阿里云泄露用户信息被责令整改,折射出哪些问题?

简划 2021-08-25 13:11:20

近日,一份浙江省通信管理局对投诉人的答复函显示,阿里巴巴集团旗下公司——阿里云计算有限公司因擅自将用户留存的注册信息泄露给第三方合作公司被责令改正。大白新闻注意到,今年以来,阿里云还陷入到了抄袭、诉讼等风波中。专家表示,信息泄露问题会必然触发法律侵权和道德伦理问题,大数据信息虽然是新生事物,但监管部门也应与时俱进,快速跟进完善相关法律法规。

阿里云泄露用户信息被处罚

这份浙江省通信管理局于7月5日对投诉人的答复函显示,经过调查核实,2019年11月11日,阿里云计算有限公司未经用户同意擅自将用户留存在的注册信息泄露给第三方合作公司。阿里云计算有限公司的行为违反了《中华人民共和国网络安全法》第四十二条规定,根据《中华人民共和国网络安全法》第六十四条规定,责令阿里云计算有限公司改正。

8月23日,浙江省通信管理局相关负责人回应媒体称,该份答复函属实。

对于上述问题,阿里云方面回应媒体称,根据自查,该投诉事件应为阿里云一名电销员工违反公司纪律,利用工作便利私下获取客户联系方式,并透露给分销商员工,引发一名客户投诉。阿里云严禁员工向第三方泄露用户注册信息,已根据公司制度对该事件进行严肃处理,并遵照浙江省通信管理局要求积极整改,对人员管理层面上的不足进行强化改进。

风波不断的阿里云

大白新闻注意到,2021年以来,阿里云不断陷入抄袭、诉讼等负面风波中。

2021年2月,射手科技(珠海)有限公司(以下简称“自记账”)以侵害公司著作权为由将阿里云告上法庭,称阿里云全面抄袭了“自记账”产品。射手科技指出,阿里云在创意、页面设计、产品使用教程上与“自记账”高度相似。目前,网络上尚未检索出该案的最终判决结果。

2021年7月,阿里云被北京天特信科技有限公司(以下简称IPIP.net)告上了法庭,IPIP.net指控阿里云涉嫌侵害计算机软件著作权。

IPIP.net称,阿里云在合作上违反了与IPIP.net签署的《协议》的数据使用范围限制,通过后台抓取IPIP.net的数据库信息并作为自己的产品销售获取利益。此外,阿里云同时也在销售“阿里云IP地理位置库”产品,向公众和商家提供与其类似的“IP地理位置查询”业务。阿里云与IPIP.net构成具有直接竞争关系的市场经营者。

IPIP.net认为,阿里云的行为已直接违背了《反不正当竞争法》第八条、第十一条、第十二条第二款第四项和第二条等相关规定,应承担相应法律责任。目前法院已受理此案。

信息泄露事件层出不穷

大白新闻还注意到,信息泄露问题不仅仅出现在云计算平台,金融等多个行业也是信息泄露的重灾区。

2021年1月,银保监会开出了2021年的首张罚单,行政处罚信息公开表(银保监罚决字〔2021〕1号)显示,农业银行因互联网门户网站泄露敏感信息等6项违法违规行为,被罚款420万元。

6项违法违规行为包括:发生重要信息系统突发事件未报告;制卡数据违规明文留存;生产网络、分行无线互联网络保护不当;数据安全管理较粗放,存在数据泄露风险;网络信息系统存在较多漏洞;互联网门户网站泄露敏感信息。

2021年3月,银保监会消保局发布的罚单显示,中信银行因泄露客户信息被罚450万元。其主要违法违规事实有四方面:一是客户信息保护体制机制不健全;柜面非密查询客户账户明细缺乏规范、统一的业务操作流程与必要的内部控制措施,乱象整治自查不力;二是客户信息收集环节管理不规范;客户数据访问控制管理不符合业务“必须知道”和“最小授权”原则;查询客户账户明细事由不真实;未经客户本人授权查询并向第三方提供其个人银行账户交易信息;三是对客户敏感信息管理不善,致其流出至互联网;违规存储客户敏感信息;四是系统权限管理存在漏洞,重要岗位及外包机构管理存在缺陷。

除银行业外,简历等求职信息泄露事件也屡见不鲜,2020年12月24日,人力资源和社会保障部公布《网络招聘服务管理规定》,明确要求人力资源服务机构对用人单位所提供材料的真实性、合法性进行审查,不得泄露、非法出售、非法向他人提供其收集的个人信息,违者将被处罚。

人社部数据显示,截至2019年末,全国共有3.96万家人力资源服务机构,人力资源市场网站1.5万个,2019年发布网络招聘信息4.04亿条。网络招聘在为求职者提供快捷便利服务的同时,也出现了部分求职者投递简历后屡遭陌生来电和短信骚扰,甚至陷入非法传销、情色招聘陷阱等现象。

人社部人力资源流动管理司相关负责人表示:“一些机构未经许可擅自从事网络招聘服务、对用人单位资质和招聘信息真实性与合法性审核把关不严、非法使用个人信息、违规收取费用以及监管方式不足等问题。针对这些问题,我们及时出台规定,明确从事网络招聘服务的人力资源服务机构应当健全用户信息保护制度,不得泄露、篡改、毁损或者非法出售、非法向他人提供其收集的个人身份号码、年龄、性别、住址、联系方式和用人单位经营状况等,违者将依照《中华人民共和国网络安全法》等予以处罚。”

专家:需与时俱进完善相应法律

大白新闻智库成员、京讯律师事务所战略品牌主任金仲兵表示,随着网络发展,网络信息的数量和种类也同步增多,并上升为以大数据为标志的新型虚拟资产,具备了与信息质量同等的商业价值,甚至是公共价值。但是,因为海量信息中包含了大量的个人、企业、机构等法定主体的非公信息,所以此类信息泄露问题必然触发法律侵权和道德伦理问题。阿里云此次的信息泄露,只是众多同类事件当中最新且最引人关注的一起,其他性质相同的事件,也需要以同等眼光审视。

“信息泄露事件有两种情形,一种是管理不严,技术性的无意泄露;另一种则是人为加恶意的黑市信息买卖行为。两种不同性质行为,要有不同的应对策略和处理手段。如果是前者,应以提醒、警告、训诫为主,同步完善技术漏洞;后者,则应加大行政处罚力度,如果涉及侵害主体方合法权益,或者造成严重生命财产损失,应采取与刑罚相适应的处罚手段。大数据信息虽然是新生事物,但监管部门也应与时俱进,快速跟进完善相关法律法规。”金仲兵说。

大白新闻智库另一名成员、河南财经政法大学教授霍彦立表示,目前正处在信息时代,而中国国情又使得个人基本信息几乎无秘密可言;个人交易甚至各级监管部门的监管工作都是涉及和掌握个人信息的。个人信息普遍泄露,确实是个非常难以解决的问题,也是个人必须面对的现实。立法并依法惩处以营利为目的个人信息泄露、交易和篡改,也许可以遏制信息泄露的蔓延和减轻其危害。此外,如果个人信息泄露是普遍的,那么就不应该仅仅拿大企业和民营企业的信息泄露大书特书,而应一视同仁地以统一的标准处罚信息泄露者。无论是个人信息泄露,还是垄断和企业丑闻等,舆论仅仅对准民营大企业是不公正的,也会助长不利于民营企业发展的社会氛围,危害国民经济的整体发展。

撰文/张晓雨

0 阅读:31