阿里云“用户注册信息泄露”事件透露出的信息值得重视

通联网络是国内著名的虚拟主机和域名注册提供商。独创的第6代虚拟主机管理系统,拥有在线数据恢复、Isapi自定义,木马查杀等30余项功能.千M硬件防火墙,为您保驾护航!双线虚拟主机确保南北畅通无阻!

阿里云“用户注册信息泄露”事件透露出的信息值得重视

2022年5月26日 云服务器 0

阿里云同时表示:公司严禁员工向第三方泄露用户注册信息,已根据公司制度对该事件进行严肃处理,并遵照浙江省通信管理局要求积极整改,对人员管理层面上的不足进行强化改进。感谢大家的监督批评。

橙柿互动“律师来了”栏目的浙江垦丁律师事务所合伙人李晋沅律师表示,从这则简短的回应,透露出这样一些信息:虽然泄露用户信息是员工个人行为,但企业同样要承担连带责任,而且,大家在遇到自己的个人信息被泄露的情况时,除了可以向企业本身投诉、向公安报案外,还可以向省通信管理局这样的监管机构投诉。

《刑法》中对个人信息保护也有相应的规定,《刑法修正案(九)》将“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”整合为“侵犯公民个人信息罪”,扩大了犯罪主体和侵犯个人信息行为的范围,规定:违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。需要指出的是,刑法由于其对应的有相应的刑罚情节,故而对个人信息保护的要求标准较高,需要有情节严重。

在此案中,阿里云的员工将客户信息透露给分销商员工,此行为不太符合向他人出售的情节,但毫无疑问属于提供。至于该情节是否属于严重,需要公安机关予以考量。

如果公安机关认定其行为已经达到刑事立案标准,那么等待这个员工的,将是法律程序的开启。

《中华人民共和国网络安全法》第四十二条 网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。

网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。

在本案中,阿里云显然没有履行好个人信息处理者的相应的保护义务。浙江省通管局也是依据《网络安全法》对阿里云责令整改。

虽然我们无法要求一个企业做到完全的个人信息不被泄露,因为即便没有该员工的个人行为,也可能存在黑客攻击等。但我们可以要求企业做出相应的防御机制,提高相应的针对性措施,完善自身的内部合规体系,对出现风险事件时有充分的应急响应机制并予以落实。

而本案中,涉案员工为电销员工,则暴露出至少阿里云内部在保护机制上的缺失和合规体系建设有待改进。留存的用户注册信息应当予以被完善保存并有相应的技术手段和内部验证审批环节。

需要指出的是,在我国个人信息保护的建设道路上,阿里云以自身的经验和技术手段做出了很大贡献。而此次事件也给全行业敲响警钟,个人信息保护道阻且长,不仅要有技术和法律双支持,还需要个人信息处理者时刻保持警惕,内部合规体系建设的不完善甚至缺失,将会导致任何先进的技术防护手段失灵,等待的必然是个人信息保护法律体系的严惩。

1. 向涉案企业投诉。目前比较主流的企业都有相应的投诉渠道,在本案中,客户发现个人信息被泄露,进行投诉,接下来阿里云自查。

2. 向工信部等监管机构投诉。这是目前来说较为普遍的一个投诉渠道,无论是电话骚扰还是短信轰炸等,包括互联网企业不作为等等,都可以进行投诉。

3. 向公安机关报案。目前集中在电话诈骗和互联网非法获取个人信息用于黑灰产交易等,公民发现自身个人信息被用于犯罪途径,

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注