阿里巴巴云回应“用户注册信息泄露”:已严肃处理 将积极整改
文/周应梅
用户隐私泄露问题再度引发各方讨论,这次是阿里云。8月25日,经济观察报记者了解到,此前发酵的阿里云用户信息泄露事件并非个例,有阿里云用户向记者反馈,多次接到与阿里云相关的第三方推销电话,对方能准确说出用户姓名,以及用户阿里云上服务器上使用的公司名称。
此前,网上流传着一份落款7月5日的浙江省通信管理局答复投诉事项函,其中提到,经调查核实,2019年11月11日阿里云计算有限公司未经用户同意擅自将用户留存在的注册信息透露给第三方合作公司。
浙江省通信管理局对外沟通负责人向经济观察网记者确认,上述关于阿里云用户投诉答复函存在的事实。
8月23日,阿里云回应,据自查,阿里云一电销员工利用工作便利私下获取客户联系方式,并透露给分销商员工,由此引发客户投诉。
大数据时代使用各种网络平台都需要注册用户个人信息,收集用户信息也变得普遍,而用户信息被过渡收集以及用户隐私被泄露也防不胜防。阿里云用户信息泄露一事再敲响警钟。
阿里云用户信息泄露并非个例
除了上述浙江省通信管理局答复的投诉者外,记者也了解到,阿里云用户信息泄露并非个例。
阿里云用户李明(化名)对记者表示,自己在6月份接到了170开头推销电话,对方表示自己是阿里云的第三方公司,“可以说出我的名字,还有我阿里云上服务器上使用的公司名称,我觉得第三方为什么会有我这么详细的信息,就投诉到阿里云那边了。”
之后在阿里云平台进行了投诉,阿里云客服给的回应是,无法查到号码是阿里云第三方公司的,因此无法办理,用户需要提供号码的对应公司,证明这是阿里第三方服务公司。李明花了两天时间,查到此前170号码对应的公司,李明表示可以看到该公司向运营商出具了和阿里云的合作协议。李明再向阿里云客服反馈,阿里云回访电话说,第三方公司拒绝透露从什么渠道获取用户信息,因此阿里云无法处理,“阿里云客服还说这就是最终结果,就算我再申诉都没用”。
李明提供的截图显示,6月16日和6月17日李明进行投诉后,阿里云后台显示问题已经解决。“2次都被他们擅自标记成已解决”李明说到。
李明表示,之后又多次接到各种不同公司打过来的骚扰电话,“而相同点是推销各种阿里云服务。”有一次李明还加了一个骚扰电话的微信,其向记者提供的聊天截图显示,对方称是阿里云的生态合作伙伴,是代理商,最后还向李明介绍了通过阿里云账号购买产品的方式。
在国内云计算市场阿里云具有领先地位,根据市场调研机构IDC发布的2021年第一季度中国公有云市场数据,季度内IaaS+PaaS市场规模达46.32亿美元,阿里云以40%的市场份额排名第一。
作为大数据平台,阿里云也多次强调自己在数据安全方面的作为。在2018年云栖大会上,阿里云表示自己是亚洲合规认证最全的云服务商。阿里云官网显示,其拥有15个全球性机构认证,8个区域性机构认证,10个行业性机构认证。
尽管如此,这不是阿里云管理首次面临这样的风险。2019年2月份,阿里云代码托管平台因隐私权限设置问题引发争议。当时一位网络工程师向媒体爆料自己登陆阿里云之后可以访问众多公司“内部”代码,例如万科公司客户上传的手持身份证照片,各地销售人员报表均能看到,另外还涉及咪咕音乐、百度等多家公司。
这次用户信息泄露也不单是个例,再次为阿里云的管理敲响警钟。
阿里云事件关系的法律责任
首都经贸大学劳动经济学院副院长、教授范围表示,浙江省通信管理局答复阿里用户投诉一事中,阿里云员工以及分销商员工可能涉及到民事侵权损害赔偿的责任,行政责任,甚至刑事责任;对于阿里云而言,面临行政责任和民事赔偿责任。“阿里云员工利用职务之便将掌握的个人信息非法提供给第三方,如果提供的个人信息的数量达到司法解释规定的标准,则涉嫌构成侵犯公民个人信息罪。”长期关注互联网领域的北京云嘉律师事务所律师赵占领对记者表示。
而阿里云方面在此事中也要为管理不善承担责任,赵占领提到,“阿里云因为内部管理不善,导致阿里云的员工私自将个人信息提供给他人,阿里云对此需要承担民事赔偿责任。”
阿里云方面表示,阿里云严禁员工向第三方泄露用户注册信息,已根据公司制度进行严肃处理,并遵照浙江省通信管理局要求积极整改,对人员管理层面上的不足进行改进。
不过这个回应依然遭到部分人的质疑,有一些网友评论遭遇过类似电话推销的问题,而从记者采访到的阿里云用户李明反映的情况看,阿里云数据泄露并非个例。
“作为国内最大的云数据企业,仅仅凭借一位普通员工便将大量数据外泄,数据信息安全在头部企业都无法完全得到保障,其他企业更应引以为戒,加强保护。”暨南大学知识产权研究院副教授、硕士生导师仲春表示。
范围提到,平台应该尽到的义务包括,个人信息收集和处理的告知义务;采取安全保护措施的义务以及建立相关的处理规则,并且告知个人信息权利人的义务;发信息泄露或者存在泄露风险时应该及时采取补救措施的义务;以及敏感信息或者个人信息跨境提供时的安全评估等特殊义务。“平台还应该建立完善从个人信息和数据的接触和处理的内部规则;明确相关工作人员的法定职责以及违反法律职责后的相应的惩戒措施;并且要加强内部工作人员的培训和监督,提升他们在数据安全和个人信息保护方面的意识。”范围表示。
个人用户信息保护屡屡破防
历数过往,个人信息被盗取贩卖的案件众多。
2018年8月,浙江省公安局破获了一起重大的网络个人信息盗窃案,涉案公司瑞智华胜非法盗取用户互联网信息30亿条,涉及百度、腾讯、阿里巴巴、京东等全国96家互联网公司产品。该案被称为“史上最大规模数据窃取案”,历时1年侦查审理,最终瑞智华胜被罚金人民币1000万元,7名被告人分别判刑且缴纳罚金。
2020年7月,圆通速递河北省区内部员工与外部不法分子勾结,利用员工账号和第三方非法工具窃取运单信息,导致40万条个人信息泄露,相关犯罪嫌疑人于当年9月落网。之后圆通速递被上海市网信办网等部门约谈,要求其认证处理员工违法违纪时间,并加快建立快递单数据管理制度。
暨南大学知识产权研究院副教授、硕士生导师仲春表示,个人信息泄露案件大可分为民事与行政领域,即企业团体泄露与公权力机关泄露。在最高检所发布六起典型侵犯公民个人信息案件中,公权力机关(上海疾控预防中心、河北省高邑县王同庄派出所民警)案件已占两例,可见公权力机关的公民信息泄露问题同样不可小觑。
另外,“每一次信息泄露案件的发生大多都是基层工作人员所为,互联网时代下数据信息系统进入的低门槛性以及员工调取数据的简易性映射出了企业、机关对于用户信息保护的缺位。”仲春说到。
根据2020年《中国网络诚信发展报告》,我国大部分网民不同程度遭遇过个人信息泄露的问题。调查结果显示,28.5%的被调查者曾经常遭遇个人信息泄露,仅有 14.8%的被调查者从未遭遇过个人信息泄露。
在仲春看来,高昂的维权成本与无法界定的赔偿数额,以及泄露行为的隐蔽性所带来的举证困难等问题,让众多用户在遭遇信息泄露之后权益无法得到保障。“在多起公民提起诉讼的个人信息泄露案件中,往往因信息的广泛流动与侵权对象的不确定性而多以败诉收尾。即便胜诉,请求财产赔偿以及精神损害赔偿的诉求也往往无法得到支持。”
很多用户个人用户信息被泄露之后,面临不知道找谁投诉解决的问题。李明也有这样的遭遇,在向阿里云平台客服投诉未得到解决之后,李明也向12321进行了投诉,不过李明表示没有任何回复。看到最近浙江通信管理局对阿里云用户的投诉回复函之后,李明也向浙江通信管理局进行了投诉。在此之前李明不知道还能去通信管理局投诉。
仲春提到了多个投诉和举报渠道,如12321网络不良与垃圾信息举报受理中心,以及相关行政部门和机构等专门投诉热线;将相关证据和线索投寄到相关机构和部门进行举报投诉,如公安部门、互联网管理部门、工商部门等;或登录相关机构和部门的官方网站,通过上传相关信息的方式反映相关情况,以及亲自到相关负责部门向有关工作人员举报。