张天宇
近日,阿里云用户注册信息泄露事件引发广泛关注和热议。对此,浙江省通信管理局回应称已责令改正,而阿里云称系一名电销员工违反公司纪律透露给分销商员工,已严肃处理、积极整改。阿里云的信息泄露事件或将引发用户对阿里集团信息安全问题的担忧。
内部管理漏洞是一大隐患
对此,网经社电子商务研究中心B2B与跨境电商部主任、高级分析师张周平表示,阿里云此次“用户注册信息泄露”事件凸显出该公司在内部人员管理层面存在漏洞,一名普通的电销员工就有权限接触该类用户隐私数据,暴露出阿里云内部的数据流程管控可能存在重大问题,由此可见阿里集团在内部管理上的漏洞将是一大隐患。该事件也势必给用户带来担忧,不仅打击用户对阿里云的数据安全信心,也可能引发用户对阿里集团信息安全问题的担忧。
企业信誉将受损需加强合规体系建设
网经社电子商务研究中心特约研究员、上海汉盛律师事务所高级合伙人李旻表示,阿里集团掌握超10亿海量用户信息,大部分为更新及时的敏感个人信息,若发生个人信息泄露则损害难以估量;另一方面阿里云作为网络服务提供者,产品的安全性、保障性特征远重要于其他特征。因此本次泄露难免令用户产生联想:阿里系产品是否有意愿、有能力保障用户信息安全?近期阿里集团屡次暴露出公司内部规章制度和人员管控上的漏洞,该事件应当为阿里集团敲响警钟。除了不断提升并保障产品质量、先进技术和市场占有以外,阿里集团应当更加关注企业治理、增强员工的合规意识培训、加强企业合规体系建设,规避法律风险、承担企业责任和恢复用户信任。
云计算领域信息泄露屡禁不止数据安全问题突出
“除阿里云用户数据泄露外,在云计算领域,2017年在亚马逊云计算服务器上,有180万个注册投票者的信息,包括姓名、地址和出生日期,被暴露在网上;2018年8月,腾讯云也因操作系统云盘发生故障致使用户数据清零暴露出的数据安全问题等,诸多的云计算企业接连出现信息安全及信息泄露事件屡禁不止,引发企业对于上云安全性的担忧。尤其是阿里云等提供公有云服务的企业,掌握大量企业客户的核心数据,其数据保护要求或许还将“加码”。但即使尝试用技术方法来保证数据安全,但技术终究是人开发的,不可能百分之百安全。目前除亚马逊云、阿里云和腾讯云三家头部企业外,还有包括京东云、百度云、华为云、天翼云、金山云、浪潮云、新华三和青云等主要玩家。”张周平表示。
责任人或涉嫌侵害公民个人信息罪的刑事责任
网经社电子商务研究中心特约研究员、浙江垦丁律师事务所律师褚霞表示,此次阿里云事件若处理者违法处理个人信息或未依法履行个人信息保护义务的,除可能面临行政处罚外,其违法行为还将可能被记入信用档案予以公示。此外,遭受权益侵权的个人信息主体有权要求处理者承担损失赔偿等侵权责任,且在该种情形下,举证责任倒置,即处理者不能证明自己没有过错的,应当承担侵权责任。对于个人信息的侵害行为,除了前述的行政责任、民事责任外,还有可能涉嫌侵害公民个人信息罪的刑事责任。无论是企业还是个人都应当树立依法保护个人信息的观念,对于企业而言加强内控管理尤為重要。
网经社电子商务研究中心特约研究员、上海正策律师事务所董毅智律师表示,第一,阿里云员工肯定要承担责任;第二是阿里自身也要承担相应的责任,员工毕竟属于职务行为,那么在这个代表公司的职务行为中,给客户财产造成损失的话,还是要公司平台来承担责任。而且可能这里面还涉及到刑事犯罪,涉及到行政监管部门的调查和处罚。
李旻表示,根据《网络安全法》《消费者权益保护法》及即将生效的《数据安全法》《个人信息保护法》,阿里云员工的行为是以积极作为的方式侵犯了用户的个人信息权益,现阶段来看主要是民事责任承担,是否需要承担刑事责任还要看泄露情况。阿里云无论作为网络运营者、经营者、数据处理者还是个人信息处理者,都有义务采取措施来确保个人信息不被泄露、篡改和丢失,若不采取有效措施履行义务则对个人信息权益构成消极侵犯。在本事件发生后,根据《网络安全法》第四十二条,阿里云至少应该倒查此类泄露现象的严重程度,及时告知已被泄露的用户并向有关主管部门通知、报告,并从内部规章制度建设、员工培训等角度采取更加积极的个人信息保护措施。
《国家网络安全法》第六十四条规定,网络服务提供者若存在侵害个人信息依法得到保护权利的,将由有关主管部门责令改正,可根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以罚款。此外,情节严重者可责令其暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。