警惕「雲漏洞」！阿里雲用戶數據泄露並非個例，有用戶長期被服務商電話騷擾

來源：經濟觀察報

　　有阿里雲用戶反饋多次接到與阿里雲相關的第三方推銷電話，對方能準確說出用戶姓名，以及用戶阿里雲上服務器上使用的公司名稱。大數據時代使用各種網絡平台都需要註冊用戶個人信息，收集用戶信息也變得普遍，而用戶信息被過度收集以及用戶隱私被泄露也防不勝防。

　　作者：周應梅

　　導讀

　　壹 ||這不是阿里雲管理首次面臨風險。2019年2月份，阿里雲代碼託管平台因隱私權限設置問題引發爭議。當時一位網絡工程師向媒體爆料自己登陸阿里雲之後可以訪問眾多公司「內部」代碼。

　　貳 ||「阿里雲員工利用職務之便將掌握的個人信息非法提供給第三方，如果提供的個人信息的數量達到司法解釋規定的標準，則涉嫌構成侵犯公民個人信息罪。」長期關注互聯網領域的北京雲嘉律師事務所律師趙占領表示。

　　叄 || 很多用戶個人信息被泄露之後都面臨不知道找誰投訴解決的問題。李明也有這樣的遭遇，在向阿里雲平台客服投訴未得到解決之後，李明也向12321進行了投訴，不過李明表示沒有任何回復。

　　用戶隱私泄露問題再度引發各方討論，這次是阿里雲。8月25日，經濟觀察網記者了解到，此前發酵的阿里雲用戶信息泄露事件並非個例，有阿里雲用戶向記者反饋多次接到與阿里雲相關的第三方推銷電話，對方能準確說出用戶姓名，以及用戶阿里雲上服務器上使用的公司名稱。

　　此前，網上流傳着一份落款7月5日的浙江省通信管理局答覆投訴事項函，其中提到，經調查核實，2019年11月11日阿里雲計算有限公司未經用戶同意擅自將用戶留存的註冊信息透露給第三方合作公司。

　　浙江省通信管理局對外溝通負責人向經濟觀察網記者確認，上述關於阿里雲用戶投訴答覆函存在的事實。

　　8月23日，阿里雲在其官方微博回應，據自查，阿里雲一電銷員工利用工作便利私下獲取客戶聯繫方式，並透露給分銷商員工，由此引發客戶投訴。

　　大數據時代使用各種網絡平台都需要註冊用戶個人信息，收集用戶信息也變得普遍，而用戶信息被過度收集以及用戶隱私被泄露也防不勝防。阿里雲用戶信息泄露一事再敲響警鐘。

　　阿里雲用戶信息泄露並非個例

　　除了上述浙江省通信管理局答覆的投訴者外，記者也了解到阿里雲用戶信息泄露並非個例。

　　阿里雲用戶李明（化名）對經濟觀察網記者表示，自己在6月份接到了170開頭推銷電話，對方表示自己是阿里雲的第三方公司，「可以說出我的名字，還有我阿里雲上服務器上使用的公司名稱，我覺得第三方為什麼會有我這麼詳細的信息，就投訴到阿里雲那邊了。」

　　之後在阿里雲平台進行了投訴，阿里雲客服給的回應是，無法查到號碼是阿里雲第三方公司的，因此無法辦理，用戶需要提供號碼的對應公司，證明這是阿里第三方服務公司。李明花了兩天時間，查到此前170號碼對應的公司，李明表示可以看到該公司向運營商出具了和阿里雲的合作協議。李明再向阿里雲客服反饋，阿里雲回訪電話說，第三方公司拒絕透露從什麼渠道獲取用戶信息，因此阿里雲無法處理，「阿里雲客服還說這就是最終結果，就算我再申訴都沒用」。

　　李明提供的截圖顯示，6月16日和6月17日李明進行投訴後，阿里雲後台顯示問題已經解決。「2次都被他們擅自標記成已解決」，李明說。

阿里雲用戶提供截圖

　　李明表示，之後又多次接到各種不同公司打過來的騷擾電話，「而相同點是推銷各種阿里雲服務。」有一次李明還加了一個騷擾電話的微信，其向記者提供的聊天截圖顯示，對方稱是阿里雲的生態合作夥伴，是代理商，最後還向李明介紹了通過阿里雲賬號購買產品的方式。

阿里雲用戶提供截圖

　　在國內雲計算市場阿里雲具有領先地位，根據市場調研機構IDC發布的2021年第一季度中國公有雲市場數據，季度內IaaS+PaaS市場規模達46.32億美元，阿里雲以40%的市場份額排名第一。對於阿里雲這樣體量的公司，其連接的用戶數量也相當大，據阿里雲官方介紹，其全球有超過300萬客戶。

　　作為大數據平台，阿里雲也多次強調自己在數據安全方面的作為。2012年阿里雲就通過了由BSI（英國標準協會）審核的ISO27001認證，成為BSI在國內審核通過ISO27001的第一家雲計算安全服務提供商。在2018年雲棲大會上，阿里雲表示自己是亞洲合規認證最全的雲服務商。阿里雲官網顯示，其擁有15個全球性機構認證，8個區域性機構認證，10個行業性機構認證。

　　儘管如此，這不是阿里雲管理首次面臨這樣的風險。2019年2月份，阿里雲代碼託管平台因隱私權限設置問題引發爭議。當時一位網絡工程師向媒體爆料自己登陸阿里雲之後可以訪問眾多公司「內部」代碼，例如萬科公司客戶上傳的手持身份證照片，各地銷售人員報表均能看到，另外還涉及咪咕音樂、百度等多家公司。最終問題指向是，阿里雲代碼託管平台系統默認設置了 Internal（站內登錄可見），企業未更改。

　　阿里雲當時回應稱，阿里雲代碼託管平台提供了Private私有、Internal站內登錄可見、Public完全公開三種訪問權限，默認代碼訪問權限是Private私有。阿里雲方面還表示，自收到用戶問題反饋後，已經在在2018年9月增強Internal 權限的中文註解，而權限設置引發討論之後也在全站進行通知提醒。

　　這次用戶信息泄露也不單是個例，再次為阿里雲的管理敲響警鐘。

　　阿里雲事件關係的法律責任

　　首都經貿大學勞動經濟學院副院長、教授範圍表示，浙江省通信管理局答覆阿里用戶投訴一事中，阿里雲員工以及分銷商員工可能涉及到民事侵權損害賠償的責任，行政責任，甚至刑事責任；對於阿里雲而言，面臨行政責任和民事賠償責任。

　　「阿里雲員工利用職務之便將掌握的個人信息非法提供給第三方，如果提供的個人信息的數量達到司法解釋規定的標準，則涉嫌構成侵犯公民個人信息罪。」長期關注互聯網領域的北京雲嘉律師事務所律師趙占領對記者表示。

　　而阿里雲方面在此事中也要為管理不善承擔責任，趙占領提到，「阿里雲因為內部管理不善，導致阿里雲的員工私自將個人信息提供給他人，阿里雲對此需要承擔民事賠償責任。」

　　趙占領表示，監管部門也應當對阿里雲進行相應的行政處罰。浙江省通信管理局答覆投訴函中提到，阿里雲公司行為違反了《網絡安全法》，浙江通信管理局已責令阿里雲公司改正。

　　阿里雲方面表示，阿里雲嚴禁員工向第三方泄露用戶註冊信息，已根據公司制度進行嚴肅處理，並遵照浙江省通信管理局要求積極整改，對人員管理層面上的不足進行改進。

　　不過這個回應依然遭到部分人的質疑，阿里雲微博底下就有一些網友評論遭遇過類似電話推銷的問題，而從記者採訪到的阿里雲用戶李明反映的情況阿里雲數據泄露並非個例。

　　「作為國內最大的雲數據企業，僅僅憑藉一位普通員工便將大量數據外泄，數據信息安全在頭部企業都無法完全得到保障，其他企業更應引以為戒，加強保護。」暨南大學知識產權研究院副教授、碩士生導師仲春表示。

　　趙占領提到，個人信息保護方面目前已經有大量法律法規，除了《網絡安全法》，還有《民法典》以及即將生效實施的《個人信息保護法》，工信部、網信辦制定的一系列關於個人信息方面相關的部門規章或者其他規範性文件。「《網絡安全法》以及工信部、網信辦所制定的關於個人信息相關的部門規章或者其他規範性文件，使用的對象是網絡個人信息，而《個人信息保護法》它使用的領域更廣，不限於網絡個人信息，而是包括各個行業各個領域所涉及到的個人信息。」

　　「阿里雲依法收集用戶的個人信息，需要盡到妥善保管的這個管理責任，那就是安全保障義務。」趙占領表示。

　　範圍提到，平台應該盡到的義務包括，個人信息收集和處理的告知義務；採取安全保護措施的義務以及建立相關的處理規則，並且告知個人信息權利人的義務；發信息泄露或者存在泄露風險時應該及時採取補救措施的義務；以及敏感信息或者個人信息跨境提供時的安全評估等特殊義務。

　　「平台還應該建立完善從個人信息和數據的接觸和處理的內部規則；明確相關工作人員的法定職責以及違反法律職責後的相應的懲戒措施；並且要加強內部工作人員的培訓和監督，提升他們在數據安全和個人信息保護方面的意識。」範圍表示。

　　個人用戶信息保護屢屢破防

　　歷數過往，個人信息被盜取販賣的案件眾多。

　　2018年8月，浙江省公安局破獲了一起重大的網絡個人信息盜竊案，涉案公司瑞智華勝非法盜取用戶互聯網信息30億條，涉及百度、騰訊、阿里巴巴、京東等全國96家互聯網公司產品。該案被稱為「史上最大規模數據竊取案」，歷時1年偵查審理，最終瑞智華勝被罰人民幣1000萬元，7名被告人分別判刑且繳納罰金。

　　2020年7月，圓通速遞河北省區內部員工與外部不法分子勾結，利用員工賬號和第三方非法工具竊取運單信息，導致40萬條個人信息泄露，相關犯罪嫌疑人於當年9月落網。之後圓通速遞被上海市網信辦等部門約談，要求其認證處理員工違法違紀時間，並加快建立快遞單數據管理制度。

　　仲春表示，在個人信息泄露案件大可分為民事與行政領域，即企業團體泄露與公權力機關泄露。在最高檢所發布六起典型侵犯公民個人信息案件中，公權力機關（上海疾控預防中心、河北省高邑縣王同莊派出所民警）案件已占兩例，可見公權力機關的公民信息泄露問題同樣不可小覷。

　　仲春提到，大部門個人信息泄露案件中存在一些共性問題，包括灰色產業鏈成為泄露個人信息的逐利動因，現今各大企業對於員工泄漏用戶信息的行為都有着嚴厲的規制與懲罰制度，但個人信息打包買賣的灰色產業鏈的高收益性導致一次次惡性事件的發生。另外，「每一次信息泄露案件的發生大多都是基層工作人員所為，互聯網時代下數據信息系統進入的低門檻性以及員工調取數據的簡易性映射出了企業、機關對於用戶信息保護的缺位。」仲春說到。

　　根據2020年《中國網絡誠信發展報告》，我國大部分網民不同程度遭遇過個人信息泄露的問題。調查結果顯示，28.5%的被調查者曾經常遭遇個人信息泄露，僅有 14.8%的被調查者從未遭遇過個人信息泄露。

　　中國互聯網協會下互聯網信息服務投訴平台上，今年1月到5月關於互聯網企業的投訴案件經常上萬件，占總投訴案件的一半以上，今年5月該投訴平台共收到投訴21585件，其中互聯網企業17392件，而其中個人信息保護類投訴有2560件，占比14.7%。

　　在仲春看來，高昂的維權成本與無法界定的賠償數額，以及泄露行為的隱蔽性所帶來的舉證困難等問題，讓眾多用戶在遭遇信息泄露之後權益無法得到保障。「在多起公民提起訴訟的個人信息泄露案件中，往往因信息的廣泛流動與侵權對象的不確定性而多以敗訴收尾。即便勝訴，請求財產賠償以及精神損害賠償的訴求也往往無法得到支持。」

　　趙占領也表示，目前《個人信息保護法》就規定了舉證責任倒置的規則，「個人信息的處理主體需要盡到安全保障義務，這解決了以往用戶個人信息維權中面臨的最大的一個舉證難題。」

　　很多用戶個人信息被泄露之後都面臨不知道找誰投訴解決的問題。李明也有這樣的遭遇，在向阿里雲平台客服投訴未得到解決之後，李明也向12321進行了投訴，不過李明表示沒有任何回復。看到最近浙江通信管理局對阿里雲用戶的投訴回復函之後，李明也向浙江通信管理局進行了投訴。在之前李明不知道還能去通信管理局投訴。

　　仲春提到了多個投訴和舉報渠道，如12321網絡不良與垃圾信息舉報受理中心，以及相關行政部門和機構等專門投訴熱線；將相關證據和線索投寄到相關機構和部門進行舉報投訴，如公安部門、互聯網管理部門、工商部門等；或登錄相關機構和部門的官方網站，通過上傳相關信息的方式反映相關情況，以及親自到相關負責部門向有關工作人員舉報。