术人员在数据库中提取数据来给高层阅读。因此数据的搬运员才是关键，对其设定权限限制才是企业应该做的。

在前述风控高管看来，支付宝泄密事件的当事人，很有可能只是数据库操作维护级别的员工，公司高层有自己的信誉以及收入保障，没有动机泄露信息，“安全隐患一般来自数据库的维护人员以及数据提取人员，形象的说法为数据库的看门人。”

“这不是阿里的问题，只是阿里比较大，出现泄密的可能性更高一些而已。”孙金云对于前述事件如此表示。

在阿里集团董事局主席马云的世界观里，世界上就两种人，有梦想和没有梦想的人。

据一位阿里集团前中层管理员工描述：作为强调“互联网味道”的公司，马云对阿里强调团队精神、放权以及信任，也敢于把权力交给一线员工。

“相比国内其他公司，阿里对员工的权限放得比较开。”上述人士表示，在早期，这样的放权传递了积极信号，但随着公司体量越来越大，并不能保证所有员工都绝对自律。

特别是在近几年的高速成长期之后，一方面，阿里老员工们也不都是真正的江湖侠士，当现实利益摆在眼前时，他们面临更多选择；另一方面，更多的新进员工，并不把阿里巴巴当作一家创业型公司，而是按照一家成熟的大公司来期望。尤其是新进入公司的“85后”、“90后”，能够见到马云的次数很少，因而他们更关注自己的职业发展目标、收入等。

这些都在阿里内部管理中埋下了诸多隐患，如何科学放权与有效管控各种信息安全，是其无可回避的问题。此前，阿里的大规模轮岗以及几次变阵，也被期望达到“流水不腐、户枢不蠹”的目的。

事实上，从2011年的“挥泪斩卫哲”到2012年反腐卸载“阎利珉”，对于内部治理，阿里一直在边治疗边完善。2012年6月，阿里集团在管理团队中设立首席风险官一职，由原集团秘书长、副总裁邵晓锋出任该职务。对于设立该职位的原因，阿里集团形容为“必须学会在天晴的时候修屋顶”，在市场环境变化之前作出部署，未来阿里集团将在体制建设、价值观强化以及制度保障上，全面推进风险管理体系。

但是，阿里的体量决定其并没有参考配方。“想要防范这样的人，除了公司内部审计制度外，法律的制裁也是必需的。”前述上市公司风控高管称。

孙金云建议，对于企业机密的保护需要从产业环境、企业政策与架构、企业文化与员工自律三个方面入手。具体而言，在产业环境方面，政府对于泄密行为、泄密人、获益者必须第一时间做出响应，严格执法，增加泄密窃密的成本；而在企业政策与架构方面，企业本身要加强内部监管，从技术和制度上减少泄密的机会和可能；最后，在企业文化与员工自律方面，要加强员工的归属感和荣誉感，减少员工窃密的动机。