今日精选

SEP . 2021

• 互联网时代，用户的个人隐私保护一直是大家普遍关注的话题。继滴滴事件发生后，又曝阿里云员工泄露用户信息，即便是员工个人行为，公司疏于管理也难逃责任。用户信息泄露事件频发，员工与公司要承担什责任？用户又可以通过什么途径维权呢？

滴滴事件发生之后，在8月23日这天，阿里云传来坏消息，浙江省通信管理局在一份对投诉人的答复函中明确表示，已核实阿里云未经用户许可将注册信息泄露给第三方公司。而且这起事件是发生在2019年11月份。如果不是被曝光了，很多人都还不知道原来阿里云也存在信息泄露的风险。

根据浙江省通信管理局下发的文件，阿里云在未经用户同意的情况下，擅自将用户留存的注册信息泄露给第三方合作公司，该行为违反了《中华人民共和国网络安全法》第42条的规定，已责令其改正。

当天下午，阿里云官方也进行了回应。阿里云严禁员工向第三方泄露用户注册信息，已根据公司制度对该事件进行严肃处理，并遵照浙江省通信管理局要求积极整改，对人员管理层面上的不足进行强化改进。

《网络安全法》定义，个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。

即将于2021年11月1日正式施行的《个人信息保护法》也明确了，个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。

1. 民事责任

另外，根据《消费者权益保护法》相关规定，工商行政管理部门还可根据情节严重程度处以警告、没收违法所得、处以违法所得一倍以上十倍以下的罚款，没有违法所得的，处以五十万元以下的罚款。

在阿里云事件中，浙江省通信管理局即采用了“责令改正”的方式予以处罚，该处罚针对的不是员工而是运营主体以及主要责任人，对于具体员工的处理，主要还是根据阿里云的内部规定。

2. 刑事责任

我国在刑事层面对个人信息保护也有相应的规定，可能会涉及侵犯公民个人信息罪。

根据《刑法》第二百五十三条之一的规定，侵犯公民个人信息罪是指违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。刑法由于其对应的有相应的刑罚情节，故而对个人信息保护的要求标准较高，需要有情节严重。

《刑法修正案九》已经明确单位在保护公民个人信息上负有监管责任。

第一，首先要收集证据线索，从民事角度来讲，可以与侵权方协商要求其停止侵权，赔礼道歉或者赔偿损失。

第二，可以向工信部等监管机构，例如向互联网管理部门、工商部门、消协、行业管理部门和相关机构进行投诉举报。

第三，向公安部门报案，根据刑法相关规定，向他人提供公民个人信息以及非法获取公民个人信息情节严重可能涉嫌刑事犯罪的，公安机关可以介入调查。

第四，通过诉讼手段维权

公民在发现个人信息泄露时，可以使用传统的诉讼手段来维护自己的权利，通过向侵权行为地或者被告住所地人民法院提起民事诉讼，追究泄露个人信息主体的民事责任。

第五，检察机关支持起诉或提起检查建议

根据《民事诉讼法》第十五条规定，机关、社会团体、企业事业单位对损害国家、集体或者个人民事权益的行为，可以支持受损害的单位或者个人向人民法院起诉。故公民在遇到个人信息泄露的时候，还可以向检察机关寻求帮助，检察机关可以通过支持起诉、发出检察建议等方式履行保护公民个人信息安全的职责。

这些维权方式的成本都比较高，打官司要请律师和承担时间成本，去报案或者举报的话要等有关部门的调查和处理。因此更重要的是各行各业应该加强信息保护力度。

① 网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。

② 确定各部门、岗位和分支机构的用户个人信息安全管理责任。建立用户个人信息收集、使用及其相关活动的工作流程和安全管理制度

根据《网络安全法》第十条规定，建设、运营网络或者通过网络提供服务，应当依照法律、行政法规的规定和国家标准的强制性要求，采取技术措施和其他必要措施，保障网络安全、稳定运行，有效应对网络安全事件，防范网络违法犯罪活动，维护网络数据的完整性、保密性和可用性。

个人信息保护任重而道远，尽管法律已经在大数据安全、个人信息保护上提供了有力的保障，但是还是需要信息处理者时刻保持警惕，完善内部管理制度，公民也要增强个人信息保护意识，及时止损。