文/宁宇,作者微信公众号:尚儒客栈(CMCC-ningyu)
前几天支付宝升级,芝麻信用增加了新的功能,用户可以提供更多信息,用以提升芝麻信用值,按照提示里的说法,就是"有助于芝麻信用为你更客观/全面的评估。"
点开你的支付宝,查看"芝麻信用",再点开"信用管理",查看"个人信息"。在最下面,有一栏"话费账单":
再点进去,查看我的话费账单,就要用户的授权了。再点击进去就可以看到,支付宝是希望客户提供客服密码,授权给芝麻信用使用。
什么是客服密码,用客服密码可以用来干什么?
移动、电信、联通都要求客户设置客服密码,这是一组由六位数字的密码。通过客服密码可以进行业务查询和部分业务受理,尤其在电子化渠道越来越发达的今天,很多情况下客服密码就是运营商对客户进行认证的重要凭证。
把你的客服密码告诉支付宝,就等于把自己家的钥匙交了出去,你放心么?
有人,甚至是运营商人士认为我在大惊小怪,不就是把钥匙交给保姆么。对不起,我还是比较保守的,虽然也找保洁帮助我清理屋子,但是我可不敢把钥匙交给陌生人,允许他在我不知情的情况出入我家。
最简单的,通过客服密码可以查询用户的每月账单、各种详细话单,以及上网记录。如果支付宝发起一个话单查询请求,并提供了用户的客服密码,那么在运营商侧是根本无法判断出:这是用户自己发起的,还是第三方干的。
打个比方:因为你把钥匙给了保姆,结果保姆趁你不在家不知道的时候进了门,翻阅了你家里的东西,虽然什么都没有拿走,但你心里肯定不舒服啊。
也有人说,支付宝是要了用户授权的,所以这种行为并不违法。然而问题在于:
用户在点击授权之前,会打开那个"电信运营商数据查询服务协议"么?
用户在点击授权之前,会意识到这个把"电信运营商"挂在前面的服务协议,其实是由一家叫做"数立信息"的公司提供的么?
用户在点击授权之前,会把服务协议翻到最后,看到签约地是浙江杭州市,发生纠纷先协商,然后再到被告所在地人民法院裁判么?
用户在点击授权之前,会意识到把客服密码交出去的情况下,给自己带来的风险么?
你会把钥匙交给一个陌生人么?用户真的是在了解所有情况和风险之后,把服务密码交给支付宝的吗?更何况,你其实是把密码交给了数立信息。
在这个事情中,运营商是不是也要承担一定责任呢?
有人说运营商的客服密码是弱密码,6位数字太容易被破解了。这种情况确实需要综合考量,是否应强制要求客户进行密码升级。但是如果遇到这样诱导用户输入客服密码的情况,即使再复杂再难破解,不也白搭?就是说即使你用了C级锁,但是交出了钥匙,风险不是照样存在?!
那么运营商能不能辨别这个行为到底是用户发起,还是得到了用户授权的单位发起呢?很难。"授权"就是让渡了你的权力,这种让渡是法律许可的,运营商有什么道理不让人家使用?
所以,只能提醒客户:
要么使用临时密码授权他临时查询的权力,就像给他开门,打扫完卫生之后就关上门。要么及时更换服务密码,就像是给了他钥匙之后,赶快换一把锁,让他以后进不了门。或者就像现在这样,运营商要求对方关闭这种诱导客户的行为,冒着被客户责骂的风险,保护客户的隐私。
原本征信服务是大数据的一个应用,而今互联网公司又以提升信用等级为诱饵,获取更多的数据。你再看看这个截图:
除了话费账单之外,还有车辆信息、公积金等,有多少吃瓜群众会主动把自己的隐私提供出来呢?
在我写完这篇文章的时候,突然发现支付宝已将"话费账单"这一栏做了下线处理,但公积金这一栏还在。点开之后可以看到,芝麻信用与多少地市的公积金系统平台合作了,而合作单位以及授权服务协议的主体,仍然是那个"数立信息"。
在大数据时代,又有多少企业和政府机关会把"与互联网公司合作"为荣,结果增加了信息泄露和安全风险。高科技时代,我们倡导合作共赢,而且通过协同发展,也确实让我们的社会更加丰富多彩。可是对于用户、对于行业、对于社会,安全问题始终应该成为关注的重点,为了便利放弃了对自身的信息保护,这样真的好么?