阿里云被证实将用户信息泄露给第三方，阿里云是否需要承担 ..._ZNDS问答

geinew

阿里云表示：公司严禁员工向第三方泄露用户注册信息，已根据公司制度对该事件进行严肃处理，并遵照浙江省通信管理局要求积极整改，对人员管理层面上的不足进行强化改进。感谢大家的监督批评。
近日，网络流传一份浙江省通信管理局7月5日对投诉人的答复函，核实称此前阿里云计算有限公司未经用户同意擅自将用户留存在的注册信息泄露给第三方合作公司。8月23日，浙江省通信管理局相关负责人独家回应21世纪经济报道记者称，该份编号为【2021】483号的答复函属实。

新技术给隐私保护带来了很多挑战，大家应该很容易想到大数据（相关分析、回归分析）、移动互联网（定位、设备数据）、物联网（摄像头、智能家居）、生物特征识别（人脸识别、指纹识别etc）、黑产攻击（中间人攻击、重放攻击、社工）这些技术带来的影响，但是很多人忽略了云计算对于隐私保护也带来了很多挑战。
云计算给互联网和金融行业带来了诸多益处，比如接入方便，压缩成本，弹性计算等等，同时也带来一系列问题，尤其是数据安全方面。由于云计算服务提供商的承载了多家企业的生产系统，如果出现故障，很容易造成大面积企业受到影响，进而造成更大面积的个人用户受到影响，如2018年8月发生的腾讯云数据丢失事件[1]，虽然类似大规模数据丢失事件极少发生，但是通过搜索相关云服务商数据丢失的情况，发现非常多局部数据丢失的情况，出于对云服务的信任，多数用户并没有保存本地备份，导致数据无法找回。同样，我们有理由担心，如果发生云服务商数据泄露，造成的影响也是单个企业数据泄露所无法比拟的。
由于云计算的底层服务器，包括操作系统、组件等，都是多租户共享的，因此黑客有可能通过底层服务入侵，一旦破解，那将如入无人之境。攻击者可以通过自身安全意识不强的企业用户作为突破口，从木桶的短板进攻，使得同一云平台的其他企业用户同样危险。而且由于公有云服务的接口都暴露在公网上，使得攻击更容易进行。
更为危险的是内部人作案，如果云服务商的内部员工作案，将会导致极大规模的数据泄露，再加上不少金融机构也开始上云了，金融机构的数据如果泄露，后果不堪设想，事实上这种情况在Capital One已经发生了[2]。这次阿里云的事件也不例外，所有的安全措施和防护技术，都是人来设置和编写的，但是，只要有人参与的环节，就会有漏洞，这是无法避免的，这也是大多数社会工程学瞄准的弱点。
此外，云服务商为了给各地用户提供低延迟的服务，会建立多个物理数据中心，不同地区的数据中心，在物理设施、人员配备、管理细则上参差不齐，也给了攻击者可乘之机。[3]
企业上云是大势所趋，遗憾的是，我们没什么办法来在这趋势中更好的保护自己的隐私，只能寄希望于上云的企业，以及云服务供应商，在技术上做好安全防护、数据加密，管理上做好权责分离。
网络安全法、数据安全法、个人信息保护法相继落地，必须抓几个典型，杀鸡儆猴，才能让蠢蠢欲动的人意识到后果的严重性，不然，内鬼还会出现。

贴一下题主链接里面的那张图片，然后说说自己的看法。

首先呢，相关的阿里云计算有限公司，应该是要进行公司内部的员工调查的。
根据目前已经出来的消息，既然认定是员工个人的违规行为，那么涉事的员工以及员工的相关管理环节，都应该出来承担相应的事故责任。
第二，根据图片当中所提及的《中华人民共和国网络安全法》第42条和第64条的相关规定。
“网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十三条规定，侵害个人信息依法得到保护的权利的，由有关主管部门责令改正，可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款，没有违法所得的，处一百万元以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款；情节严重的，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。”

用户信息被泄露，是因为信息本身很值钱。
有利可图就会有人违法乱纪。
但是这种公司员工泄露信息，公司也是必需要承担责任的，不是你开除临时工就能脱罪的。
员工抢一个月饼都能全网通报，出了这种事，不得开除一个副总祭天吗。

这回复简直是避重就轻，即使是员工泄露，对外仍应看做职务行为，应由公司承担责任；至于公司内部如何处理、如何追偿，则是公司与员工之间的事，与用户何干。
再说了，官方答复函中明确说到，是阿某云公司将注册信息泄露给第三方公司，又没说阿某云公司员工泄露，说明官方也认定泄露属于公司行为。（员工内心os：这锅我可不接）
用户们你们千万不要被蒙蔽双眼，要善于透过现象看本质，不要因此错过一个薅羊毛的机会。
泄露用户信息，首先是严重违反《网络安全法》的行政违法行为。

《网络安全法》第四十二条明确规定，网络运营者未经被收集者同意，不得向他人提供个人信息。第六十四条规定，违反第四十二条规定，除由有关部门责令改正外，还应没收违法所得、处违法所得一倍以上十倍以下罚款；情节严重的，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。
通管局的答复函中只提到责令改正，并未就没收违法所得、罚款等事项作出答复。
阿某云公司无利不起早，不会无故将留存的注册信息泄露给第三方合作公司。相关部门应查明其获利数额，并严格按照法律规定进一步作出处罚。
其次，擅自泄露用户个人信息，应当承担侵权责任，这才是用户的福利。

行政处罚的罚没款都进了国库，用户并未因此得益，只有民事侵权诉讼才能让用户真正得益。
擅自泄露用户信息，明显违反《民法典》关于“个人信息和隐私保护”的规定，应当承担停止侵害、赔偿损失等侵权责任。
换句话说，每一个被泄露信息用户都可以是原告，都有权对阿某云公司提起侵权之诉。最骚的是，公司存在泄露信息的事实已经被通管局在答复函中确认了，因此泄露事实被法院认可的可能性很大。
不管赔1000还是赔100，还是一年VIP，总是资本家的羊毛啊。

不知道是不是因为最近几天刚出台的个人信息保护法，让这位“屠龙勇士”再次走向台前。
这是2021-8-20刚刚出台的中华人民共和国个人信息保护法
《中华人民共和国个人信息保护法》公布（附全文）赋予大型网络平台特别义务
互联网平台服务是数字经济区别于传统经济的显著特征。互联网平台为商品和服务的交易提供技术支持、交易场所、信息发布和交易撮合等服务。
“在个人信息处理方面，互联网平台为平台内经营者处理个人信息提供基础技术服务、设定基本处理规则，是个人信息保护的关键环节。”提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者对平台内的交易和个人信息处理活动具有强大的控制力和支配力，因此在个人信息保护方面应当承担更多的法律义务。
据此，个人信息保护法对这些大型互联网平台设定了特别的个人信息保护义务，包括：按照国家规定建立健全个人信息保护合规制度体系，成立主要由外部成员组成的独立机构对个人信息保护情况进行监督；遵循公开、公平、公正的原则，制定平台规则；对严重违法处理个人信息的平台内产品或者服务提供者，停止提供服务；定期发布个人信息保护社会责任报告，接受社会监督。个人信息保护法的上述规定是为了提高大型互联网平台经营业务的透明度，完善平台治理，强化外部监督，形成全社会共同参与的个人信息保护机制。

禁止“大数据杀熟”规范自动化决策
当前，越来越多的企业利用大数据分析、评估消费者的个人特征用于商业营销。有一些企业通过掌握消费者的经济状况、消费习惯、对价格的敏感程度等信息，对消费者在交易价格等方面实行歧视性的差别待遇，误导、欺诈消费者。其中，最典型的就是社会反映突出的“大数据杀熟”。
“‘大数据杀熟’行为违反了诚实信用原则，侵犯了消费者权益保护法规定的消费者享有公平交易条件的权利，应当在法律上予以禁止。”
对此，个人信息保护法明确规定：个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。
<hr/>因为国家效率与公平的天平开始有所倾斜，对于一些巨头又不履行相应责任的企业，社会主义的铁拳在琢磨着怎样摩擦才能把让它知道这是在社会主义国家。

		自动登录	找回密码
密码			立即注册

阿里云被证实将用户信息泄露给第三方，阿里云是否需要承担 ...

相关问题更多>

最新回答