阿里所谓的“核心身份信息”，并非法律上的概念。在网络时代，许多网络公司对账户安全防护严密，但对用户安宁权的保护却“先天不足”。

日前，支付宝前技术员工涉嫌将多达20G的用户数据非法贩卖他人事件，引起广泛关注。对此，阿里巴巴公司向用户致歉，并强调泄露的隐私并非“核心身份信息”，不涉及用户隐私和安全。但公众质疑：除了核心身份信息外的其他信息，难道就该是隐私保护的“盲区”？

所谓核心身份信息，并非法律上的概念。按阿里巴巴方面的解释，它包括密码、个人身份证件号码和联系方式等可识别个人的信息。的确，在网络经济时代中，核心身份信息是隐私保护的重中之重，一旦发生泄露，会伤害到用户的人格权，也会直接威胁用户账号安全。但隐私权保护的范围，并不仅限于此。

全国人大常委会通过的《关于加强网络信息保护的决定》中，将“可识别公民个人信息”与“涉及公民个人隐私的电子信息”二者并举，列入法律保护范围。其原因在于，电子信息大数据利用的背景下，很难区分哪些信息可“识别”到个人，如果法律只保护前者，那必然会挂一漏万，公民的隐私很难得到有效保护。

在电子商务领域中，网络隐私保护的核心在于两点：一是保护账户安全，二是维护用户安宁权。毋庸置疑，账户安全是网络经济的前提，很多网络公司对此防护严密。如阿里巴巴以“加密”的形式加以保护。相比之下，对用户安宁权的维护却显得“先天不足”，这也是该事件的症结所在。数据公司非法购买“不涉及核心身份信息”的数据，主要原因在于针对性广告的商业需求。在大数据时代中，网络用户使用偏好、购买取向、浏览爱好等信息，只要经过数据加工，即可形成特定化广告的发送对象。一旦它们被数据公司非法取得，用户在网络上就可能“永无宁日”。

在此意义上讲，非法的商业化使用用户信息的危害性并不亚于网络安全。因此，境外很多国家和地区在制裁非法采集、利用个人信息之时，对是否具有商业性进行区分对待。如我国台湾的《个人信息数据保护法》，将具有商业性质的非法买卖个人数据从重处罚，而并不区分买卖的究竟是否为“核心身份信息”。这值得借鉴。