(网经社讯)8月23日,阿里云用户注册信息泄露事件引发广泛关注和热议。对此,浙江省通信管理局回应称已责令改正;而阿里云称系一名电销员工违反公司纪律透露给分销商员工,已严肃处理、积极整改。阿里云的信息泄露事件或将引发用户对阿里集团信息安全问题的担忧。对此,有律师表示责任人该行为除了要负行政责任、民事责任外,还有可能涉嫌侵害公民个人信息罪的刑事责任。(更多详见网经社专题:阿里云用户数据被泄露 官方权威通报!律师:责任人将面临刑事责任)
(图片来源于网经社原创图库)
阿里云泄露用户信息被责令整改
近日,一份浙江省通信管理局对投诉人的答复函(编号【2021】483号)自网络流出,称此前阿里云计算有限公司未经用户同意,擅自将用户留存的注册信息泄露给第三方合作公司。随后,浙江省通信管理局相关负责人确认了此事的真实性。并称该省网信办、市场监督管理局等监管部门已介入此事,开展督促整改工作。
(网经社注:图片采集自浙江省通信管理局)
根据该管理局答复投诉人回复函显示,阿里云计算公司未经用户同意擅自将用户留存的注册信息泄露给第三方合作公司,该行为违反了《中华人民共和国网络安全法》第四十二条规定,根据《网络安全法》第六十四条规定,浙江省通信管理局已责令阿里云计算有限公司改正。如对本答复函存异议,可在接到本函之日起60日内,向工业和信息化部申请行政复议,或在接到本函之日起六个月内向杭州市上城区人民法院提起行政诉讼。
8月23日,阿里云官方微博回应称:据自查,该投诉事件应为阿里云一电销员工违反公司纪律,利用工作便利私下获取客户联系方式,并透露给分销商员工,引发一名客户投诉。阿里云严禁员工向第三方泄露用户注册信息,已根据公司制度进行严肃处理,并遵照浙江省通信管理局要求积极整改,对人员管理层面上的不足进行改进。感谢大家的监督批评。
(网经社注:图片采集自阿里云新浪微博)
对此,网经社电子商务研究中心B2B与跨境电商部主任、高级分析师张周平表示,阿里云此次“用户注册信息泄露”事件凸显出该公司在内部人员管理层面存在漏洞,一名普通的电销员工就有权限接触该类用户隐私数据,暴露出阿里云内部的数据流程管控可能存在重大问题,由此可见阿里集团在内部管理上的漏洞将是一大隐患。该事件也将势必给用户带来担忧,打击用户对阿里云的数据安全信心。
律师称责任人或将面临刑事责任
对于阿里云用户信息泄露事件,网经社电子商务研究中心特约研究员、浙江某知名律师事务所律师匿名表示,根据即将于2021年11月1日施行的《中华人民共和国个人信息保护法》作为个人信息保护的专门立法,明确规定“自然人的个人信息受法律保护,任何组织、个人不得侵害自然人的个人信息权益”。若处理者违法处理个人信息或未依法履行个人信息保护义务的,除可能面临行政处罚外,其违法行为还将可能被记入信用档案予以公示。此外,遭受权益侵权的个人信息主体有权要求处理者承担损失赔偿等侵权责任,且在该种情形下,举证责任倒置,即处理者不能证明自己没有过错的,应当承担侵权责任。对于个人信息的侵害行为,除了前述的行政责任、民事责任外,还有可能涉嫌侵害公民个人信息罪的刑事责任。在个人信息日益重要的时代,无论是企业还是个人都应当树立依法保护个人信息的观念,对于企业而言加强内控管理尤为重要。
网经社电子商务研究中心特约研究员、上海正策律师事务所董毅智律师表示,第一,阿里云员工肯定要承担责任;第二是作为阿里自身也要承担相应的责任,员工毕竟属于职务行为,那么在这个代表公司的职务行为中,给客户财产损失的话,还是要公司平台来承担责任。而且可能这里面还涉及到刑事犯罪,涉及到行政监管部门的调查和处罚。
(网经社注:图片采集自阿里云官网)
网经社电子商务研究中心特约研究员、上海汉盛律师事务所高级合伙人李旻表示,阿里集团掌握超10亿海量用户信息,大部分为更新及时的敏感个人信息,若发生个人信息泄露则损害难以估量;另一方面阿里云作为网络服务提供者,产品的安全性、保障性特征远远重要于其他特征。因此本次泄露难免令用户产生联想:阿里系产品是否有意愿、有能力保障用户信息安全?近期阿里集团屡次暴露出公司内部规章制度和人员管控上的漏洞,该事件应当为阿里集团敲响警钟。除了不断提升并保障产品质量、先进技术、市场占有以外,阿里集团应当更加关注企业治理、增强员工的合规意识培训、加强企业合规体系建设,规避法律风险、承担企业责任、恢复用户信任。
(网经社注:图为上海汉盛律师事务所高级合伙人李旻)
“根据《网络安全法》、《消费者权益保护法》及即将生效的《数据安全法》、《个人信息保护法》,阿里云员工的行为是以积极作为的方式侵犯了用户的个人信息权益,现阶段来看主要是民事责任承担,是否需要承担刑事责任还要看泄露情况。而阿里云无论作为网络运营者、经营者、数据处理者还是个人信息处理者,都有义务采取措施确保个人信息不被泄露、篡改、丢失,若不采取有效措施履行义务则对个人信息权益构成消极侵犯。在本事件发生后,根据《网络安全法》第四十二条,阿里云至少应该倒查此类泄露现象的严重程度,及时告知已被泄露的用户并向有关主管部门通知、报告,并从内部规章制度建设、员工培训等角度采取更加积极的个人信息保护措施。”网经社电子商务研究中心特约研究员、上海汉盛律师事务所高级合伙人李旻表示。
《国家网络安全法》第六十四条规定,网络服务提供者若存在侵害个人信息依法得到保护的权利的,将由有关主管部门责令改正,可根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。此外,情节严重者可责令其暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。
年营收超500亿元 之前传将独立上市
2021年4月,有报道称阿里云在考虑独立运营,并有上市的计划,知情人士称阿里云内部还会进行一轮架构调整。而另外一位曾任阿里云的高管称,一直有听到阿里云独立的传闻,但未得到确切信息,但他认为一定会拆分。
据阿里巴巴集团2021财年第三季度(对应自然年2020年Q4)显示:阿里云营收达161亿元,调整后EBITA盈利2400万元。这是2009年成立以来,阿里云首次实现盈亏平衡。而近三年来,阿里云营收分别为:2018年213.6亿元、2019年收入355亿元、阿里云收入556亿元。
据IDC最新发布市场数据,2021年第一季度,国内IaaS+PaaS市场规模达301亿,其中阿里云排名第一,市场份额40%。作为国内最大的云数据企业,阿里云一家企业就占据了国内接近一半的云计算市场份额。
6月8日,阿里云宣布在印度尼西亚和菲律宾新增两大数据中心,并计划在3年内投入超过60亿元(10亿美元)用于基础设施建设、数字化人才培养等本地生态支持。截至目前,阿里云在全球24个地域部署了上百个云数据中心,总计75个可用区,覆盖东南亚、日本、澳大利亚、美国、英国、欧洲、中东等主要海外市场。阿里云在海外服务超过百万用户,其中包括洲际酒店集团、新加坡最大邮政集团Singapore Post、马来西亚知名电商PrestoMall、印尼鹰航集团、印尼本土最大电商Tokopedia等知名企业。
云计算领域信息泄露屡禁不止 数据安全问题突出
2017年,美国芝加哥选举委员会表示,在亚马逊云计算服务器上,有180万个注册投票者的信息,包括姓名、地址和出生日期,被暴露在网上。2018年8月,腾讯云用户北京清博数控科技有限公司所属“前沿数控”向腾讯云提出千万元的索赔要求,因其平台的操作系统云盘受所在物理硬盘固件版本bug导致的磁盘静默错误(写入数据和读取出来的不一致)影响,文件系统元数据损坏。
2019年阿里云代码托管平台被质疑泄露企业源代码。当时有开发者称,阿里云代码托管平台的项目权限设置存在歧义,导致开发者操作失误,造成至少40家以上企业的200多个项目代码泄露。当时阿里云回应称,平台提供了Private(私有)、Internal(站内登录可见)、Public(完全公开)三个访问权限选项。默认代码访问权限为Private(私有),用户可以手动更改为其他选项。
(网经社注:图片采集自阿里云官网)
“除阿里云用户数据泄露外,在云计算领域,2017年在亚马逊云计算服务器上,有180万个注册投票者的信息,包括姓名、地址和出生日期,被暴露在网上;2018年8月,腾讯云也因操作系统云盘发生故障致使用户数据清零暴露出的数据安全问题等,诸多的云计算企业接连出现信息安全及信息泄露事件屡禁不止,引发企业对于上云安全性的担忧。尤其是阿里云等提供公有云服务的企业,掌握大量企业客户的核心数据,其数据保护要求或许还将“加码”。但即使尝试用技术方法来保证数据安全,但技术终究是人开发的,仍不可能百分之百安全。目前除亚马逊云、阿里云、腾讯云三家头部企业外,还有包括京东云、百度云、华为云、天翼云、金山云、浪潮云、新华三、青云等主要玩家。”张周平表示。
今年以来,监管层对于个人信息及企事业单位信息安全保护的重视度不断提升。《个人信息保护法》将于11月1日正式施行。8月17日,国务院正式签署的《关键信息基础设施安全保护条例》,也进一步对关键信息基础设施安全及其网络安全保护提供了法律依据。此外,今年6月过审发布的《数据安全法》,也将于9月1日正式生效。随着系列法律法规的高频推出,政府监管部门对于网络信息监管及合规运营的要求进一步提升,对于用户信息安全保护的力度也正在加大。对于平台型企业而言,由于其上面积聚了大量的用户数据及关键信息,发生数据泄露可能造成的影响与伤害也更为深远,因此所需肩负起的责任也更大。
【小贴士】
网经社产业电商台(B2B.100EC.CN)是专业产业电商门户,旗下运营:企业购、大宗、钢铁、化塑、工业品、快消品等系列频道,提供包括:媒体、报告榜单、融资、营销、培训等服务,是产业电商从业者、媒体、投资者的首选平台。(如果您是产业电商业内人士,欢迎咨询加微信:zhangzhouping110)
