阿里云“用户注册信息泄露”事件，透露出的信息值得重视

8月23日，针对媒体报道“阿里云将用户留存的注册信息泄露给第三方合作伙伴”的消息，阿里云回应：根据自查，该投诉事件应为2019年双11前后，阿里云一名电销员工违反公司纪律，利用工作便利私下获取客户联系方式，并透露给分销商员工，从而引发一名客户投诉。
阿里云同时表示：公司严禁员工向第三方泄露用户注册信息，已根据公司制度对该事件进行严肃处理，并遵照浙江省通信管理局要求积极整改，对人员管理层面上的不足进行强化改进。感谢大家的监督批评。
橙柿互动“律师来了”栏目的浙江垦丁律师事务所合伙人李晋沅律师表示，从这则简短的回应，透露出这样一些信息：虽然泄露用户信息是员工个人行为，但企业同样要承担连带责任，而且，大家在遇到自己的个人信息被泄露的情况时，除了可以向企业本身投诉、向公安报案外，还可以向省通信管理局这样的监管机构投诉。
员工个人如情节严重可能涉刑事罪
《刑法》中对个人信息保护也有相应的规定，《刑法修正案（九）》将“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”整合为“侵犯公民个人信息罪”，扩大了犯罪主体和侵犯个人信息行为的范围，规定：违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。需要指出的是，刑法由于其对应的有相应的刑罚情节，故而对个人信息保护的要求标准较高，需要有情节严重。
在此案中，阿里云的员工将客户信息透露给分销商员工，此行为不太符合向他人出售的情节，但毫无疑问属于提供。至于该情节是否属于严重，需要公安机关予以考量。
如果公安机关认定其行为已经达到刑事立案标准，那么等待这个员工的，将是法律程序的开启。
阿里云作为企业有相应的保护义务
虽然泄露个人信息是员工个人所为，但阿里云作为企业也是有承担相应责任的。
《中华人民共和国网络安全法》第四十二条 网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。
网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。
在本案中，阿里云显然没有履行好个人信息处理者的相应的保护义务。浙江省通管局也是依据《网络安全法》对阿里云责令整改。
虽然我们无法要求一个企业做到完全的个人信息不被泄露，因为即便没有该员工的个人行为，也可能存在黑客攻击等。但我们可以要求企业做出相应的防御机制，提高相应的针对性措施，完善自身的内部合规体系，对出现风险事件时有充分的应急响应机制并予以落实。
而本案中，涉案员工为电销员工，则暴露出至少阿里云内部在保护机制上的缺失和合规体系建设有待改进。留存的用户注册信息应当予以被完善保存并有相应的技术手段和内部验证审批环节。
需要指出的是，在我国个人信息保护的建设道路上，阿里云以自身的经验和技术手段做出了很大贡献。而此次事件也给全行业敲响警钟，个人信息保护道阻且长，不仅要有技术和法律双支持，还需要个人信息处理者时刻保持警惕，内部合规体系建设的不完善甚至缺失，将会导致任何先进的技术防护手段失灵，等待的必然是个人信息保护法律体系的严惩。
用户信息被泄露后的主要维权途径
1. 向涉案企业投诉。目前比较主流的企业都有相应的投诉渠道，在本案中，客户发现个人信息被泄露，进行投诉，接下来阿里云自查。
2. 向工信部等监管机构投诉。这是目前来说较为普遍的一个投诉渠道，无论是电话骚扰还是短信轰炸等，包括互联网企业不作为等等，都可以进行投诉。
3. 向公安机关报案。目前集中在电话诈骗和互联网非法获取个人信息用于黑灰产交易等，公民发现自身个人信息被用于犯罪途径，向公安机关报案能有较好反馈。当前很多公安机关破获互联网犯罪都是来自于公民报案。
4.公益诉讼。《个保法》第七十条 明确规定，个人信息处理者违反本法规定处理个人信息，侵害众多个人的权益的，人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。最高检也近日下发《关于贯彻执行个人信息保护法推进个人信息保护公益诉讼检察工作的通知》。
受保护的个人信息有哪些？
根据阿里云的回应，泄露给第三方的是客户联系方式。那么客户联系方式是否属于个人信息，回答是肯定的。
根据最新的《中华人民共和国个人信息保护法》第四条，个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。
个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。
据此，我们可以认定，客户的联系方式属于个人信息，是受到法律的相应保护。
而鉴于《个人信息保护法》尚未实施，而此事件又发生于2019年双十一前后，在此之前，众多部门都出台了相应的法律法规，对个人信息做了不同层面的界定，与《个保法》的定义差入不大，例如《网络安全法》第七十六条第五款定义，个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。
据此，我们认为，无论是根据最新的定义还是以往的法律法规，都不妨碍将此次事件的内核定性为个人信息泄露。