警惕“云漏洞”!阿里云用户数据泄露并非个例,有用户长期被服务商电话骚扰
导读
用户隐私泄露问题再度引发各方讨论,这次是阿里云。8月25日,经济观察网记者了解到,此前发酵的阿里云用户信息泄露事件并非个例,有阿里云用户向记者反馈多次接到与阿里云相关的第三方推销电话,对方能准确说出用户姓名,以及用户阿里云上服务器上使用的公司名称。
此前,网上流传着一份落款7月5日的浙江省通信管理局答复投诉事项函,其中提到,经调查核实,2019年11月11日阿里云计算有限公司未经用户同意擅自将用户留存的注册信息透露给第三方合作公司。
浙江省通信管理局对外沟通负责人向经济观察网记者确认,上述关于阿里云用户投诉答复函存在的事实。
8月23日,阿里云在其官方微博回应,据自查,阿里云一电销员工利用工作便利私下获取客户联系方式,并透露给分销商员工,由此引发客户投诉。
大数据时代使用各种网络平台都需要注册用户个人信息,收集用户信息也变得普遍,而用户信息被过度收集以及用户隐私被泄露也防不胜防。阿里云用户信息泄露一事再敲响警钟。
阿里云用户信息泄露并非个例
除了上述浙江省通信管理局答复的投诉者外,记者也了解到阿里云用户信息泄露并非个例。
阿里云用户李明(化名)对经济观察网记者表示,自己在6月份接到了170开头推销电话,对方表示自己是阿里云的第三方公司,“可以说出我的名字,还有我阿里云上服务器上使用的公司名称,我觉得第三方为什么会有我这么详细的信息,就投诉到阿里云那边了。”
之后在阿里云平台进行了投诉,阿里云客服给的回应是,无法查到号码是阿里云第三方公司的,因此无法办理,用户需要提供号码的对应公司,证明这是阿里第三方服务公司。李明花了两天时间,查到此前170号码对应的公司,李明表示可以看到该公司向运营商出具了和阿里云的合作协议。李明再向阿里云客服反馈,阿里云回访电话说,第三方公司拒绝透露从什么渠道获取用户信息,因此阿里云无法处理,“阿里云客服还说这就是最终结果,就算我再申诉都没用”。
李明提供的截图显示,6月16日和6月17日李明进行投诉后,阿里云后台显示问题已经解决。“2次都被他们擅自标记成已解决”,李明说。
阿里云用户提供截图
李明表示,之后又多次接到各种不同公司打过来的骚扰电话,“而相同点是推销各种阿里云服务。”有一次李明还加了一个骚扰电话的微信,其向记者提供的聊天截图显示,对方称是阿里云的生态合作伙伴,是代理商,最后还向李明介绍了通过阿里云账号购买产品的方式。
阿里云用户提供截图
在国内云计算市场阿里云具有领先地位,根据市场调研机构IDC发布的2021年第一季度中国公有云市场数据,季度内IaaS+PaaS市场规模达46.32亿美元,阿里云以40%的市场份额排名第一。对于阿里云这样体量的公司,其连接的用户数量也相当大,据阿里云官方介绍,其全球有超过300万客户。
作为大数据平台,阿里云也多次强调自己在数据安全方面的作为。2012年阿里云就通过了由BSI(英国标准协会)审核的ISO27001认证,成为BSI在国内审核通过ISO27001的第一家云计算安全服务提供商。在2018年云栖大会上,阿里云表示自己是亚洲合规认证最全的云服务商。阿里云官网显示,其拥有15个全球性机构认证,8个区域性机构认证,10个行业性机构认证。
尽管如此,这不是阿里云管理首次面临这样的风险。2019年2月份,阿里云代码托管平台因隐私权限设置问题引发争议。当时一位网络工程师向媒体爆料自己登陆阿里云之后可以访问众多公司“内部”代码,例如万科公司客户上传的手持身份证照片,各地销售人员报表均能看到,另外还涉及咪咕音乐、百度等多家公司。最终问题指向是,阿里云代码托管平台系统默认设置了 Internal(站内登录可见),企业未更改。
阿里云当时回应称,阿里云代码托管平台提供了Private私有、Internal站内登录可见、Public完全公开三种访问权限,默认代码访问权限是Private私有。阿里云方面还表示,自收到用户问题反馈后,已经在在2018年9月增强Internal 权限的中文注解,而权限设置引发讨论之后也在全站进行通知提醒。
这次用户信息泄露也不单是个例,再次为阿里云的管理敲响警钟。
阿里云事件关系的法律责任
首都经贸大学劳动经济学院副院长、教授范围表示,浙江省通信管理局答复阿里用户投诉一事中,阿里云员工以及分销商员工可能涉及到民事侵权损害赔偿的责任,行政责任,甚至刑事责任;对于阿里云而言,面临行政责任和民事赔偿责任。
“阿里云员工利用职务之便将掌握的个人信息非法提供给第三方,如果提供的个人信息的数量达到司法解释规定的标准,则涉嫌构成侵犯公民个人信息罪。”长期关注互联网领域的北京云嘉律师事务所律师赵占领对记者表示。
而阿里云方面在此事中也要为管理不善承担责任,赵占领提到,“阿里云因为内部管理不善,导致阿里云的员工私自将个人信息提供给他人,阿里云对此需要承担民事赔偿责任。”
赵占领表示,监管部门也应当对阿里云进行相应的行政处罚。浙江省通信管理局答复投诉函中提到,阿里云公司行为违反了《网络安全法》,浙江通信管理局已责令阿里云公司改正。
阿里云方面表示,阿里云严禁员工向第三方泄露用户注册信息,已根据公司制度进行严肃处理,并遵照浙江省通信管理局要求积极整改,对人员管理层面上的不足进行改进。
不过这个回应依然遭到部分人的质疑,阿里云微博底下就有一些网友评论遭遇过类似电话推销的问题,而从记者采访到的阿里云用户李明反映的情况阿里云数据泄露并非个例。
“作为国内最大的云数据企业,仅仅凭借一位普通员工便将大量数据外泄,数据信息安全在头部企业都无法完全得到保障,其他企业更应引以为戒,加强保护。”暨南大学知识产权研究院副教授、硕士生导师仲春表示。
赵占领提到,个人信息保护方面目前已经有大量法律法规,除了《网络安全法》,还有《民法典》以及即将生效实施的《个人信息保护法》,工信部、网信办制定的一系列关于个人信息方面相关的部门规章或者其他规范性文件。“《网络安全法》以及工信部、网信办所制定的关于个人信息相关的部门规章或者其他规范性文件,使用的对象是网络个人信息,而《个人信息保护法》它使用的领域更广,不限于网络个人信息,而是包括各个行业各个领域所涉及到的个人信息。”
“阿里云依法收集用户的个人信息,需要尽到妥善保管的这个管理责任,那就是安全保障义务。”赵占领表示。
范围提到,平台应该尽到的义务包括,个人信息收集和处理的告知义务;采取安全保护措施的义务以及建立相关的处理规则,并且告知个人信息权利人的义务;发信息泄露或者存在泄露风险时应该及时采取补救措施的义务;以及敏感信息或者个人信息跨境提供时的安全评估等特殊义务。
“平台还应该建立完善从个人信息和数据的接触和处理的内部规则;明确相关工作人员的法定职责以及违反法律职责后的相应的惩戒措施;并且要加强内部工作人员的培训和监督,提升他们在数据安全和个人信息保护方面的意识。”范围表示。
个人用户信息保护屡屡破防
历数过往,个人信息被盗取贩卖的案件众多。
2018年8月,浙江省公安局破获了一起重大的网络个人信息盗窃案,涉案公司瑞智华胜非法盗取用户互联网信息30亿条,涉及百度、腾讯、阿里巴巴、京东等全国96家互联网公司产品。该案被称为“史上最大规模数据窃取案”,历时1年侦查审理,最终瑞智华胜被罚人民币1000万元,7名被告人分别判刑且缴纳罚金。
2020年7月,圆通速递河北省区内部员工与外部不法分子勾结,利用员工账号和第三方非法工具窃取运单信息,导致40万条个人信息泄露,相关犯罪嫌疑人于当年9月落网。之后圆通速递被上海市网信办等部门约谈,要求其认证处理员工违法违纪时间,并加快建立快递单数据管理制度。
仲春表示,在个人信息泄露案件大可分为民事与行政领域,即企业团体泄露与公权力机关泄露。在最高检所发布六起典型侵犯公民个人信息案件中,公权力机关(上海疾控预防中心、河北省高邑县王同庄派出所民警)案件已占两例,可见公权力机关的公民信息泄露问题同样不可小觑。
仲春提到,大部门个人信息泄露案件中存在一些共性问题,包括灰色产业链成为泄露个人信息的逐利动因,现今各大企业对于员工泄漏用户信息的行为都有着严厉的规制与惩罚制度,但个人信息打包买卖的灰色产业链的高收益性导致一次次恶性事件的发生。另外,“每一次信息泄露案件的发生大多都是基层工作人员所为,互联网时代下数据信息系统进入的低门槛性以及员工调取数据的简易性映射出了企业、机关对于用户信息保护的缺位。”仲春说到。
根据2020年《中国网络诚信发展报告》,我国大部分网民不同程度遭遇过个人信息泄露的问题。调查结果显示,28.5%的被调查者曾经常遭遇个人信息泄露,仅有 14.8%的被调查者从未遭遇过个人信息泄露。
中国互联网协会下互联网信息服务投诉平台上,今年1月到5月关于互联网企业的投诉案件经常上万件,占总投诉案件的一半以上,今年5月该投诉平台共收到投诉21585件,其中互联网企业17392件,而其中个人信息保护类投诉有2560件,占比14.7%。
在仲春看来,高昂的维权成本与无法界定的赔偿数额,以及泄露行为的隐蔽性所带来的举证困难等问题,让众多用户在遭遇信息泄露之后权益无法得到保障。“在多起公民提起诉讼的个人信息泄露案件中,往往因信息的广泛流动与侵权对象的不确定性而多以败诉收尾。即便胜诉,请求财产赔偿以及精神损害赔偿的诉求也往往无法得到支持。”
赵占领也表示,目前《个人信息保护法》就规定了举证责任倒置的规则,“个人信息的处理主体需要尽到安全保障义务,这解决了以往用户个人信息维权中面临的最大的一个举证难题。”
很多用户个人信息被泄露之后都面临不知道找谁投诉解决的问题。李明也有这样的遭遇,在向阿里云平台客服投诉未得到解决之后,李明也向12321进行了投诉,不过李明表示没有任何回复。看到最近浙江通信管理局对阿里云用户的投诉回复函之后,李明也向浙江通信管理局进行了投诉。在之前李明不知道还能去通信管理局投诉。
仲春提到了多个投诉和举报渠道,如12321网络不良与垃圾信息举报受理中心,以及相关行政部门和机构等专门投诉热线;将相关证据和线索投寄到相关机构和部门进行举报投诉,如公安部门、互联网管理部门、工商部门等;或登录相关机构和部门的官方网站,通过上传相关信息的方式反映相关情况,以及亲自到相关负责部门向有关工作人员举报。