网易科技专栏作家 葛甲
阿里巴巴未来三大战略为平台、金融和数据,前两个战略如没有数据战略支撑,发展上也会步履维艰,某种程度上而言,未来的阿里巴巴是一家数据公司,没有一个业务不与数据紧密相关。而数据业务未来最大的挑战,正是安全落地问题。如果只考虑落地问题而忽视了安全,对阿里巴巴自身的伤害极大,对整个电商行业也会产生负面影响,阿里巴巴对大数据战略中的潜在威胁应时刻保持警惕,在飞速奔跑之余也应及时调整步态,以免跌倒。
近期接到几位淘宝网店铺卖家的咨询,主要内容是对开放平台上的某些店铺应用心存疑虑,担心在使用了这些服务之后,会使自己的店铺敏感信息外泄。通过调查,我发现这些担心并不多余。淘宝网的卖家应用平台,确实存在一定的安全隐患,一旦时机成熟,或许会引爆大规模数据外泄事故,给很多淘宝网店铺造成灭顶之灾。
淘宝网开放平台是2009年9月上线的,开发者可以开发一些应用,通过应用平台上架,供店铺卖家下载使用。通俗地说,淘宝是个大电商平台,提供的是基本服务,但卖家总会有一些淘宝网满足不了的个性化需求存在,这正是那些卖家应用存在的基础。
一个互联网平台实行开放策略,引进第三方服务和软件提供商参与进来,对完善平台的功能,实现更良好用户体验非常重要。也正因为如此,大的平台都是或多或少实行开放策略,聚合中小开发者对平台加以完善,例如新浪微博,运行在这个平台上的第三方应用达到了20万款。从表面来看,淘宝网也实行这种开放平台策略,似乎问题不大。但是,问题出在两种业务的本质属性不同。
淘宝网开放平台上的应用,与新浪等开放平台上的应用有本质区别。以新浪微博为例,应用接入后,会读取使用者的粉丝数、好友关系、地理位置等数据,而淘宝网上的卖家应用,读取的则是营销活动、商品信息、订单、评价及退款等数据。这两种数据的重要程度,本身就是截然不同的,一个是用户个人社交身份信息,一个是卖家经营活动的具体信息,一个是不涉及钱的个人信息,一个是能直接影响到经济利益的商家信息。这两种数据,本质上应采取不同的安全保护级别,正如有很多人会掌握大量电话号码,但一定不该有很多人掌握大量的银行账号信息一样。
淘宝网卖家应用平台上目前有应用1.25万个,共分为14个大类,53个小类,服务内容从店铺装修、流量推广、商品管理、订单管理直至物流管理等。这些应用大多为免费,卖家可以很容易地下载使用,需要增加功能时可按需付费,但大多数使用者是不愿意付费的。
目前使用数排行前20 的应用中,有4款是淘宝官方开发的。其中,量子恒道、支付服务和淘宝旺铺这三款应用,居应用榜前3,使用人数分别为265万、119万和100万。另一款官方开发的应用为居第6位的图片空间,使用人数为64万。除了这4款应用,其余16款应用全部为第三方开发者提交,使用人数最高为75万,最低为25万。在这个平台上,超过10万人使用的应用,已有100多款,绝大多数是第三方开发者提交的。
据一位接近淘宝网的人士向我透露,目前开发者通过出售应用与服务赚取收益非常困难,多数使用者并不愿意交费,而是更青睐于试用方式。与此同时,也有相当一部分开发者已转换了发展思路,并不指望通过正常路径获取收益了,而是通过低价甚至是完全免费方式吸引更多卖家试用,目的是尽可能多地获取试用者店铺所有会员信息和敏感数据,之后再将数据出售以获取暴利。
淘宝网设置的应用使用规则安全等级较低,只要卖家使用或者试用了,应用开发者就能获取该店铺所有交易信息,包含会员详细信息,联系方式,购买信息,交易信息等等。而从卖家这个角度而言,他们大多对技术原理并不熟悉,对规则也并不清楚,往往会在不经意间的一次试用过程中,在毫不知情的情况下,将宝贵的店铺数据泄露给第三方,从而给自己的经营带来潜在风险。
目前在淘宝应用平台的开发商,多是小规模的公司和初创公司,甚至还有些是个人开发者。整体而言,如果坚持正常的商业模式不跑偏,这个行业暂时还是无利可图的,但该行业进入门槛却很低,规则很不完善,参与者鱼龙混杂,存在很大的风险。事实上,一个以淘宝网店铺为基础的电商数据黑市,已开始冒头了,已有不少人在通过这种旁门左道的方式默默获取暴利。甚至有一些卖家自己,也会从应用开发者那里购买竞争对手店铺的详细会员信息。
应该说,淘宝网本身对这个情况也是有察觉的。淘宝网有店铺600万家,活跃店铺为12%,即70万家,如果一个应用有50万卖家使用,那几乎就涵盖了80%有交易的卖家,这对于淘宝而言也是巨大的风险。更何况,那些应用开发商都是小公司,如果是小而美的公司倒也罢了,万一是不可控的小而丑公司,那该怎么办?
在这个背景下,去年7月阿里云联合淘宝和天猫推出了聚石塔平台,为天猫和淘宝平台上的电商及电商服务商提供IT基础设施和数据云服务。应用开发者需要将应用产生的数据库,存放在这个平台里,而不是像以往一样放在自己手里。对淘宝而言,既可以通过出售数据库服务获利,又可以确保数据安全,看上去是个两全其美的方案,但现实情况并非如此。
首先,应用开发商即便将数据库放在聚石塔里,也可以直接通过数据导出和数据库迁移等方式,将数据拿出来。其次,还有很多应用开发者根本就不把数据库放在聚石塔里,而是低成本自建数据库,对数据实施完全掌控。淘宝网对应用开发商是否购买聚石塔服务非常严格,不购买不给权限,不予通过审核,而对于开发商购买服务后是否使用服务,监督力度则小得多了。
很多应用开发商只是购买聚石塔的服务,却并不将数据库放进去,也就是说,花钱只为了得到权限,通过审核,之后该怎么干还怎么干,丝毫不受影响。阿里巴巴在这个问题上,更多表现出的是对自身数据变现的重视。聚石塔从表面而言做得很成功,商业价值能得到一定程度的体现,但作为其初衷之一的防范数据外泄问题,则并没有得到根本解决。
淘宝系是电商第一平台,也是距离实体经济最近的一种互联网平台,这与那些靠增值服务获取收益的平台有本质不同。如果任由敏感交易信息形成地下黑市,并发展到不可控的状态,不但店铺卖家的生意将遭受挫折,这对淘宝系本身的安全也是有极大风险的。
淘宝应用开发平台应采取更严格的数据保护政策,而不应在安全方面与电商之外的大众应用平台看齐。试想,一个小卖家辛苦经营数年积累了上千买家资源,本可以从中获取应有的商业价值,却突然发现自己的这些买家被别人拉走了,竞争对手对自己的情况了如指掌,这对他而言会是多么大的挫折。
泰山不避细壤,故能成其大,淘宝系本身就是由无数小卖家组成的一个大事业,每个卖家的利益都该得到保障,淘宝系才能得以存在并长盛不衰。在发展的问题上,一味追求经济利益而罔顾其他,是相当短视的行为。不要等问题集中爆发了,才去亡羊补牢,钻进互联网这个羊圈的狼,是绝不会一次只吃一只羊的,到时给不给你留下修补羊圈的机会,都会是个问题。
(葛甲供网易科技专稿,转载请注明出处。文章仅代表作者个人观点。)
作家简介:葛甲:互联网发展史研究者和观察者,“通俗互联网”概念的倡导者,长期从事新闻出版,互联网研究和舆情分析工作,是国家级核心期刊《网络传播》的专栏作者,著有《千万网事》等专业书籍,现任职于五洲传播网络中心。