網路安全法阿里雲

❶ 雲計算服務是否應承擔連帶侵權責任

雲計算第一案：責任歸屬與技術中立的探討

國內首例雲計算服務商責任案判決阿里雲需賠償26萬，但其堅稱技術中立立場。阿里雲在樂動卓越控告其因提供雲計算服務而侵權一案中，雖被判侵權，但已提出上訴。法院認為，作為雲伺服器提供商，阿里雲在接到侵權通知時，雖無權審查用戶數據，但在用戶重大利益受損時，需採取措施配合維權。然而，法律界對此仍有爭議。

法律責任與技術中立

有律師認為，阿里雲因未積極響應侵權內容，可能承擔連帶責任，但華東政法大學教授王遷則比喻伺服器提供商不應無許可權私自訪問用戶數據，需遵循法定程序。阿里雲代理律師強調，作為基礎設施提供者，阿里雲不應對信息存儲空間服務商的義務負責，且不應適用通知刪除規則。

行業挑戰與權責邊界

隨著雲計算市場規模的迅速增長，雲計算服務提供商面臨更大的權責挑戰。案件的出現使得公眾關注公共安全、商業糾紛與隱私權的平衡問題。業內認為，雲服務提供商需在保護用戶隱私和數據安全與法規責任之間尋求平衡。

避風港原則與技術中立實踐

避風港原則提出，技術中立的前提是平台提供商不直接製作內容，只提供空間服務。但如快播案例所示，單純的技術提供者與盈利方式、網路安全監管等因素都會影響責任判定。阿里雲要求用戶不得發布侵權信息，表明其在實踐中遵循技術中立原則。

網路安全法的挑戰與未來方向

新實施的網路安全法要求雲服務提供商確保信息安全，這與排查侵權之間的矛盾還需法律進一步明確。雲計算廠商需在技術中立與安全監管間找到平衡，同時企業自身、法律法規的完善都是解決這一問題的關鍵。

❷ 記者調查：網路平台暗藏隱私數據交易 信息安全領域亟待「掃黑」

「盡量打語音，不要發文字！」

「可以放心，咱們是長期合作，數據都是真實的。」

「**寶付款，到時發你郵箱。」

被公開售賣的隱私數據

灰色交易藏匿於貼吧、淘寶等網路平台

聯系中介賣房，隔天就有貸款公司問你需不需要借貸；每年車險快到期，就莫名其妙接到各種保險公司的推銷電話……是哪個環節出現了問題？

在網路貼吧上，一些個人隱私數據、行業數據被公開叫買叫賣。

「全國企業內部員工通訊錄，真實可測」「大眾點評商鋪數據，量大3000萬」「收影視手機數據，支持測試的來」「收微博原始數據」……

灰色數據交易藏匿於網路貼吧、淘寶、閑魚等平台。

賣家說，車險數據來自不同的平台，當天下單要第二天才能發，需要進行數據篩選，「如果單一個保險公司，搞不了那麼多，一個公司沒那麼強大。」

交談過程中，賣家提醒「盡量打語音，不要發文字」。

爬蟲是一種快速自動抓取網路公開信息的輔助工具，例如我們使用的搜索引擎都用到了爬蟲技術。

北京某 科技 公司技術總監劉剛指出，爬蟲能獲取的信息其實是有限的，且多數是公開的。但通過撞庫、誘導、群發、釣魚手段獲取大數據信息行為，已非單純的通過爬蟲技術獲取信息，應歸納到黑客、木馬程序竊取的范疇。

行業互換成監管難點

越來越多的數據泄漏發生在企業內部

事實上，隨著公民對個人信息保護意識的不斷增強，以及監管體系的不斷完善，一些灰色交易正在浮出水面。

據媒體報道，浙江省通信管理局在7月5日對投訴人的答復函中核實，2019年11月11日，阿里雲計算有限公司未經用戶同意擅自將用戶留存的注冊信息泄露給第三方合作公司，該行為違反了《中華人民共和國網路安全法》第四十二條規定。

當前對於大型企業，特別是互聯網大廠，數據安全被視為「生命線」，一旦出現數據安全事故，其後果將是難以承受的。《網路安全法》第21條明確規定了「國家實行網路安全等級保護（「等保」）制度，要求網路運營者應當按照網路安全等級保護制度要求，履行安全保護義務。」業內人士表示，一般大中型企業都會通過「等保」全面提升數據安全防護能力。

但是，「防止數據泄漏和數據合規運營是當前大多數企業面臨的難點。」360集團大數據協同安全技術國家工程實驗室咨詢總監童磊坦言，中大型企業在完成數字化轉型過程中基本具備網路安全基礎防護能力，成熟度較高企業普遍實施傳統數據安全方案，但對於隱私數據企業則普遍沒有專門實施單獨的安全管控，部分出海企業會針對出海業務實施GDPR隱私合規方案。

「越來越多的數據泄漏發生在企業內部。」童磊說，一方面，隨著數據價值的提升，數據全生命周期流轉往往涉及多個部門和多個系統，而相應的訪問控制與許可權管理很難兼顧安全與業務兩方面訴求，訴求差異以及統一安全運營控制的缺失往往導致數據泄漏事件的發生。

另一方面，在數據成為新型生產要素的背景下，數據載體分布廣，海量數據匯聚、流通、分析和共享，導致很多企業都不了解自己的數據，不能夠清楚地知道敏感數據的具體分布，數據資產不清晰也為數據安全管控和保護策略的實施帶來了困難。

「數據安全是相對的，很難做到絕對安全。」在劉剛看來，在一些面向C端服務的行業，如房產中介、保險金融等，基層網點多，人員流動大，而且能夠直接觸及到客戶信息。這些特點使得數據「行業互換」等違法行為更加分散、隱蔽，一些企業在監管方面的「鞭長莫及」「默不作聲」一定程度上助長了這種灰色交易。

劉剛認為，平台方應主動加強自身監管，落實內外風險管控、提升信息保護等級。另一方面，建議加大對個人泄露隱私的處罰力度。

目前，一些機構、企業也 探索 通過技術手段實現數據「可用不可見、可用不可取」。例如通過隱私計算技術，在不共享明文數據、保障數據安全和用戶隱私的前提下，實現多方數據協同，聯通數據孤島，可以有效打擊數據黑產。

數據安全頂層設計逐步到位

扎緊「數據灰產」牢籠仍需各方合力

在保護數據安全方面，即將實施的《數據安全法》規定了關鍵信息基礎設施的運營者、從事數據交易中介服務的機構、國家機關等數據處理者均負有數據安全保護的義務。第四十四條至第五十二條還詳細規定了違反相應義務時各主體應當承擔的責任。肖颯表示，這有利於在發生違規違法事件後釐清各主體的法律責任。

「作為重要生產要素，數據對經濟發展的價值需要被進一步重視。」中國電子技術標准化研究院網路安全研究中心數據安全部主任胡影認為，《數據安全法》的一大特點在於兼顧統籌數據安全與發展：一方面釐清隱私保護、數據安全鏈條中各主體的法律責任；另一方面也鼓勵數據的合法開發利用，保障數據依法自由有序流動。

隨著《網路安全法》《數據安全法》《個人信息保護法》的逐步到位，數據安全和隱私保護的監管力度正在不斷加大。業內人士認為，頂層設計正在逐步到位，但要扎緊「數據灰產」牢籠，仍需行政監管、市場約束、行業自律、 社會 監督等各方合力。

「從監管動向來看，電商、外賣、快遞、打車、連鎖酒店、求職招聘等行業，獲取的信息不僅涉及到用戶隱私安全，還有可能涉及國家安全。」劉剛認為，大公司所獲取的數據，往往更具有價值，加強企業對個人信息規范管理的同時，應推動建立統一的管理系統，以保證數據使用安全、合法、可追溯。

據中國信通院雲計算與大數據研究所副所長魏凱介紹，信通院已牽頭制定《數據安全治理能力評估方法》，編制發布《數據安全治理實踐指南》，推出國內首個數據安全治理能力評估（DSG評估）服務，為企業建設、度量、改進自身數據安全治理體系提供方法論和操作指南，引導企業從戰略、技術和制度等角度全面提升安全能力和合規水平。截止目前，已有20多家頭部企業積極開展貫標工作。

「對於信息安全行業而言，應該積極 探索 如何平衡地利用數據，既要保護個人隱私、保護單點數據，又要進一步放大數據價值，真正實現數據全流程安全，確保數據可用不可見、可用不可取，進而發揮更大的政企數據賦能作用。」安恆信息董事長范淵說。

（文中林峰、劉剛均為化名。實習生許願對此文亦有貢獻。）

❸ 數據安全的哪些案例，可以看

大數據安全威脅滲透在數據生產、流通和消費等大數據產業的各個環節，包括數據源、大數據加工平台和大數據分析服務等環節的各類主體都是威脅源。」上海社科院信息所主任惠志斌向記者分析稱，大數據安全事件風險成因復雜交織，既有外部攻擊，也有內部泄密，既有技術漏洞，也有管理缺陷，既有新技術新模式觸發的新風險，也有傳統安全問題的持續觸發。

5月27日，中國互聯網協會副秘書長石現升稱，互聯網日益成為經濟社會運行基礎，網路數據安全意識、能力和保護手段正面臨新挑戰。

今年6月1日即將施行的《網路安全法》針對企業機構泄露數據的相關問題，重點做了強調。法案要求各類組織應切實承擔保障數據安全的責任，即保密性、完整性和可用性。另外需保障個人對其個人信息的安全可控。

石現升介紹，實際早在2015年國務院就發布過《促進大數據發展行動綱要》，就明確要「健全大數據安全保障體系」、「強化安全支撐，提升基礎設施關鍵設備安全可靠水平」。

「目前，很多企業和機構還並不知道該如何提升自己的數據安全管理能力，也不知道依據什麼標准作為衡量。」一位業內人士分析稱，問題的症結在於國內數據安全管理尚處起步階段，很多企業機構都沒有設立數據安全評估體系，或者沒有完整的評估參考標准。

「大數據安全能力成熟度模型」已提國標申請

數博會期間，記者從「大數據安全產業實踐高峰論壇」上了解到，為解決此問題，全國信息安全標准化技術委員會等職能部門與數據安全領域的標准化專家學者和產業代表企業協同，著手制定一套用於組織機構數據安全能力的評估標准——《大數據安全能力成熟度模型》，該標準是基於阿里巴巴提出的數據安全成熟度模型(Data Security Maturity Model, DSMM)進行制訂。

圖說：阿里巴巴集團安全部總監鄭斌介紹DSMM。

作為此標准項目的牽頭起草方，阿里巴巴集團安全部總監鄭斌介紹說，該標準是阿里巴巴基於自身數據安全管理實踐經驗成果DSMM擬定初稿，旨在與同行業分享阿里經驗，提升行業整體安全能力。

「互聯網用戶的信息安全從來都不是某一家公司企業的事。」鄭斌稱，《大數據安全能力成熟度模型》的制訂還由中國電子技術標准化研究院、國家信息安全工程技術研究中心、中國信息安全測評中心、公安三所、清華大學和阿里雲計算有限公司等業內權威數據安全機構、學術單位企業等共同合作提出意見。

一位數據安全研究人員分析，企業要提升數據安全管理能力，首先就得認清自身數據保護能力水平，再對症下葯彌補缺失和短板，而該標准正是針對大多數企業普遍存在的，不了解或不清楚自身數據安全管理能力的問題。

從標准架構來看，會從組織機構數據採集、存儲、傳輸、處理、交換和銷毀六個數據生命周期，就企業組織建設、制度流程、技術工具和人員能力四個關鍵能力維度，至少30多個安全域進行全方位考核評估，最終將組織機構的數據安全能力劃分非正式執行、計劃跟蹤、充分定義、量化控制和持續優化，1級至5級的能力成熟等級，等級越高意味數據安全能力越強。

❹ 阿里雲被曝將用戶留存的注冊信息泄露給第三方，阿里雲是否存在這一行為

在如今這個大數據社會當中，想要保護自己的個人信息，確實是非常困難的。而在2019年的雙11前後，阿里雲有一位員工違反了公司的紀律。利用自己的工作之便，把很多顧客的信息收藏了下來，並且把這些信息全部透露給其他人。最終有一名用戶發現了這個情況，進行了舉報。

大家在網路上面也不要隨意的去填寫自己的個人信息，這是非常危險的一件事情。如果是有需要的話，可以去填寫，但是一旦發現自己的個人信息被泄露了，也要聯系相關的工作人員。