阿里云员工泄露用户信息,企业责任难逃
正观特约评论员 李唐
这起事件,也给那些掌握了海量的用户信息和个人信息的互联网巨头及其员工,再次敲响了警钟。
据8月24日媒体报道,针对“阿里云将用户留存的注册信息泄露给第三方”一事,浙江省通信管理局回应称已责令改正;阿里云称,系一名电销员工违反公司纪律透露给分销商员工,已严肃处理、积极整改。8月23日,媒体从浙江省权威人士处获悉,该省网信办、市场监督管理局等监管部门介入此事,开展督促整改工作。
因为工作的关系,和阿里云方面有过一些业务上的沟通和交流。因为是国内知名企业,整体而言,阿里云的员工给人的印象是业务精、素质高。没想到,“浓眉大眼”的阿里云员工,竟也干出“将用户留存的注册信息泄露给第三方”这样的事,这实在让人大跌眼镜。
尽管阿里云方面并未透露该员工泄露用户注册信息的数量,具体产生哪些不良后果也未见公开报道。但可以肯定的是,这位违规又违法的员工,除了被阿里云“根据公司制度进行严肃处理”外,等待他的,恐怕还有来自相关法律法规的惩戒。
另外,按照报道中律师的分析,对于经营者来说,根据《网络安全法》第64条的规定,侵害个人信息的,执法机关除了责令其改正外,可以根据情节单处或者并处警告的行政处罚,情节严重的情况下,责任人还将面临刑事责任。
不管多么“高大上”的企业,员工人数众多,难免“鱼龙混杂”,也难免有个别员工经不起这样那样的诱惑。但问题是,在此次事件中,阿里云没有一点责任吗?从回应中可知,阿里云已“遵照浙江省通信管理局要求积极整改,对人员管理层面上的不足进行改进”。但一句“积极整改”“进行改进”未免过于轻飘,对阿里云这种掌握了海量的用户信息和个人信息的互联网巨头而言,同样应该承担起疏于管理的责任——免于类似的事件再次发生,免于信息泄露或者滥用可能导致的严重后果,相关方面应该给一脚“刹车”。
按照报道中相关律师的说法,根据《消费者权益保护法》第五十六条第一款规定,工商行政管理部门可对阿里云计算有限公司处警告、没收违法所得、处以违法所得一倍以上十倍以下的罚款,没有违法所得的,处以五十万元以下的罚款。如果侵犯公民个人信息的行为达到刑法第二百五十三条规定的侵犯公民个人信息罪的程度,责任人还将面临刑事责任。如果情节没有达到构成侵犯公民个人信息罪的程度,可能面临治安处罚。
浙江省相关监管部门根据最终调查结果,如何对阿里云方面进行惩戒,我们不得而知。但我们希望,以法律法规作为依据,浙江省相关监管部门此次能够秉公执法,做到毫不手软。
此外,这起事件,也给那些掌握了海量的用户信息和个人信息的互联网巨头及其员工,再次敲响了警钟:进一步优化内部严苛的管理制度,管住那些“一不小心”就经不起诱惑的员工,时间真的不多了。十三届全国人大常委会第三十次会议日前表决通过的《个人信息保护法》,自2021年11月1日起施行。按照全国人大常委会法工委经济法室副主任杨合庆的解读,“个人信息保护法以严密的制度、严格的标准、严厉的责任,构建了权责明确、保护有效、利用规范的个人信息处理和保护制度规则。”
11月1日就在眼前,在保护公民个人信息方面“武装到牙齿”的《个人信息保护法》马上就要发挥其应有的效力。以此而言,如果此次事件能够给所有掌握了海量的用户信息和个人信息的互联网巨头“补一课”,也算是尽到了一份 社会 责任吧。#阿里云擅自泄露用户注册信息#
(黄河评论信箱:zghhpl@163.com)
编辑:梁冰
统筹:王攀
阿里云传来坏消息,未经用户许可泄露信息,滴滴事件重演?
在滴滴事件发生之后,国内所有互联网公司都加大了对用户信息安全保障的重视程度。因为国内对滴滴采取的行动,让它们都感到了一阵后怕,谁也不想变成下一个“滴滴”。
但就在8月23日这天,阿里云传来坏消息,未经用户许可泄露信息,让很多人都表示,难道滴滴事件要重演?那么这究竟是怎么回事呢?阿里云为什么会泄露用户信息?
在回答这些问题之前,先来了解一下阿里云,毕竟很多人都不知道阿里云到底是干什么的。公开资料显示,阿里云成立于2009年,是全球领先的云计算以及人工智能 科技 公司,致力于为客户提供安全、可靠的计算和数据处理能力。
而截至目前,阿里云已经成为了国内排名第一,全球排名第三的云服务商,客户遍及全球。像大家熟知的12306购票网站,之所以能够流畅地运行下去,有很大一部分原因都来自于阿里云的鼎力支持,还有中国联通、中石化等公司,都与阿里云建立了紧密的合作关系。
毫不夸张地说,在如今这个信息时代,阿里云发挥出了重要的作用,基本上各个领域都能看到它的身影,例如上次东京奥运会的转播,也有阿里云的参与。而且为了保证能够给客户提供更好的服务,阿里云在全球各地都建有数据中心,布局非常完善。
但值得一提的是,云计算和云服务也存在一定的风险,将数据存储在云服务器里面,同样会出现泄漏的情况。而就在8月23日这天,浙江省通信管理局在一份对投诉人的答复函中明确表示,已核实阿里云未经用户许可将留存的注册信息泄露给第三方公司。
也就是说,用户留存在阿里云中的注册信息,被阿里云泄漏给了第三方公司,目前浙江省通信管理局已责令阿里云改正。这对于阿里云来说,无疑是一个坏消息,身为国内最大的云服务商,如果连用户的信息安全都保障不了,还怎么留住客户?
而且这起事件原本是发生在2019年11月份,但浙江省通信管理局直到今年7月份才给投诉者答复,如果不是8月23日被曝光了,人们还不知道原来阿里云也存在信息泄露的风险。
按理说,用户把注册信息留存在阿里云,是对它的信赖和认可,但没想到阿里云辜负了用户的信任,在未经用户同意的情况下,将注册信息泄露给了第三方公司。虽然目前还不知道这些注册信息重不重要,但只要是涉及到信息安全的问题,都不能掉以轻心。
再加上现在阿里云已经覆盖到了各个领域,小到个人的隐私信息,大到国家的关键数据,阿里云都扮演了一个重要的角色。假如阿里云不把信息安全放在心上,那么用户将不会再信赖它,客户也会寻找其它的云服务商,毕竟国内又不是只有阿里云。
至于滴滴事件将重演,这种说法就有点太严重了,阿里云泄露用户信息,只是个别情况,只要认真整改就行了,不会像滴滴那样,受到国内七大部门的联合审查。但是这两起事件的性质是一样的,都是关于用户信息安全保障,只不过阿里云没有滴滴那么严重。
就目前来看,滴滴事件仍然没有一个明确的结果,谁也不知道它到底做了什么。但有一点可以肯定的是,在事件发生之后,滴滴的市值已经接近腰斩,基本不可能再回到巅峰时期,那些投资者们也是损失惨重。
更有甚者,如果滴滴被证实出卖了一些重要信息,那么它或许会从美国退市,回归私有化,这便是它罔顾信息安全保障的下场。想必滴滴在上市之前也没有料到,原本一切顺利的计划,却因为信息安全问题被国内抓到了把柄,而且还没法为自己争辩。
现在阿里云也出现了和滴滴一样的情况,尽管不如它严重,但也要引起重视,因为一个用户的信息泄露,就代表有很多用户都存在同样的风险。阿里云必须给用户一个满意的答复,不然的话这起事件将会成为它的污点,不利于接下来的发展。
当然了,用户的信息被泄露,也有可能不是阿里云的本意,毕竟有那么多数据和信息,阿里云不可能每一个都照顾到。但不管怎样,既然这是阿里云的业务,只要出现了问题,阿里云就应该承担责任,用户也不想找不到源头。
事实上,在滴滴事件曝光之后,国内已经明显加强了对互联网行业的管控力度,尤其是信息安全这块儿,更是受到了前所未有的重视。然而就如今的局面来看,国内的互联网公司们,还没有真正意识到问题的严重性,尤其是那些巨头,依旧在我行我素。
如果继续这样发展下去,滴滴绝对不会是最后一个接受审查的互联网公司,一旦其它企业也发生了类似的情况,国内同样会展开全面调查,到时候滴滴事件就真的要重演了。这显然是国内和广大用户都不想看到的结果,互联网行业应该早做打算。
所以说,别看阿里云未经用户许可泄露注册信息这件事闹得不是很大,现在也没多少人关注,但是却反映出了一些值得深思的问题。阿里云本身是阿里旗下的产业,而阿里又是国内最大的互联网公司之一,连它都规范不了自己的行为,何谈其它企业?
好在国内已经采取了相应的措施,今年9月1日过后,《网络产品安全漏洞管理规定》这项新规就会正式开始实施,国内各大互联网巨头都必须要遵守。正所谓没有规矩不成方圆,相信在国内出手后,类似于滴滴的事件就会明显减少,直到彻底消失。
综上所述,阿里云传来的坏消息,同样是关于用户信息安全的,未经许可泄露用户信息,这种行为显然是错误的。希望今后阿里云能认真整改,积极吸取教训,不要重蹈滴滴的覆辙,不然就算再强大,也会有没落的一天。
对此,你们怎么看呢?欢迎留言和转发。
阿里云用户信息泄露,再揭用户隐私保障痛点
在万物互联、全面上云的时代,用户隐私和数据安全谁来保障?
在2019阿里云峰会上海站,阿里云智能总裁张建锋提出,全面上云的拐点到了,2019年是从传统IT向云计算全面转移的分水岭。近期,阿里云被爆,就在这一年双11,该公司员工将用户信息泄露给了第三方合作伙伴。
对此,阿里云8月23日回应称,根据自查,该事件应为2019年双11前后,阿里云一名电销员工违反公司纪律,利用工作便利私下获取客户联系方式,并透露给分销商员工,从而引发一名客户投诉。
一云服务厂商人员告诉第一 财经 ,此类事件在行业中挺常见,但在大公司并不常见。
上海大邦律师事务所高级合伙人游云庭接受第一 财经 采访时表示,本案暴露出阿里云内部的数据流程管控可能存在重大问题。首先是权限设置问题,“阿里云是不是对公司的用户注册数据获取有权限设置?涉案的员工级别上是不是可以接触到这些数据?如果其权限本来就能够接触到这些数据,公司是不是对数据的访问有内部的操作记录;如果其无权接触这些数据,那么其利用了公司数据访问怎样的漏洞才能获取这些数据?”
据悉,上述电销员工是阿里众多外包员工的一员,该事件已于去年内部处理。
除了此次爆出的阿里云,互联网行业究竟发生过多少类似的案件?在互联网时代,用户基本处于“裸奔”状态,大数据知道用户喜好,掌握衣食住行各类数据,各类软件频繁监测用户行为。
在互联网信息服务投诉平台公布的2021年5月投诉情况显示,2021年5月,投诉平台共收到投诉21585件,其中,互联网企业17392件、基础电信企业4193件。在互联网企业投诉中 , 个人信息保护类投诉2560件,占比14.7%。
除了个人,如今大部分企业都已开展云业务、进行云转型,但许多企业依旧担心数据丢失或泄露,尤其是当涉及到员工和客户的数据迁移上云时,企业会变得更加敏感。此前就有业内人士表示,一些政企客户对于互联网企业提供的云服务始终存有疑虑,担心数据问题。
而此次阿里云用户信息泄露事件也引发其他云计算用户担忧,如果注册信息都能泄漏,那在云平台存放的业务数据还能安全吗?
游云庭表示,一般而言,银行、电信企业,以及大的互联网公司都对用户注册信息的权限有非常高的级别设置,普通员工根本无法获取。“如果阿里云本身有这些权限设置,这个员工是利用编造的理由取得这些数据的,那就是其对员工的合规培训没有做好;如果阿里云内部管理比较混乱,本身员工就都可以获取用户注册信息的,那就违反了网络安全法相关等级保护的规定。”
《中华人民共和国网络安全法》第四十条规定,网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。
一份浙江省通信管理局7月5日对阿里云事件投诉人的答复函显示,经调查核实,2019年11月11日阿里云计算有限公司未经用户同意擅自将用户留存的注册信息泄露给第三方合作公司,阿里云计算有限公司的行为违反了《中华人民共和国网络安全法》第四十二条规定,根据《中华人民共和国网络安全法》第六十四条规定,我局已责令阿里云计算有限公司改正。
《中华人民共和国网络安全法》第四十二条规定,网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。
网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
8月23日阿里云回应称:公司严禁员工向第三方泄露用户注册信息,已根据公司制度对该事件进行严肃处理,并遵照浙江省通信管理局要求积极整改,对人员管理层面上的不足进行强化改进。有阿里员工告诉第一 财经 ,公司已经做了制度和管理上的改进,包括系统权限方面。
如何减少此类事件?游云庭认为,要制定健全的信息保护制度,并且要对员工加强培训,让员工合规处理用户信息。
用户隐私近年也越来越受到重视。8月20日,《中华人民共和国个人信息保护法》由第十三届全国人民代表大会常务委员会第三十次会议通过,自2021年11月1日起施行。第十条规定,任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息;不得从事危害国家安全、公共利益的个人信息处理活动。
阿里云疑泄露用户隐私?回应:是员工违反公司纪律
8月23日,一则浙江省通信管理局对阿里云投诉事件的处理函件流传网络,函件显示,阿里云计算有限公司未经用户同意,擅自泄露个人信息给第三方合作公司。随后,媒体向浙江省通信管理局确认了该投诉事件的真实性。
对此,阿里云回应称:该投诉为2019年双11前后,阿里云某员工违反公司纪律,擅自将用户联系方式透露给第三方,引发的客户投诉。对此,阿里云内部已经严肃处理了涉事员工,并按照相关要求严积极整改。
不少网友表示,这么大的公司竟然个别员工就能轻易泄露用户信息,管理方面漏洞太大。对阿里云用户隐私保护深感失望。有律师表示,如果是员工个人行为不构成犯罪的,但因阿里云对员工属于管理,造成客户权益受侵害,根据《消费者权益保护法》规定,工商行政管理部门也可对阿里云予以行政处罚。
启信宝显示,阿里云计算有限公司是由杭州臻稀投资管理有限公司百分百持股,公司法人代表为张建锋,注册资本10亿元人民币。张建峰是阿里巴巴集团合伙人之一,在阿里多家关联公司担任法人、股东和高管职位。
值得一提的是,在阿里云的核心团队里,还有此前“阿里性侵女员工”事件中,被张勇委派负责牵头处理该事件的副首席人力官蒋芳。此前,阿里曾对外宣布,已对涉事员工和相关管理层停职处理。
钉钉聊天安全吗?
钉钉聊天并不能保证通信安全。
钉钉是阿里巴巴集团专为中国企业打造的免费沟通和协同的多端平台。钉钉有考勤打卡签到、审批、日志、公告、钉盘、钉邮等多种功能。钉钉所有数据都存放在钉钉云上,都是通过阿里云集中存储,这就为第三方机构或者第三方机构工作人员非法掌控数据提供了可能。
2021年,阿里机房数据泄露被浙江省通信管理局点名批评,事后经阿里云主动调查得知是阿里云的一名电销员工违反公司纪律透露给分销商员工。阿里云的信息泄露事件引发了用户对阿里集团信息安全问题的担忧。
除了阿里云,还有什么软件是能保证用户数据安全的呢?北信源旗下“【信源密信】”办公即时通信软件就是其中之一,它于2023年顺利通过中国信通院 “铸基计划-办公即时通信软件安全能力”的首批评测,并获得最高安全级别的“卓越级”认证。
与钉钉等采用SaaS部署方式的即时通讯软件相比,【信源密信】可以采用私有化部署方式,减少了数据暴露的风险。一些重要敏感内容和重要文件的通讯信息本地化存储⌄让用户享有重要数据的绝对主权,全方位保护移动通信办公的数据安全。
阿里云擅自揭露用户注册信息 个人信息如何有效保护
#阿里云擅自泄露用户注册信息# 近日,网络流传一份浙江省通信管理局7月5日对投诉人的答复函,核实称此前阿里云计算有限公司未经用户同意擅自将用户留存在的注册信息泄露给第三方合作公司。
个人信息被泄露侵犯的是个人的人身权利,主要是指个人的隐私权,未经本人同意,网络服务商泄露个人信息的,属于违法犯罪行为。
2020年8月20日《个人信息保护法 》正式发布,于2021年11月1日正式实施,目前我国面临的网络问题主要包括网络违法犯罪和网络个人信息的泄露,个人信息的泄露同时也是造成网络违法犯罪的原因,相信很多人都遇到个人信息被泄露的情况。
信息泄露的途径太多了,有时候一个广告电话过来,我们都不知道是信息是哪里流过去的 消费者个人信息知情权是消费者与经营者之间基于合同关系或者其他利害关系而产生的私权利,其实现有赖于商家履行保护用户信息的义务。
大家有没有发现,这几年大数据杀熟特别厉害,你只要看过听过甚至说过什么,各个平台马上都会推送,在大数据面前,人人都没有丝毫隐私可言。安全感又何从谈起?
那么如何预防个人信息泄露呢?要注意以下几点。
1、个人的电子邮箱、网络支付及银行卡等密码要有差异;
2、掌握公民个人信息的网站或单位要对用户信息加密并采取分级查看的权限设置;
3、增强个人信息安全意识,不要轻易将个人信息提供给无关人员;
4、慎重参加网上、网下调查活动;
5、妥善处置快递单、车票、购物小票等包含个人信息的单据;
6、投简历只提供必要信息;
7、在网上交易需要到正规的交易平台网站,同时要注意鉴别网址真伪;
阿里作为龙头互联网服务企业,更应该严格按照国家法律法规,注重保护个人信息。阿里云未经用户同意就把注册信息泄露给第三方合作公司,涉嫌侵犯个人信息隐私,作为拥有过亿用户个人信息的互联网企业,信息泄露令人不寒而栗。
因此,行业协会、企业和个人的要加大个人信息保护举措,对商家违法披露和泄露用户个人信息的行为予以批评、披露、举报给执法机构后给予商家处罚,营造良好 社会 环境。
0条大神的评论