阿里云回应称员工私下泄露用户信息
针对“阿里云将用户留存的注册信息泄露给第三方”一事,浙江省通信管理局回应称已责令改正;阿里云称系一名电销员工违反公司纪律透露给分销商员工,已严肃处理、积极整改。
8月23日,澎湃从浙江省权威人士处获悉,该省网信办、市场监督管理局等监管部门介入此事,开展督促整改工作。
同日,有律师向澎湃新闻分析,对于经营者来说,根据《网络安全法》第64条的规定,侵害个人信息的,执法机关除了责令其改正外,可以根据情节单处或者并处警告的行政处罚,情节严重的情况下,责任人还将面临刑事责任。
另有律师表示,如果是员工个人行为但不构成犯罪,因阿里云对其员工疏于管理,造成客户权益受侵害,那么根据《消费者权益保护法》第56条规定,工商行政管理部门也可对阿里云予以行政处罚。
阿里云回应:电销员工透露给分销商
网传一份关于浙江省通信管理局答复投诉事项的函显示,2019年11月11日阿里云计算有限公司未经用户同意擅自将用户留存的注册信息泄露给第三方合作公司。阿里云计算有限公司的行为违反了《中华人民共和国网络安全法》第四十二条规定,根据《中华人民共和国网络安全法》第六十四条规定,该局已责令阿里云计算有限公司改正。
8月23日,浙江省一名权威人士证实该函件属实。他称,该省网信办、市场监督管理局等监管部门已介入此事,开展督促整改工作。
8月23日,阿里云官方微博回应称:据自查,该投诉事件应为阿里云一电销员工违反公司纪律,利用工作便利私下获取客户联系方式,并透露给分销商员工,引发一名客户投诉。阿里云严禁员工向第三方泄露用户注册信息,已根据公司制度进行严肃处理,并遵照浙江省通信管理局要求积极整改,对人员管理层面上的不足进行改进。感谢大家的监督批评。
阿里云回应未经用户同意将注册信息泄露给第三方合作公司。 来源:微博”阿里云
不过,阿里云方面并未透露该员工泄露用户注册信息的数量。
律师:情节严重的或涉侵犯个人信息罪
8月23日,上海大邦律师事务所律师丁金坤告诉澎湃新闻,根据《网络安全法》第64条的规定,对于侵害个人信息的,执法机关除了责令企业改正外,可以根据情节单处或者并处警告的行政处罚,即予以警告、没收违法所得、罚款等。
丁金坤表示,对于经营者泄露个人信息的行政处罚,新的《个人信息保护法》更有针对性,处罚也更重。其第66条第1款规定“违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款”。由于《个人信息保护法》是在2021年11月1日生效,故本案的处理还是适用《网络安全法》。
陕西恒达律师事务所高级合伙人、律师赵良善认为,根据《民法典》第1038条规定,如果是阿里云未经用户同意擅自将用户留存的注册信息泄露给第三方合作公司,构成侵权,需承担民事侵权责任。此外,根据《消费者权益保护法》第五十六条第一款规定,工商行政管理部门还可对阿里云计算有限公司处警告、没收违法所得、处以违法所得一倍以上十倍以下的罚款,没有违法所得的,处以五十万元以下的罚款。
赵良善还提到,如果无阿里云的授意,前述行为被定性为员工个人行为,且员工个人行为不构成犯罪,只需承担民事侵权责任时,因阿里云对其员工疏于管理,造成客户权益受侵害,那么根据《消费者权益保护法》第56条规定,工商行政管理部门可对阿里云予以行政处罚。
如果无阿里云计算有限公司的授意,被定性为员工个人行为,且员工个人行为构成侵犯公民个人信息罪的,则阿里云计算有限公司不构成侵犯公民个人信息罪,在追究刑事责任方面,只能追究员工个人的刑事责任。
湖南金州律师事务所高级合伙人、律师邢鑫也表示,涉事企业或面临民事法律层面的责任以及行政层面的法律责任。如果侵犯公民个人信息的行为达到刑法第二百五十三条规定的侵犯公民个人信息罪的程度,责任人还将面临刑事责任。如果情节没有达到构成侵犯公民个人信息罪的程度,可能面临治安处罚。
如果客户发现自己的信息遭公司泄露,该如何维权和保护自我信息?
赵良善建议,当今信息化社会,客户提供个人信息不可避免,但是填写个人信息时要慎重,建议尽量不填写不必要的信息。当发现个人信息被泄露时,要及时保留证据,可先向侵权单位投诉,要求立即停止侵害,投诉无果的,可向当地监管部门反映,或选择向法院提起诉讼。情节严重的,可向当地警方报案,由警方立案调查。