百态哥 社会热点

阿里云回应用户注册信息泄露事件 这些信息竟然没有加密?

2021-08-23 21:29:22

今日,阿里云就浙江省通信管理局证实其存在向第三方合作公司泄露用户留存注册信息一事做出公开回应,公司方面称,经自查,该起信息泄露事件起因系阿里云电销员利用工作便利获取客户联系方式,之后将信息透露给了分销商员工。

此前,网传一份浙江省通信管理局对投诉人答复函显示,阿里云计算有限公司存在未经用户同意,擅自将用户留存在的注册信息泄露给第三方合作公司的行为,违反了《中华人民共和国网络安全法》。浙江省通信管理局已责令其作出改正,回复函的落款时间为7月5日。

阿里云回应用户注册信息泄露事件 这些信息竟然没有加密?

今日(23日)早间,浙江省通信管理局相关负责人回复媒体表示,该份编号为【2021】483号的答复函属实。

国家网络安全法第六十四条规定,网络服务提供者若存在侵害个人信息依法得到保护的权利的,将由有关主管部门责令改正,可根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。此外,情节严重者可责令其暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。

阿里云随后做出公开回应,称“该投诉事件应为2019年双11前后,阿里云一名电销员工违反公司纪律,利用工作便利私下获取客户联系方式,并传递给分销商员工,从而引发一名客户投诉”。同时还表示,已根据公司制度对该事件进行严肃处理,并遵照浙江省通信管理局要求积极整改,对人员管理层面上的不足进行强化改进。

法律业界人士向《科创板日报》记者称,阿里云属地信息安全监管部门对公司做出的责令改正处罚的决定,体现了法律主体平等的原则,因为“大企业跟小企业,在这件事上的故意程度是一样的”。也就是说,这一判罚并不能以阿里的体量来量其轻重,“国家网络安全法对泄露用户信息的主体处罚措施,还包括有罚款以及资格罚”。

某电商技术项目负责人在接受《科创板日报》记者采访时表示,常规用户信息泄露都是由拥有核心权限的员工偷偷打包后售卖给第三方,目前互联网公司正在尝试通过技术的方式降低这种可能性,不过仍主要靠道德自律、公司规范以及法律法规去约束。

据介绍,在获取必要的用户数据之后,数据需经过加工做脱敏处理,而诸如社交关系等的数据属性会被留下来,“绝大多数开发者能够接触到的数据都是脱敏的”。

上述技术人士表示,未经过脱敏的数据,对外价值会更高,“即使尝试用技术方法来保证数据安全,但技术终究是人开发的,仍不可能百分之百安全”,因而用户数据被泄露、盗卖,可能会发生在获取数据之后的任何一个环节。