8 月 23 日,“阿里云将用户留存的注册信息泄露给第三方合作伙伴”的消息引发热议。
根据浙江省通信管理局的官方文件,阿里云在未经用户同意的情况下,擅自将用户留存的注册信息泄露给第三方合作公司,该行为违反了《中华人民共和国网络安全法》(下称“网络安全法”)第 42 条的规定,已责令其改正。
阿里云在对此事的陈述中称,该投诉事件应为 2019 年双 11 前后,阿里云一名电销员工违反公司纪律,利用工作便利私下获取客户联系方式,并透露给分销商员工,从而引发一名客户投诉。
针对此事,北京岳成律师事务所高级合伙人岳屾山律师对搜狐科技表示,该行为违反了《网络安全法》第 42 条的法律责任,具体可参看网络安全法第 64 条规定。
“网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十三条规定,侵害个人信息依法得到保护的权利的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。”
同时,岳屾山律师表示,若阿里云的回应属实,则该涉事员工涉嫌“侵犯公民个人信息罪”。
根据《刑法》第二百五十三条之一的规定,侵犯公民个人信息罪是指违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
“如果是在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,从重处罚。”岳屾山律师补充道。
阿里云是国内最早涉足云服务的厂商,国内市场份额第一,在全球范围内也占有一席之地。
中国信通院《云计算发展白皮书 2020 年)》显示,公有云市场中,阿里云位居中国第一。目前 40% 的中国 500 强企业在使用阿里云;约有一半的中国上市公司使用阿里云;中国每天所诞生的创新和创业公司,80% 在使用阿里云。
数据在正常流转过程中,每经手一人,泄露的风险都会被放大。不过,数据泄露问题发生在拥有如此庞大且关键用户数据的阿里云身上,不禁让人心生担忧。
一位云服务从业人士对搜狐科技表示:“用户信息泄露并不罕见,只要上云都会有风险。”他提到,私有云的用户信息泄露的风险相对小一些,但费用也会更高。
除了员工利用职务之便将用户数据倒卖牟利外,阿里也曾因安全漏洞导致用户隐私泄露。
今年 6 月,商丘市睢阳区人民法院在裁判文书网公开的一份刑事判决书显示,两名犯罪分子在淘宝爬取并盗走大量数据,用户数据高达 11.8 亿条,涉及 UID、淘宝昵称、手机号码等敏感信息。
类似的情况也曾在微博上演。去年 3 月,5.38 亿条微博用户信息在暗网出售,其中,1.72 亿条有账户基本信息,售价 0.177 比特币。涉及到的账号信息包括用户 ID、账号发布的微博数、粉丝数、关注数、性别、地理位置等。当时,微博安全总监罗诗尧称,泄漏的手机号是 19 年通过通讯录上传接口被暴力匹配的,其余公开信息都是网上抓来的。而从 2015 年开始,微博就使用了阿里云服务。
云计算是如今互联网企业重点发力的赛道。除阿里外,腾讯、华为都将其列为重点战略方向,赛道竞争激烈。
如今,人们对于隐私的重视程度逐渐加深,安全,应该成为云计算厂商的关键竞争力。