阿里云泄露用户数据隐忧:云端隐私,是否真安全?
文 | 新浪科技 周文猛
编辑 | 韩大鹏
刚刚告别亏损时代的阿里云,又站在了舆论漩涡的中心。
一则发生于2019年双十一前后的旧闻,让阿里云登上了热搜,而这一次事故,与云业务用户注册信息的泄露有关。这是一家市场份额高达40%的企业,每天数以亿计的数据在云端“飞奔”,一场有用户隐私安全的讨论随之展开。
行业龙头都如此,那这个行业,到底还安不安全?
数据用户泄露 若出售将重罚
近日,一份浙江省通信管理局对投诉人的答复函自网络流出,称此前阿里云计算有限公司未经用户同意,擅自将用户留存的注册信息泄露给第三方合作公司。随后,浙江省通信管理局相关负责人向媒体确认了此事的真实性。
根据该管理局答复投诉人回复函显示,阿里云计算公司未经用户同意擅自将用户留存的注册信息泄露给第三方合作公司,该行为违反了《中华人民共和国网络安全法》第四十二条规定,根据《中华人民共和国网络安全法》第六十四条规定,浙江省通信管理局已责令阿里云计算有限公司改正。
事后,阿里云回应称:该投诉事件应为2019年双11前后,阿里云一名电销员工违反公司纪律,利用工作便利私下获取客户联系方式,并透露给分销商员工,最终引发客户投诉。
从目前法律所作出的审判裁决来看,阿里云此次泄露可能未对用户造成实质性损失,阿里云方面也强调公司严禁员工泄露信息,同时将强化改进。但是,该事件仍然引发了不小轰动。
对此有律师指出,如果阿里云的回应属实,该涉事员工涉嫌侵犯公民个人信息罪。如果是在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,从重处罚。根据《刑法》第二百五十三条之一的规定,侵犯公民个人信息罪是指违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
“一个员工就可以轻易泄露用户信息,这么大公司管理漏洞怎么这么多?”一部分讨论声音表示对阿里云用户隐私保护感到失望。与此同时,一些质疑的声音也随之出现。
“此次将阿里巴巴推向舆论风口浪尖的事件仅只是一名用户的侵权投诉,阿里方面的回应也对此作出了强调——属个别员工违规操作,非大规模用户信息泄露。但事实上,真实的情况真是这样的吗?什么级别的员工可以接触到这些数据?还是说所有员工都有可能泄露数据?”一位有着超过十年站长经验的资深云产品用户对此作出了质疑。
据该用户对新浪科技介绍称,就在近期,其曾打算购买一台云主机,于是用公司的企业账号登录阿里云官网,然后接下来便收到包括阿里云在内的多家不明来电骚扰。“虽然不确定其他来电是否属于阿里第三方机构,但确实多次接到电话骚扰。”
泄露成常态 灰色地带滋生犯罪现象
据IDC最新发布市场数据,2021年第一季度,国内IaaS+PaaS市场规模达301亿,其中阿里云排名第一,市场份额40%。作为国内最大的云数据企业,阿里云一家企业就占据了国内接近一半的云计算市场份额。
事实上,阿里云泄露用户注册信息一事,并非行业个例,甚至可以说这仅只是众多网络侵权案例的冰山一角。
据互联网信息服务投诉平台公布的2021年5月投诉情况显示,5月投诉平台共收到投诉21585件,其中,互联网企业173952件、基础电信企业4193件。在互联网企业投诉中,个人信息保护类投诉2560件,占比14.7%。
山石网科云安全业务群总经理余滔在接受新浪科技采访时介绍称,目前,随着各种小程序、App等应用已经覆盖生活的每一个场景,但是由于这些应用在进行用户数据收集的时候,往往存在捆绑信息采集和刻意多采集的情况,而使用者往往又容易疏忽随意授权,久而久之,信息泄露的风险也便随之发生。
在此之外,在企业云安全方面,目前云计算已越来越多地被企业采用,但由于不同云技术厂商对于IaaS、PaaS、SaaS安全责任边界存在一定程度的模糊性,且许多企业会采用多云模式,而企业云上安全责任边界如果不清晰,便容易形成安全薄弱环节,成为网络攻击与违法犯罪的入口。
从个人用户到企业安全,数据信息被泄露的风险依然在不断攀升。结合山石网科十四年网络安全服务的实践经验,余滔指出,随着网络诈骗以及黑客攻击等网络恶意事件的升级提升,最近几年, 网络信息泄露导致的灾难性事件正在提升。
“2016年山东60万考生数据泄露后,有经济贫困的学生因学费被骗导致精神压力不幸去世。在此之外,不法之徒借助他人身份证信息开展网络贷款等行为也时有出现。不断有个人信息被泄露,影响的范围也越来越大。”余滔表示。
即使不是主动泄露的情况下,企业或个人往往也容易出现信息泄露的问题。
多层规范将生效 平台越大责任越大
今年以来,监管层对于个人信息及企事业单位信息安全保护的重视度不断提升。
8月20日,十三届全国人大常委会委员第三十次会议表决通过《个人信息保护法 》,对个人信息保护作出规定,该法将于11月1日即将正式施行。
而在此之前,8月17日,国务院正式签署的《关键信息基础设施安全保护条例》,也进一步对关键信息基础设施安全及其网络安全保护提供了法律依据。此外,今年6月过审发布的《数据安全法》,也将于9月1日正式生效。
随着系列法律法规的高频推出,政府监管部门对于网络信息监管及合规运营的要求进一步提升,对于用户信息安全保护的力度也正在加大。对于平台型企业而言,由于其上面积聚了大量的用户数据及关键信息,发生数据泄露可能造成的影响与伤害也更为深远,因此所需肩负起的责任也更大。
发生于阿里云身上的泄露事件,同时也给所有平台型企业敲醒了警钟。在个人信息保护层面,平台型企业是否达到了国家乃至于行业规则的要求?信息保护制度如何健全?员工培训如何标准化?……这一切,仍需要企业方乃至行业机构给出更加明确的规则与规范。
未雨绸缪,应防范于未然。