网络安全法阿里云

❶ 云计算服务是否应承担连带侵权责任

云计算第一案：责任归属与技术中立的探讨

国内首例云计算服务商责任案判决阿里云需赔偿26万，但其坚称技术中立立场。阿里云在乐动卓越控告其因提供云计算服务而侵权一案中，虽被判侵权，但已提出上诉。法院认为，作为云服务器提供商，阿里云在接到侵权通知时，虽无权审查用户数据，但在用户重大利益受损时，需采取措施配合维权。然而，法律界对此仍有争议。

法律责任与技术中立

有律师认为，阿里云因未积极响应侵权内容，可能承担连带责任，但华东政法大学教授王迁则比喻服务器提供商不应无权限私自访问用户数据，需遵循法定程序。阿里云代理律师强调，作为基础设施提供者，阿里云不应对信息存储空间服务商的义务负责，且不应适用通知删除规则。

行业挑战与权责边界

随着云计算市场规模的迅速增长，云计算服务提供商面临更大的权责挑战。案件的出现使得公众关注公共安全、商业纠纷与隐私权的平衡问题。业内认为，云服务提供商需在保护用户隐私和数据安全与法规责任之间寻求平衡。

避风港原则与技术中立实践

避风港原则提出，技术中立的前提是平台提供商不直接制作内容，只提供空间服务。但如快播案例所示，单纯的技术提供者与盈利方式、网络安全监管等因素都会影响责任判定。阿里云要求用户不得发布侵权信息，表明其在实践中遵循技术中立原则。

网络安全法的挑战与未来方向

新实施的网络安全法要求云服务提供商确保信息安全，这与排查侵权之间的矛盾还需法律进一步明确。云计算厂商需在技术中立与安全监管间找到平衡，同时企业自身、法律法规的完善都是解决这一问题的关键。

❷ 记者调查：网络平台暗藏隐私数据交易 信息安全领域亟待“扫黑”

“尽量打语音，不要发文字！”

“可以放心，咱们是长期合作，数据都是真实的。”

“**宝付款，到时发你邮箱。”

被公开售卖的隐私数据

灰色交易藏匿于贴吧、淘宝等网络平台

联系中介卖房，隔天就有贷款公司问你需不需要借贷；每年车险快到期，就莫名其妙接到各种保险公司的推销电话……是哪个环节出现了问题？

在网络贴吧上，一些个人隐私数据、行业数据被公开叫买叫卖。

“全国企业内部员工通讯录，真实可测”“大众点评商铺数据，量大3000万”“收影视手机数据，支持测试的来”“收微博原始数据”……

灰色数据交易藏匿于网络贴吧、淘宝、闲鱼等平台。

卖家说，车险数据来自不同的平台，当天下单要第二天才能发，需要进行数据筛选，“如果单一个保险公司，搞不了那么多，一个公司没那么强大。”

交谈过程中，卖家提醒“尽量打语音，不要发文字”。

爬虫是一种快速自动抓取网络公开信息的辅助工具，例如我们使用的搜索引擎都用到了爬虫技术。

北京某 科技 公司技术总监刘刚指出，爬虫能获取的信息其实是有限的，且多数是公开的。但通过撞库、诱导、群发、钓鱼手段获取大数据信息行为，已非单纯的通过爬虫技术获取信息，应归纳到黑客、木马程序窃取的范畴。

行业互换成监管难点

越来越多的数据泄漏发生在企业内部

事实上，随着公民对个人信息保护意识的不断增强，以及监管体系的不断完善，一些灰色交易正在浮出水面。

据媒体报道，浙江省通信管理局在7月5日对投诉人的答复函中核实，2019年11月11日，阿里云计算有限公司未经用户同意擅自将用户留存的注册信息泄露给第三方合作公司，该行为违反了《中华人民共和国网络安全法》第四十二条规定。

当前对于大型企业，特别是互联网大厂，数据安全被视为“生命线”，一旦出现数据安全事故，其后果将是难以承受的。《网络安全法》第21条明确规定了“国家实行网络安全等级保护（“等保”）制度，要求网络运营者应当按照网络安全等级保护制度要求，履行安全保护义务。”业内人士表示，一般大中型企业都会通过“等保”全面提升数据安全防护能力。

但是，“防止数据泄漏和数据合规运营是当前大多数企业面临的难点。”360集团大数据协同安全技术国家工程实验室咨询总监童磊坦言，中大型企业在完成数字化转型过程中基本具备网络安全基础防护能力，成熟度较高企业普遍实施传统数据安全方案，但对于隐私数据企业则普遍没有专门实施单独的安全管控，部分出海企业会针对出海业务实施GDPR隐私合规方案。

“越来越多的数据泄漏发生在企业内部。”童磊说，一方面，随着数据价值的提升，数据全生命周期流转往往涉及多个部门和多个系统，而相应的访问控制与权限管理很难兼顾安全与业务两方面诉求，诉求差异以及统一安全运营控制的缺失往往导致数据泄漏事件的发生。

另一方面，在数据成为新型生产要素的背景下，数据载体分布广，海量数据汇聚、流通、分析和共享，导致很多企业都不了解自己的数据，不能够清楚地知道敏感数据的具体分布，数据资产不清晰也为数据安全管控和保护策略的实施带来了困难。

“数据安全是相对的，很难做到绝对安全。”在刘刚看来，在一些面向C端服务的行业，如房产中介、保险金融等，基层网点多，人员流动大，而且能够直接触及到客户信息。这些特点使得数据“行业互换”等违法行为更加分散、隐蔽，一些企业在监管方面的“鞭长莫及”“默不作声”一定程度上助长了这种灰色交易。

刘刚认为，平台方应主动加强自身监管，落实内外风险管控、提升信息保护等级。另一方面，建议加大对个人泄露隐私的处罚力度。

目前，一些机构、企业也 探索 通过技术手段实现数据“可用不可见、可用不可取”。例如通过隐私计算技术，在不共享明文数据、保障数据安全和用户隐私的前提下，实现多方数据协同，联通数据孤岛，可以有效打击数据黑产。

数据安全顶层设计逐步到位

扎紧“数据灰产”牢笼仍需各方合力

在保护数据安全方面，即将实施的《数据安全法》规定了关键信息基础设施的运营者、从事数据交易中介服务的机构、国家机关等数据处理者均负有数据安全保护的义务。第四十四条至第五十二条还详细规定了违反相应义务时各主体应当承担的责任。肖飒表示，这有利于在发生违规违法事件后厘清各主体的法律责任。

“作为重要生产要素，数据对经济发展的价值需要被进一步重视。”中国电子技术标准化研究院网络安全研究中心数据安全部主任胡影认为，《数据安全法》的一大特点在于兼顾统筹数据安全与发展：一方面厘清隐私保护、数据安全链条中各主体的法律责任；另一方面也鼓励数据的合法开发利用，保障数据依法自由有序流动。

随着《网络安全法》《数据安全法》《个人信息保护法》的逐步到位，数据安全和隐私保护的监管力度正在不断加大。业内人士认为，顶层设计正在逐步到位，但要扎紧“数据灰产”牢笼，仍需行政监管、市场约束、行业自律、 社会 监督等各方合力。

“从监管动向来看，电商、外卖、快递、打车、连锁酒店、求职招聘等行业，获取的信息不仅涉及到用户隐私安全，还有可能涉及国家安全。”刘刚认为，大公司所获取的数据，往往更具有价值，加强企业对个人信息规范管理的同时，应推动建立统一的管理系统，以保证数据使用安全、合法、可追溯。

据中国信通院云计算与大数据研究所副所长魏凯介绍，信通院已牵头制定《数据安全治理能力评估方法》，编制发布《数据安全治理实践指南》，推出国内首个数据安全治理能力评估（DSG评估）服务，为企业建设、度量、改进自身数据安全治理体系提供方法论和操作指南，引导企业从战略、技术和制度等角度全面提升安全能力和合规水平。截止目前，已有20多家头部企业积极开展贯标工作。

“对于信息安全行业而言，应该积极 探索 如何平衡地利用数据，既要保护个人隐私、保护单点数据，又要进一步放大数据价值，真正实现数据全流程安全，确保数据可用不可见、可用不可取，进而发挥更大的政企数据赋能作用。”安恒信息董事长范渊说。

（文中林峰、刘刚均为化名。实习生许愿对此文亦有贡献。）

❸ 数据安全的哪些案例，可以看

大数据安全威胁渗透在数据生产、流通和消费等大数据产业的各个环节，包括数据源、大数据加工平台和大数据分析服务等环节的各类主体都是威胁源。”上海社科院信息所主任惠志斌向记者分析称，大数据安全事件风险成因复杂交织，既有外部攻击，也有内部泄密，既有技术漏洞，也有管理缺陷，既有新技术新模式触发的新风险，也有传统安全问题的持续触发。

5月27日，中国互联网协会副秘书长石现升称，互联网日益成为经济社会运行基础，网络数据安全意识、能力和保护手段正面临新挑战。

今年6月1日即将施行的《网络安全法》针对企业机构泄露数据的相关问题，重点做了强调。法案要求各类组织应切实承担保障数据安全的责任，即保密性、完整性和可用性。另外需保障个人对其个人信息的安全可控。

石现升介绍，实际早在2015年国务院就发布过《促进大数据发展行动纲要》，就明确要“健全大数据安全保障体系”、“强化安全支撑，提升基础设施关键设备安全可靠水平”。

“目前，很多企业和机构还并不知道该如何提升自己的数据安全管理能力，也不知道依据什么标准作为衡量。”一位业内人士分析称，问题的症结在于国内数据安全管理尚处起步阶段，很多企业机构都没有设立数据安全评估体系，或者没有完整的评估参考标准。

“大数据安全能力成熟度模型”已提国标申请

数博会期间，记者从“大数据安全产业实践高峰论坛”上了解到，为解决此问题，全国信息安全标准化技术委员会等职能部门与数据安全领域的标准化专家学者和产业代表企业协同，着手制定一套用于组织机构数据安全能力的评估标准——《大数据安全能力成熟度模型》，该标准是基于阿里巴巴提出的数据安全成熟度模型(Data Security Maturity Model, DSMM)进行制订。

图说：阿里巴巴集团安全部总监郑斌介绍DSMM。

作为此标准项目的牵头起草方，阿里巴巴集团安全部总监郑斌介绍说，该标准是阿里巴巴基于自身数据安全管理实践经验成果DSMM拟定初稿，旨在与同行业分享阿里经验，提升行业整体安全能力。

“互联网用户的信息安全从来都不是某一家公司企业的事。”郑斌称，《大数据安全能力成熟度模型》的制订还由中国电子技术标准化研究院、国家信息安全工程技术研究中心、中国信息安全测评中心、公安三所、清华大学和阿里云计算有限公司等业内权威数据安全机构、学术单位企业等共同合作提出意见。

一位数据安全研究人员分析，企业要提升数据安全管理能力，首先就得认清自身数据保护能力水平，再对症下药弥补缺失和短板，而该标准正是针对大多数企业普遍存在的，不了解或不清楚自身数据安全管理能力的问题。

从标准架构来看，会从组织机构数据采集、存储、传输、处理、交换和销毁六个数据生命周期，就企业组织建设、制度流程、技术工具和人员能力四个关键能力维度，至少30多个安全域进行全方位考核评估，最终将组织机构的数据安全能力划分非正式执行、计划跟踪、充分定义、量化控制和持续优化，1级至5级的能力成熟等级，等级越高意味数据安全能力越强。

❹ 阿里云被曝将用户留存的注册信息泄露给第三方，阿里云是否存在这一行为

在如今这个大数据社会当中，想要保护自己的个人信息，确实是非常困难的。而在2019年的双11前后，阿里云有一位员工违反了公司的纪律。利用自己的工作之便，把很多顾客的信息收藏了下来，并且把这些信息全部透露给其他人。最终有一名用户发现了这个情况，进行了举报。

大家在网络上面也不要随意的去填写自己的个人信息，这是非常危险的一件事情。如果是有需要的话，可以去填写，但是一旦发现自己的个人信息被泄露了，也要联系相关的工作人员。