張?zhí)煊?/p>

近日，阿里云用戶注冊信息泄露事件引發(fā)廣泛關注和熱議。對此，浙江省通信管理局回應稱已責令改正，而阿里云稱系一名電銷員工違反公司紀律透露給分銷商員工，已嚴肅處理、積極整改。阿里云的信息泄露事件或?qū)⒁l(fā)用戶對阿里集團信息安全問題的擔憂。

內(nèi)部管理漏洞是一大隱患

對此，網(wǎng)經(jīng)社電子商務研究中心B2B與跨境電商部主任、高級分析師張周平表示，阿里云此次“用戶注冊信息泄露”事件凸顯出該公司在內(nèi)部人員管理層面存在漏洞，一名普通的電銷員工就有權(quán)限接觸該類用戶隱私數(shù)據(jù)，暴露出阿里云內(nèi)部的數(shù)據(jù)流程管控可能存在重大問題，由此可見阿里集團在內(nèi)部管理上的漏洞將是一大隱患。該事件也勢必給用戶帶來擔憂，不僅打擊用戶對阿里云的數(shù)據(jù)安全信心，也可能引發(fā)用戶對阿里集團信息安全問題的擔憂。

企業(yè)信譽將受損需加強合規(guī)體系建設

網(wǎng)經(jīng)社電子商務研究中心特約研究員、上海漢盛律師事務所高級合伙人李旻表示，阿里集團掌握超10億海量用戶信息，大部分為更新及時的敏感個人信息，若發(fā)生個人信息泄露則損害難以估量；另一方面阿里云作為網(wǎng)絡服務提供者，產(chǎn)品的安全性、保障性特征遠重要于其他特征。因此本次泄露難免令用戶產(chǎn)生聯(lián)想：阿里系產(chǎn)品是否有意愿、有能力保障用戶信息安全？近期阿里集團屢次暴露出公司內(nèi)部規(guī)章制度和人員管控上的漏洞，該事件應當為阿里集團敲響警鐘。除了不斷提升并保障產(chǎn)品質(zhì)量、先進技術和市場占有以外，阿里集團應當更加關注企業(yè)治理、增強員工的合規(guī)意識培訓、加強企業(yè)合規(guī)體系建設，規(guī)避法律風險、承擔企業(yè)責任和恢復用戶信任。

云計算領域信息泄露屢禁不止數(shù)據(jù)安全問題突出

“除阿里云用戶數(shù)據(jù)泄露外，在云計算領域，2017年在亞馬遜云計算服務器上，有180萬個注冊投票者的信息，包括姓名、地址和出生日期，被暴露在網(wǎng)上；2018年8月，騰訊云也因操作系統(tǒng)云盤發(fā)生故障致使用戶數(shù)據(jù)清零暴露出的數(shù)據(jù)安全問題等，諸多的云計算企業(yè)接連出現(xiàn)信息安全及信息泄露事件屢禁不止，引發(fā)企業(yè)對于上云安全性的擔憂。尤其是阿里云等提供公有云服務的企業(yè)，掌握大量企業(yè)客戶的核心數(shù)據(jù)，其數(shù)據(jù)保護要求或許還將“加碼”。但即使嘗試用技術方法來保證數(shù)據(jù)安全，但技術終究是人開發(fā)的，不可能百分之百安全。目前除亞馬遜云、阿里云和騰訊云三家頭部企業(yè)外，還有包括京東云、百度云、華為云、天翼云、金山云、浪潮云、新華三和青云等主要玩家?！睆堉芷奖硎?。

責任人或涉嫌侵害公民個人信息罪的刑事責任

網(wǎng)經(jīng)社電子商務研究中心特約研究員、浙江墾丁律師事務所律師褚霞表示，此次阿里云事件若處理者違法處理個人信息或未依法履行個人信息保護義務的，除可能面臨行政處罰外，其違法行為還將可能被記入信用檔案予以公示。此外，遭受權(quán)益侵權(quán)的個人信息主體有權(quán)要求處理者承擔損失賠償?shù)惹謾?quán)責任，且在該種情形下，舉證責任倒置，即處理者不能證明自己沒有過錯的，應當承擔侵權(quán)責任。對于個人信息的侵害行為，除了前述的行政責任、民事責任外，還有可能涉嫌侵害公民個人信息罪的刑事責任。無論是企業(yè)還是個人都應當樹立依法保護個人信息的觀念，對于企業(yè)而言加強內(nèi)控管理尤為重要。

網(wǎng)經(jīng)社電子商務研究中心特約研究員、上海正策律師事務所董毅智律師表示，第一，阿里云員工肯定要承擔責任；第二是阿里自身也要承擔相應的責任，員工畢竟屬于職務行為，那么在這個代表公司的職務行為中，給客戶財產(chǎn)造成損失的話，還是要公司平臺來承擔責任。而且可能這里面還涉及到刑事犯罪，涉及到行政監(jiān)管部門的調(diào)查和處罰。

李旻表示，根據(jù)《網(wǎng)絡安全法》《消費者權(quán)益保護法》及即將生效的《數(shù)據(jù)安全法》《個人信息保護法》，阿里云員工的行為是以積極作為的方式侵犯了用戶的個人信息權(quán)益，現(xiàn)階段來看主要是民事責任承擔，是否需要承擔刑事責任還要看泄露情況。阿里云無論作為網(wǎng)絡運營者、經(jīng)營者、數(shù)據(jù)處理者還是個人信息處理者，都有義務采取措施來確保個人信息不被泄露、篡改和丟失，若不采取有效措施履行義務則對個人信息權(quán)益構(gòu)成消極侵犯。在本事件發(fā)生后，根據(jù)《網(wǎng)絡安全法》第四十二條，阿里云至少應該倒查此類泄露現(xiàn)象的嚴重程度，及時告知已被泄露的用戶并向有關主管部門通知、報告，并從內(nèi)部規(guī)章制度建設、員工培訓等角度采取更加積極的個人信息保護措施。

《國家網(wǎng)絡安全法》第六十四條規(guī)定，網(wǎng)絡服務提供者若存在侵害個人信息依法得到保護權(quán)利的，將由有關主管部門責令改正，可根據(jù)情節(jié)單處或者并處警告、沒收違法所得、處違法所得一倍以上十倍以下罰款，沒有違法所得的，處一百萬元以下罰款，對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以罰款。此外，情節(jié)嚴重者可責令其暫停相關業(yè)務、停業(yè)整頓、關閉網(wǎng)站、吊銷相關業(yè)務許可證或者吊銷營業(yè)執(zhí)照。