在2019阿里云峰会上海站,阿里云智能总裁张建锋提出,全面上云的拐点到了,2019年是从传统IT向云计算全面转移的分水岭。近期,阿里云被爆,就在这一年双11,该公司员工将用户信息泄露给了第三方合作伙伴。
对此,阿里云8月23日回应称,根据自查,该事件应为2019年双11前后,阿里云一名电销员工违反公司纪律,利用工作便利私下获取客户联系方式,并透露给分销商员工,从而引发一名客户投诉。
一云服务厂商人员告诉第一 财经 ,此类事件在行业中挺常见,但在大公司并不常见。
上海大邦律师事务所高级合伙人游云庭接受第一 财经 采访时表示,本案暴露出阿里云内部的数据流程管控可能存在重大问题。首先是权限设置问题,“阿里云是不是对公司的用户注册数据获取有权限设置?涉案的员工级别上是不是可以接触到这些数据?如果其权限本来就能够接触到这些数据,公司是不是对数据的访问有内部的操作记录;如果其无权接触这些数据,那么其利用了公司数据访问怎样的漏洞才能获取这些数据?”
据悉,上述电销员工是阿里众多外包员工的一员,该事件已于去年内部处理。
除了此次爆出的阿里云,互联网行业究竟发生过多少类似的案件?在互联网时代,用户基本处于“裸奔”状态,大数据知道用户喜好,掌握衣食住行各类数据,各类软件频繁监测用户行为。
在互联网信息服务投诉平台公布的2021年5月投诉情况显示,2021年5月,投诉平台共收到投诉21585件,其中,互联网企业17392件、基础电信企业4193件。在互联网企业投诉中 , 个人信息保护类投诉2560件,占比14.7%。
除了个人,如今大部分企业都已开展云业务、进行云转型,但许多企业依旧担心数据丢失或泄露,尤其是当涉及到员工和客户的数据迁移上云时,企业会变得更加敏感。此前就有业内人士表示,一些政企客户对于互联网企业提供的云服务始终存有疑虑,担心数据问题。
而此次阿里云用户信息泄露事件也引发其他云计算用户担忧,如果注册信息都能泄漏,那在云平台存放的业务数据还能安全吗?
游云庭表示,一般而言,银行、电信企业,以及大的互联网公司都对用户注册信息的权限有非常高的级别设置,普通员工根本无法获取。“如果阿里云本身有这些权限设置,这个员工是利用编造的理由取得这些数据的,那就是其对员工的合规培训没有做好;如果阿里云内部管理比较混乱,本身员工就都可以获取用户注册信息的,那就违反了网络安全法相关等级保护的规定。”
《中华人民共和国网络安全法》第四十条规定,网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。
一份浙江省通信管理局7月5日对阿里云事件投诉人的答复函显示,经调查核实,2019年11月11日阿里云计算有限公司未经用户同意擅自将用户留存的注册信息泄露给第三方合作公司,阿里云计算有限公司的行为违反了《中华人民共和国网络安全法》第四十二条规定,根据《中华人民共和国网络安全法》第六十四条规定,我局已责令阿里云计算有限公司改正。
《中华人民共和国网络安全法》第四十二条规定,网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。
网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
8月23日阿里云回应称:公司严禁员工向第三方泄露用户注册信息,已根据公司制度对该事件进行严肃处理,并遵照浙江省通信管理局要求积极整改,对人员管理层面上的不足进行强化改进。有阿里员工告诉第一 财经 ,公司已经做了制度和管理上的改进,包括系统权限方面。
如何减少此类事件?游云庭认为,要制定健全的信息保护制度,并且要对员工加强培训,让员工合规处理用户信息。
用户隐私近年也越来越受到重视。8月20日,《中华人民共和国个人信息保护法》由第十三届全国人民代表大会常务委员会第三十次会议通过,自2021年11月1日起施行。第十条规定,任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息;不得从事危害国家安全、公共利益的个人信息处理活动。
就内部人员可以,而且还是权力比较大的。作为云服务器提供商,阿里云无权审查任何用户数据。阿里云已明确要求用户不得发布侵犯他人合法权益的信息或知识产权的软件,也不能擅自读取云资源租用人存储在服务器中的数据。
6月20日,首例云服务器知识产权侵权案件二审改判,北京知识产权法院驳回一审原告的所有诉讼请求,阿里云公司不承担法律责任。这次诉讼源自一起 游戏 侵权案。2015年,乐动卓越公司发现一款侵犯自身知识产权的盗版 游戏 。该 游戏 运行在阿里云上,在向阿里云投诉无果后,遂于2015年11月向北京市石景山区人民法院起诉,请求判令阿里云 断开链接 、停止服务,向其提供数据库信息,并赔偿经济损失。一审认定阿里云应承担侵权责任,赔偿26万余元。
该案是国内首例云服务器提供商责任认定问题的案件。
一审判决引发轩然大波。法律界高度关注云服务商应当承担何种责任;用户数据与隐私的安全则成为全民关注的焦点:按照一审判决,云服务商在接到投诉后应当审查用户数据,将给数以百万级的用户的数据安全、商业秘密、用户隐私带来挑战。
在此背景下,阿里云公司表示:"作为云服务器提供商,既没有任何权利去查看用户的信息内容,也没有任何理由去调用用户的数据。只有收到司法部门的正式裁决和通知,阿里云公司才会依照法律要求配合司法部门协助调查。"
二审中,围绕双方争议焦点,北京知产法院从本案的法律适用、合格通知的判断标准、云服务器提供者应当采取何种必要措施、阿里云公司是否构成共同侵权及应否承担民事责任等方面做出全面回应。
关于云服务器应当采取何种必要措施的问题,法院认为,根据阿里云公司提供的涉案云服务器租赁服务的性质,简单将"删除、屏蔽或者断开 链接 "作为阿里云公司应采取的必要措施和免责事由,与行业实际情况不符。鉴于信息服务业务类型不同,以及权利人主张权利内容不同,阿里云公司仅根据权利人通知即采取后果最严厉的"关停服务器"或"强行删除服务器内全部数据"措施有可能给云计算行业乃至整个互联网行业带来严重的影响,并不适当,不符合审慎、合理之原则。
至此,历时两年,北京知产法院最终确定阿里云公司不承担任何法律责任。该案不仅为国内首例云计算服务责任案定 纷止 争,也为未来云计算行业发展确立了明确的法律规则,具有重大价值。
欢迎分享,转载请注明来源:夏雨云
评论列表(0条)