2013年11月27日，從事電商工作的張建因“涉嫌非法獲取公民個人信息罪”，而被杭州市公安局西湖分局刑事拘留，羈押于杭州市三墩鎮振華路看守所。

　　張建案發，由李明（音）牽出。李明系阿里巴巴旗下支付寶的前技術員工，其利用工作之便，在2010年分多次在公司后臺下載了支付寶用戶的資料，資料內容超20G。李明伙同兩位同伙，隨后將用戶信息多次出售予電商公司、數據公司。

　　經阿里巴巴廉正部查悉，下載支付寶用戶資料的行徑或為李明所為，并在杭州報案。杭州警方以該市翠苑派出所為主體，將上述四人予以控制。犯罪嫌疑人張建系李明團伙的第一個“客戶”，其以500元的代價，從李明處購得3萬條支付寶用戶信息。

　　據李明等供述，支付寶用戶的最大買家系服裝類電商公司凡客誠品，其花重金從李明團伙手中購得支付寶用戶資料1000萬條。不過，一位在李明被取保候審后與之有過接觸的人士表示，“凡客誠品之說，僅僅是李明的供述，這不排除有作假的可能性，凡客誠品有無實際購買，最終應由警方認定。”1月2日晚間，凡客誠品一位副總裁向經濟觀察本報表示：“不太清楚這件事，沒聽說過。”公司公關總監焦宏宇表示，“如果警方需要，我們會積極配合。”

　　支付寶方面則在承認確有內部員工盜賣用戶信息案的同時，不愿發表更多意見。

　　截至發稿，該案仍在偵破中，翠苑派出所負責刑事案件的知情警官陳偉（音）表示不便透露案件進展。目前，張建、李明等處于取保候審狀態。1月2日晚，記者撥通張建電話，其表示在警方正式處理方案出來前，他不愿對此事再有提及。

　　“內鬼”盜賣

　　2010年，張建在杭州某公司從事電商工作，負責品牌運營和推廣。因工作關系，結識了前支付寶員工李明，雙方開始有了“生意”上的合作。在一次合作中，李明欠下張建500元人民幣的酬勞。

　　最終，這500元未發生實際支付，經雙方協商，李明向張建提供3萬條目標消費者信息作為“沖賬”。也就是說，張建僅以“500元”為代價，就從李明處“購”得了3萬條支付寶用戶信息。

　　張建所購的支付寶用戶資料中，包括公民個人的實名、手機、電子郵箱、家庭住址、消費記錄等，從這些定位精準的用戶信息中，張建掌握了目標消費群體的具體信息。

　　張建是李明的第一個“主顧”。李明時任支付寶技術員工，其利用工作之便，多次從支付寶后臺下載用戶信息。據其對警方的供述，其下載的信息的大小容量在20G以上。

　　李明下載支付寶用戶信息后，伙同兩位阿里巴巴系統外的IT業者，共同將用戶數據加以分析、提煉，并兜售給目標客戶。據一位在李明被取保候審后與其有過接觸的人士透露，李明團隊對警方承認，支付寶用戶信息被其團隊多次出售給多家電商公司、數據公司，并從中獲得了經濟利益，其中最大的買家系凡客誠品，該公司曾一次性購買支付寶用戶信息1000萬條。

　　1月2日晚間，凡客誠品一位副總裁向經濟觀察報表示，他對此案不清楚，也“沒聽說過”。凡客誠品公關總監焦宏宇亦表示她暫未聽聞，問詢過公司法務部門后，她向經濟觀察報表示：“我們暫時沒接到警方的問詢記錄，如果警方有需要，我們會積極配合。”

　　上述接近李明的人士強調稱，“目前案件仍在偵查階段，且犯罪嫌疑人亦不排除供述造假的可能性。凡客誠品是否實際發生過向李明團隊購買支付寶用戶信息的行為，最終需要警方的認定，警方的偵破對象中是否包括凡客誠品，也不得而知。就目前而言，不能武斷地認為凡客誠品有購買支付寶用戶信息的行為。”

　　張建的案發，由李明供出，而將李明交給警方的，則是阿里巴巴的廉正部。該部門由律師、注冊會計師和退役警察組成，旨在調查阿里巴巴內部是否存在違反公司紀律的情況。事實上，阿里巴巴在對待“內鬼”方面，一向是從不姑息。2012年初，阿里巴巴廉正部發現聚劃算上一家團購業務指定運行商“愛婚婚”存在不正常交易，該公司僅上線8個月，就參加過聚劃算200次以上的團購活動。調查后發現，該公司其實是由一位阿里云員工、一位淘寶網員工和一名聚劃算員工合資組建的，故而其團購活動被“自己人”特意關照了。幾名“內鬼”的過失被記在了聚劃算總經理閻利珉的賬上，后者因此被阿里巴巴免職。

　　更早之前的2011年，馬云針對公司CEO衛哲引咎辭職事件，在阿里巴巴內部郵件中表示：對于“觸犯商業誠信原則和公司價值觀底線的行為”，不能有任何的容忍姑息。

　　盡管是阿里巴巴自己報的案，但阿里巴巴系統內，大多數人對李明案都未曾聽聞。一位支付寶內部的管理人員承認李明確實盜賣用戶信息，但又強調，此案事發已有幾年，且用戶信息并未被大范圍傳播上網。

　　阿里巴巴一位內部知情人士透露稱，在阿里巴巴旗下諸公司內，員工等級不同，權限也不同，像李明這樣大量下載用戶資料為什么沒有第一時間被監控到，直到3年后才被公司發現繼而報案，他本人表示很難理解。“不得不承認，我們在管理上出了一些問題。”

　　錦天城律師事務所合伙人、律師陳良認為支付寶員工盜賣用戶信息，一方面是公司監控不力、管理漏洞，另一方面則非常“恐怖”。“首先是公民的個人財產安全，其次是公民個人的隱私安全，再次是公民個人的人身安全。社會上有很多的特殊人群，比如維權律師、調查記者等，他們由于工作需要，難免會做一些得罪人的事，如果他們的個人隱私比如家庭住址等被江湖仇家獲悉，人身安全便難以得到保障；另有一些不太能見得光的職業，比如夜總會的小姐等，她們的個人信息若被別有用心的人掌握，即有可能會做出一些讓她們不敢報案的威脅；再比如一些單位，出于商業的需要，也會從淘寶上購買大量禮品，如果其動向被競爭對手獲悉，極有可能會帶來不必要的麻煩。還有，支付寶的用戶信息不同于其他網站的用戶注冊信息，包括公民個人的實名、身份證號碼、手機、住址、支付寶余額、購物習慣等，有了這些信息，即有可能就此破譯公民個人的網絡密碼，畢竟有很多網民，尤其是中老年網名，其網絡密碼就是生日。所以說，這件事很可怕。”

　　截至發稿，案件仍在偵查中，具體操作此案的翠苑派出所并未透露案件進展，但張建、李明等已被取保候審。上述接近李明的人士表示，“就張建而言，涉案金額僅500元，情節不算嚴重。”

　　對于像支付寶員工盜賣用戶信息案，江蘇一位網警也表示很無奈。“作為警方而言，目前此類案件只能往‘非法獲取公民個人信息罪’上靠，但此罪造成的影響很難被認定。公民個人信息被泄露，對于公民個人而言，究竟造成了多大的損失，很難被量化。在對犯罪嫌疑人的罪行認定中，警方目前一般是以犯罪嫌疑人販賣信息的條數來認定情節嚴重與否。”

　　1月2日晚間，取保候審在家的張建對本報表示，在警方正式處理意見出來前，他本人不愿再提及此事。