阿里云在刚刚走出亏损时代后,再次成为舆论焦点。
一则与2019年双十一相关的旧闻,使阿里云再次登上热搜。这起事件涉及到云业务用户注册信息的泄露,作为一家市场份额高达40%的企业,阿里云每天处理大量数据,用户隐私安全的问题随之引发讨论。
面对行业领头羊的这种情况,用户不禁要问,这个行业的安全性到底如何?
数据泄露与法律责任
最近,浙江省通信管理局的一份答复函在网上流出,称阿里云在未获得用户同意的情况下,私自将用户注册信息泄露给第三方合作公司。浙江省通信管理局的相关负责人随后向媒体确认了此事。
根据该函件,阿里云的行为违反了《中华人民共和国网络安全法》第四十二条的规定,浙江省通信管理局已责令阿里云进行整改。
对此,阿里云表示,这一事件源于2019年双11前后,一名电销员工违反公司纪律,私下获取客户联系方式并透露给分销商员工,最终导致客户投诉。
根据目前法律的审判结果,阿里云此次泄露可能未对用户造成实质性损失,阿里云也强调严禁员工泄露信息,并将强化内部管理。但这一事件仍引发了广泛关注。
有律师指出,如果阿里云的说法属实,涉事员工可能涉嫌侵犯公民个人信息罪。如果其在履行职责或提供服务过程中获得的个人信息被出售或提供给他人,将受到更重的处罚。根据《刑法》第二百五十三条之一的规定,侵犯公民个人信息罪情节严重者可处三年以下有期徒刑或拘役,并处以罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
如此一名员工便可轻易泄露用户信息,这样的大公司管理漏洞为何如此之多?部分声音对阿里云在用户隐私保护方面表示失望,质疑的声浪也随之而来。
此次事件虽源于一名用户的投诉,阿里方面强调这是个别员工的违规行为,并非大规模用户信息泄露。但真实情况是否如此?哪些级别的员工能够接触这些数据?是否所有员工都有可能泄露数据?一位有着超过十年站长经验的资深云产品用户对此表示质疑。
该用户向媒体反映,近期他曾打算购买一台云主机,使用公司的企业账号登录阿里云官网后,接连收到包括阿里云在内的多家不明来电骚扰。
泄露现象与灰色地带
根据IDC发布的市场数据,2021年第一季度,国内IaaS+PaaS市场规模达到301亿,阿里云在其中占据40%的市场份额。作为国内最大的云数据企业,阿里云一家就占据了接近一半的市场。
实际上,阿里云用户注册信息泄露的事件并非行业个例,很多网络侵权案例的冰山一角。根据互联网信息服务投诉平台2021年5月的统计,个人信息保护类投诉占比较高。
山石网科云安全业务群总经理余滔在接受采访时表示,随着各种小程序和应用的普及,用户数据收集的过程中往往存在信息捆绑采集和过度采集的问题,用户在授权时容易疏忽,久而久之便增加了信息泄露的风险。
在企业云安全方面,虽然云计算的应用日益普及,但由于不同云技术厂商对安全责任的模糊界定,以及多云模式的普遍采用,往往使得安全责任不清晰,形成安全薄弱环节,成为网络攻击和违法犯罪的入口。
从个人用户到企业的安全,数据信息泄露的风险依然在不断上升。结合山石网科多年的网络安全服务经验,余滔指出,网络诈骗和黑客攻击等恶性事件的增加,导致近年来信息泄露造成的灾难性事件也在上升。
例如,2016年山东60万考生数据泄露后,有经济困难的学生因学费被骗而导致精神压力过大不幸去世。此外,一些不法分子利用他人身份证信息进行网络贷款等行为时有发生。个人信息泄露的事件不断增加,影响范围也在扩大。
即使不是主动泄露,企业或个人在信息安全方面也易出现问题。
加强规范与法律责任
近年来,监管机构对个人信息及企事业单位信息安全的重视程度不断提高。
2021年8月20日,十三届全国人大常委会通过了《个人信息保护法》,该法将于11月1日正式实施。
此外,国务院于8月17日签署的《关键信息基础设施安全保护条例》进一步为关键信息基础设施安全提供了法律依据,而《数据安全法》也将于9月1日正式生效。
随着一系列法律法规的相继出台,政府对网络信息监管及合规运营的要求不断提升,用户信息安全保护的力度也在加大。对于平台型企业而言,由于其聚集了大量用户数据,发生数据泄露的影响和伤害更为深远,因此需要承担更大的责任。
阿里云的泄露事件也给所有平台型企业敲响了警钟。在个人信息保护方面,平台企业是否达到国家及行业的要求?信息保护制度是否健全?员工培训是否标准化?所有这些问题仍需企业及行业机构给出更明确的规范。
未雨绸缪,防范于未然。
