在萬物互聯(lián)、全面上云的時代,用戶隱私和數(shù)據(jù)安全誰來保障?
在2019阿里云峰會上海站,阿里云智能總裁張建鋒提出,全面上云的拐點到了,2019年是從傳統(tǒng)IT向云計算全面轉(zhuǎn)移的分水嶺。近期,阿里云被爆,就在這一年雙11,該公司員工將用戶信息泄露給了第三方合作伙伴。
對此,阿里云8月23日回應(yīng)稱,根據(jù)自查,該事件應(yīng)為2019年雙11前后,阿里云一名電銷員工違反公司紀(jì)律,利用工作便利私下獲取客戶聯(lián)系方式,并透露給分銷商員工,從而引發(fā)一名客戶投訴。
一云服務(wù)廠商人員告訴第一財經(jīng),此類事件在行業(yè)中挺常見,但在大公司并不常見。
上海大邦律師事務(wù)所高級合伙人游云庭接受第一財經(jīng)采訪時表示,本案暴露出阿里云內(nèi)部的數(shù)據(jù)流程管控可能存在重大問題。首先是權(quán)限設(shè)置問題,“阿里云是不是對公司的用戶注冊數(shù)據(jù)獲取有權(quán)限設(shè)置?涉案的員工級別上是不是可以接觸到這些數(shù)據(jù)?如果其權(quán)限本來就能夠接觸到這些數(shù)據(jù),公司是不是對數(shù)據(jù)的訪問有內(nèi)部的操作記錄;如果其無權(quán)接觸這些數(shù)據(jù),那么其利用了公司數(shù)據(jù)訪問怎樣的漏洞才能獲取這些數(shù)據(jù)?”
據(jù)悉,上述電銷員工是阿里眾多外包員工的一員,該事件已于去年內(nèi)部處理。
除了此次爆出的阿里云,互聯(lián)網(wǎng)行業(yè)究竟發(fā)生過多少類似的案件?在互聯(lián)網(wǎng)時代,用戶基本處于“裸奔”狀態(tài),大數(shù)據(jù)知道用戶喜好,掌握衣食住行各類數(shù)據(jù),各類軟件頻繁監(jiān)測用戶行為。
在互聯(lián)網(wǎng)信息服務(wù)投訴平臺公布的2021年5月投訴情況顯示,2021年5月,投訴平臺共收到投訴21585件,其中,互聯(lián)網(wǎng)企業(yè)17392件、基礎(chǔ)電信企業(yè)4193件。在互聯(lián)網(wǎng)企業(yè)投訴中,個人信息保護(hù)類投訴2560件,占比14.7%。
除了個人,如今大部分企業(yè)都已開展云業(yè)務(wù)、進(jìn)行云轉(zhuǎn)型,但許多企業(yè)依舊擔(dān)心數(shù)據(jù)丟失或泄露,尤其是當(dāng)涉及到員工和客戶的數(shù)據(jù)遷移上云時,企業(yè)會變得更加敏感。此前就有業(yè)內(nèi)人士表示,一些政企客戶對于互聯(lián)網(wǎng)企業(yè)提供的云服務(wù)始終存有疑慮,擔(dān)心數(shù)據(jù)問題。
而此次阿里云用戶信息泄露事件也引發(fā)其他云計算用戶擔(dān)憂,如果注冊信息都能泄漏,那在云平臺存放的業(yè)務(wù)數(shù)據(jù)還能安全嗎?
游云庭表示,一般而言,銀行、電信企業(yè),以及大的互聯(lián)網(wǎng)公司都對用戶注冊信息的權(quán)限有非常高的級別設(shè)置,普通員工根本無法獲取。“如果阿里云本身有這些權(quán)限設(shè)置,這個員工是利用編造的理由取得這些數(shù)據(jù)的,那就是其對員工的合規(guī)培訓(xùn)沒有做好;如果阿里云內(nèi)部管理比較混亂,本身員工就都可以獲取用戶注冊信息的,那就違反了網(wǎng)絡(luò)安全法相關(guān)等級保護(hù)的規(guī)定。”
《中華人民共和國網(wǎng)絡(luò)安全法》第四十條規(guī)定,網(wǎng)絡(luò)運營者應(yīng)當(dāng)對其收集的用戶信息嚴(yán)格保密,并建立健全用戶信息保護(hù)制度。
一份浙江省通信管理局7月5日對阿里云事件投訴人的答復(fù)函顯示,經(jīng)調(diào)查核實,2019年11月11日阿里云計算有限公司未經(jīng)用戶同意擅自將用戶留存的注冊信息泄露給第三方合作公司,阿里云計算有限公司的行為違反了《中華人民共和國網(wǎng)絡(luò)安全法》第四十二條規(guī)定,根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》第六十四條規(guī)定,我局已責(zé)令阿里云計算有限公司改正。
《中華人民共和國網(wǎng)絡(luò)安全法》第四十二條規(guī)定,網(wǎng)絡(luò)運營者不得泄露、篡改、毀損其收集的個人信息;未經(jīng)被收集者同意,不得向他人提供個人信息。但是,經(jīng)過處理無法識別特定個人且不能復(fù)原的除外。
網(wǎng)絡(luò)運營者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施,確保其收集的個人信息安全,防止信息泄露、毀損、丟失。在發(fā)生或者可能發(fā)生個人信息泄露、毀損、丟失的情況時,應(yīng)當(dāng)立即采取補救措施,按照規(guī)定及時告知用戶并向有關(guān)主管部門報告。
8月23日阿里云回應(yīng)稱:公司嚴(yán)禁員工向第三方泄露用戶注冊信息,已根據(jù)公司制度對該事件進(jìn)行嚴(yán)肅處理,并遵照浙江省通信管理局要求積極整改,對人員管理層面上的不足進(jìn)行強化改進(jìn)。有阿里員工告訴第一財經(jīng),公司已經(jīng)做了制度和管理上的改進(jìn),包括系統(tǒng)權(quán)限方面。
如何減少此類事件?游云庭認(rèn)為,要制定健全的信息保護(hù)制度,并且要對員工加強培訓(xùn),讓員工合規(guī)處理用戶信息。
用戶隱私近年也越來越受到重視。8月20日,《中華人民共和國個人信息保護(hù)法》由第十三屆全國人民代表大會常務(wù)委員會第三十次會議通過,自2021年11月1日起施行。第十條規(guī)定,任何組織、個人不得非法收集、使用、加工、傳輸他人個人信息,不得非法買賣、提供或者公開他人個人信息;不得從事危害國家安全、公共利益的個人信息處理活動。
文章來源:第一財經(jīng)