在萬物互聯(lián)、全面上云的時代，用戶隱私和數(shù)據(jù)安全誰來保障？

　　在2019阿里云峰會上海站，阿里云智能總裁張建鋒提出，全面上云的拐點到了，2019年是從傳統(tǒng)IT向云計算全面轉(zhuǎn)移的分水嶺。近期，阿里云被爆，就在這一年雙11，該公司員工將用戶信息泄露給了第三方合作伙伴。

　　對此，阿里云8月23日回應(yīng)稱，根據(jù)自查，該事件應(yīng)為2019年雙11前后，阿里云一名電銷員工違反公司紀律，利用工作便利私下獲取客戶聯(lián)系方式，并透露給分銷商員工，從而引發(fā)一名客戶投訴。

　　一云服務(wù)廠商人員告訴第一財經(jīng)，此類事件在行業(yè)中挺常見，但在大公司并不常見。

　　上海大邦律師事務(wù)所高級合伙人游云庭接受第一財經(jīng)采訪時表示，本案暴露出阿里云內(nèi)部的數(shù)據(jù)流程管控可能存在重大問題。首先是權(quán)限設(shè)置問題，“阿里云是不是對公司的用戶注冊數(shù)據(jù)獲取有權(quán)限設(shè)置？涉案的員工級別上是不是可以接觸到這些數(shù)據(jù)？如果其權(quán)限本來就能夠接觸到這些數(shù)據(jù)，公司是不是對數(shù)據(jù)的訪問有內(nèi)部的操作記錄；如果其無權(quán)接觸這些數(shù)據(jù)，那么其利用了公司數(shù)據(jù)訪問怎樣的漏洞才能獲取這些數(shù)據(jù)？”

　　據(jù)悉，上述電銷員工是阿里眾多外包員工的一員，該事件已于去年內(nèi)部處理。

　　除了此次爆出的阿里云，互聯(lián)網(wǎng)行業(yè)究竟發(fā)生過多少類似的案件？在互聯(lián)網(wǎng)時代，用戶基本處于“裸奔”狀態(tài)，大數(shù)據(jù)知道用戶喜好，掌握衣食住行各類數(shù)據(jù)，各類軟件頻繁監(jiān)測用戶行為。

　　在互聯(lián)網(wǎng)信息服務(wù)投訴平臺公布的2021年5月投訴情況顯示，2021年5月，投訴平臺共收到投訴21585件，其中，互聯(lián)網(wǎng)企業(yè)17392件、基礎(chǔ)電信企業(yè)4193件。在互聯(lián)網(wǎng)企業(yè)投訴中，個人信息保護類投訴2560件，占比14.7%。

　　除了個人，如今大部分企業(yè)都已開展云業(yè)務(wù)、進行云轉(zhuǎn)型，但許多企業(yè)依舊擔心數(shù)據(jù)丟失或泄露，尤其是當涉及到員工和客戶的數(shù)據(jù)遷移上云時，企業(yè)會變得更加敏感。此前就有業(yè)內(nèi)人士表示，一些政企客戶對于互聯(lián)網(wǎng)企業(yè)提供的云服務(wù)始終存有疑慮，擔心數(shù)據(jù)問題。

　　而此次阿里云用戶信息泄露事件也引發(fā)其他云計算用戶擔憂，如果注冊信息都能泄漏，那在云平臺存放的業(yè)務(wù)數(shù)據(jù)還能安全嗎？

　　游云庭表示，一般而言，銀行、電信企業(yè)，以及大的互聯(lián)網(wǎng)公司都對用戶注冊信息的權(quán)限有非常高的級別設(shè)置，普通員工根本無法獲取。“如果阿里云本身有這些權(quán)限設(shè)置，這個員工是利用編造的理由取得這些數(shù)據(jù)的，那就是其對員工的合規(guī)培訓(xùn)沒有做好；如果阿里云內(nèi)部管理比較混亂，本身員工就都可以獲取用戶注冊信息的，那就違反了網(wǎng)絡(luò)安全法相關(guān)等級保護的規(guī)定。”

　　《中華人民共和國網(wǎng)絡(luò)安全法》第四十條規(guī)定，網(wǎng)絡(luò)運營者應(yīng)當對其收集的用戶信息嚴格保密，并建立健全用戶信息保護制度。

　　一份浙江省通信管理局7月5日對阿里云事件投訴人的答復(fù)函顯示，經(jīng)調(diào)查核實，2019年11月11日阿里云計算有限公司未經(jīng)用戶同意擅自將用戶留存的注冊信息泄露給第三方合作公司，阿里云計算有限公司的行為違反了《中華人民共和國網(wǎng)絡(luò)安全法》第四十二條規(guī)定，根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》第六十四條規(guī)定，我局已責令阿里云計算有限公司改正。

　　《中華人民共和國網(wǎng)絡(luò)安全法》第四十二條規(guī)定，網(wǎng)絡(luò)運營者不得泄露、篡改、毀損其收集的個人信息；未經(jīng)被收集者同意，不得向他人提供個人信息。但是，經(jīng)過處理無法識別特定個人且不能復(fù)原的除外。

　　網(wǎng)絡(luò)運營者應(yīng)當采取技術(shù)措施和其他必要措施，確保其收集的個人信息安全，防止信息泄露、毀損、丟失。在發(fā)生或者可能發(fā)生個人信息泄露、毀損、丟失的情況時，應(yīng)當立即采取補救措施，按照規(guī)定及時告知用戶并向有關(guān)主管部門報告。

　　8月23日阿里云回應(yīng)稱：公司嚴禁員工向第三方泄露用戶注冊信息，已根據(jù)公司制度對該事件進行嚴肅處理，并遵照浙江省通信管理局要求積極整改，對人員管理層面上的不足進行強化改進。有阿里員工告訴第一財經(jīng)，公司已經(jīng)做了制度和管理上的改進，包括系統(tǒng)權(quán)限方面。

　　如何減少此類事件？游云庭認為，要制定健全的信息保護制度，并且要對員工加強培訓(xùn)，讓員工合規(guī)處理用戶信息。

　　用戶隱私近年也越來越受到重視。8月20日，《中華人民共和國個人信息保護法》由第十三屆全國人民代表大會常務(wù)委員會第三十次會議通過，自2021年11月1日起施行。第十條規(guī)定，任何組織、個人不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息；不得從事危害國家安全、公共利益的個人信息處理活動。

　
文章來源：第一財經(jīng)