文 | 新浪科技 周文猛

　　編輯 | 韓大鵬

　　剛剛告別虧損時代的阿里云，又站在了輿論漩渦的中心。

　　一則發生于2019年雙十一前后的舊聞，讓阿里云登上了熱搜，而這一次事故，與云業務用戶注冊信息的泄露有關。這是一家市場份額高達40%的企業，每天數以億計的數據在云端“飛奔”，一場有用戶隱私安全的討論隨之展開。

　　行業龍頭都如此，那這個行業，到底還安不安全？

　　數據用戶泄露 若出售將重罰

　　近日，一份浙江省通信管理局對投訴人的答復函自網絡流出，稱此前阿里云計算有限公司未經用戶同意，擅自將用戶留存的注冊信息泄露給第三方合作公司。隨后，浙江省通信管理局相關負責人向媒體確認了此事的真實性。

　　根據該管理局答復投訴人回復函顯示，阿里云計算公司未經用戶同意擅自將用戶留存的注冊信息泄露給第三方合作公司，該行為違反了《中華人民共和國網絡安全法》第四十二條規定，根據《中華人民共和國網絡安全法》第六十四條規定，浙江省通信管理局已責令阿里云計算有限公司改正。

　　事后，阿里云回應稱：該投訴事件應為2019年雙11前后，阿里云一名電銷員工違反公司紀律，利用工作便利私下獲取客戶聯系方式，并透露給分銷商員工，最終引發客戶投訴。

　　從目前法律所作出的審判裁決來看，阿里云此次泄露可能未對用戶造成實質性損失，阿里云方面也強調公司嚴禁員工泄露信息，同時將強化改進。但是，該事件仍然引發了不小轟動。

　　對此有律師指出，如果阿里云的回應屬實，該涉事員工涉嫌侵犯公民個人信息罪。如果是在履行職責或者提供服務過程中獲得的公民個人信息，出售或者提供給他人的，從重處罰。根據《刑法》第二百五十三條之一的規定，侵犯公民個人信息罪是指違反國家有關規定，向他人出售或者提供公民個人信息，情節嚴重的，處三年以下有期徒刑或者拘役，并處或者單處罰金；情節特別嚴重的，處三年以上七年以下有期徒刑，并處罰金。

　　“一個員工就可以輕易泄露用戶信息，這么大公司管理漏洞怎么這么多？”一部分討論聲音表示對阿里云用戶隱私保護感到失望。與此同時，一些質疑的聲音也隨之出現。

　　“此次將阿里巴巴推向輿論風口浪尖的事件僅只是一名用戶的侵權投訴，阿里方面的回應也對此作出了強調——屬個別員工違規操作，非大規模用戶信息泄露。但事實上，真實的情況真是這樣的嗎？什么級別的員工可以接觸到這些數據？還是說所有員工都有可能泄露數據？”一位有著超過十年站長經驗的資深云產品用戶對此作出了質疑。

　　據該用戶對新浪科技介紹稱，就在近期，其曾打算購買一臺云主機，于是用公司的企業賬號登錄阿里云官網，然后接下來便收到包括阿里云在內的多家不明來電騷擾。“雖然不確定其他來電是否屬于阿里第三方機構，但確實多次接到電話騷擾。”

　　泄露成常態 灰色地帶滋生犯罪現象

　　據IDC最新發布市場數據，2021年第一季度，國內IaaS+PaaS市場規模達301億，其中阿里云排名第一，市場份額40%。作為國內最大的云數據企業，阿里云一家企業就占據了國內接近一半的云計算市場份額。

　　事實上，阿里云泄露用戶注冊信息一事，并非行業個例，甚至可以說這僅只是眾多網絡侵權案例的冰山一角。

　　據互聯網信息服務投訴平臺公布的2021年5月投訴情況顯示，5月投訴平臺共收到投訴21585件，其中，互聯網企業173952件、基礎電信企業4193件。在互聯網企業投訴中，個人信息保護類投訴2560件，占比14.7%。

　　山石網科云安全業務群總經理余滔在接受新浪科技采訪時介紹稱，目前，隨著各種小程序、App等應用已經覆蓋生活的每一個場景，但是由于這些應用在進行用戶數據收集的時候，往往存在捆綁信息采集和刻意多采集的情況，而使用者往往又容易疏忽隨意授權，久而久之，信息泄露的風險也便隨之發生。

　　在此之外，在企業云安全方面，目前云計算已越來越多地被企業采用，但由于不同云技術廠商對于IaaS、PaaS、SaaS安全責任邊界存在一定程度的模糊性，且許多企業會采用多云模式，而企業云上安全責任邊界如果不清晰，便容易形成安全薄弱環節，成為網絡攻擊與違法犯罪的入口。

　　從個人用戶到企業安全，數據信息被泄露的風險依然在不斷攀升。結合山石網科十四年網絡安全服務的實踐經驗，余滔指出，隨著網絡詐騙以及黑客攻擊等網絡惡意事件的升級提升，最近幾年， 網絡信息泄露導致的災難性事件正在提升。

　　“2016年山東60萬考生數據泄露后，有經濟貧困的學生因學費被騙導致精神壓力不幸去世。在此之外，不法之徒借助他人身份證信息開展網絡貸款等行為也時有出現。不斷有個人信息被泄露，影響的范圍也越來越大。”余滔表示。

　　即使不是主動泄露的情況下，企業或個人往往也容易出現信息泄露的問題。

　　多層規范將生效 平臺越大責任越大

　　今年以來，監管層對于個人信息及企事業單位信息安全保護的重視度不斷提升。

　　8月20日，十三屆全國人大常委會委員第三十次會議表決通過《個人信息保護法 》，對個人信息保護作出規定，該法將于11月1日即將正式施行。

　　而在此之前，8月17日，國務院正式簽署的《關鍵信息基礎設施安全保護條例》，也進一步對關鍵信息基礎設施安全及其網絡安全保護提供了法律依據。此外，今年6月過審發布的《數據安全法》，也將于9月1日正式生效。

　　隨著系列法律法規的高頻推出，政府監管部門對于網絡信息監管及合規運營的要求進一步提升，對于用戶信息安全保護的力度也正在加大。對于平臺型企業而言，由于其上面積聚了大量的用戶數據及關鍵信息，發生數據泄露可能造成的影響與傷害也更為深遠，因此所需肩負起的責任也更大。

　　發生于阿里云身上的泄露事件，同時也給所有平臺型企業敲醒了警鐘。在個人信息保護層面，平臺型企業是否達到了國家乃至于行業規則的要求？信息保護制度如何健全？員工培訓如何標準化？……這一切，仍需要企業方乃至行業機構給出更加明確的規則與規范。

　　未雨綢繆，應防范于未然。