誉鼎投资

集团新闻

蚂蚁金服P6员工从钉钉录屏获取8万条个人及职务信息

发布日期:2018-08-02     浏览次数:

224日,财经网从中国裁判文书网近日披露的一份判决书获知,蚂蚁金服P6员工祝某通过钉钉,非法获取阿里、蚂蚁金服同事通讯录,其中个人及职务信息超8万条,相关信息被制作成视频并上传至百度云盘。

蚂蚁金服以祝君华严重违反公司规章制度为由,与其解除了劳动合同。

20175月至8月,祝某的行为持续了3个月,为何没有被发现?最后又是如何被发现的?蚂蚁金服公司有多少员工可以接触、获得这些信息?

以往发生的支付宝用户信息被贩卖、账户被盗刷,是否和类似祝某的员工行为有关?作为拥有大量用户个人信息数据的金融机构,应该如何保护用户的信息安全?

用钉钉,保安帮我录屏

20151124日,祝某(乙方)与蚂蚁金服(甲方)签订《劳动合同》,约定:合同有效期为自20151124日起至20181130日止;乙方从事技术专家工作。

20175月至8月,祝某通过让小区保安手机录屏的方式从钉钉上非法获取阿里、蚂蚁员工(含外包)的个人及职务信息超过8万条,相关信息被制作成视频并上传至百度云盘,

持续三个月之后,祝某通过钉钉非法获取个人信息才被人发现。

201774日,蚂蚁金服还发函调整祝某的工作岗位,命其为高级技术支持工程师,层级为P6,薪资为每月税前工资20000元。

直到2017914日,蚂蚁金服公司以祝某的上述行为涉嫌侵犯公民个人信息案向公安机关报案,并由杭州市公安局信息经济公安分局立案受理。同年918日,公安机关对祝某某采取了取保候审的刑事强制措施。

2017925日,蚂蚁金服公司向祝某某发出《员工处分记录表》,载明:经廉政部与信息安全中心联合调查,发现祝某某因涉嫌侵犯公民个人信息罪被公安机关立案侦查。祝某某的行为严重违反《商业行为准则》第二条关于遵守法律的规定、第三条第11款关于保密信息的规定,构成《员工纪律制度》规定的一类违规,决定处以辞退处分。

同日,蚂蚁金服公司向祝某某发出《解除劳动合同通知》,以祝某某严重违反公司规章制度为由解除劳动合同。

被辞退后,我把蚂蚁金服告上了法院

祝某被辞退以后,又将蚂蚁金服诉至了法院。

2018920日,祝某向杭州市西湖区劳动人事争议仲裁委员会提请仲裁,要求蚂蚁金服公司继续履行劳动合同;补缴从劳动关系解除至裁判之日的社会保险,补发工资(25000/月)、加班费265827.23元、休年假折现10344.83元。

20181210日,杭州市西湖区劳动人事争议仲裁委员会作出仲裁裁决,祝某的所有仲裁请求被驳回以后,又向浙江省杭州市中级人民法院提起诉讼。

祝某认为,一审法院将加班工资的举证责任分配给祝某,属于法律适用错误。他认为,考勤记录属于用人单位所掌管的证据,应由蚂蚁金服公司提供,但一审法院在审理过程中,却未要求蚂蚁金服公司提供考勤记录,却仅审查祝某提供的初步证据,不但属于法律适用错误,而且有失公允,强人所难。

此外,祝某称,有新证据能够证明存在加班的事实。事实上,祝某每次加班后所产生的交通费,蚂蚁金服公司均予以报销,且报销事项一栏明确注明加班,相关证据材料,祝君华将随后提交。

蚂蚁金服公司不同意祝某的所有上诉请求,发表答辩意见:第一,合同解除是依据公司的规章制度进行处理,履行了相应的民主程序及公示告知程序;第二,蚂蚁金服公司是依据被采取刑事强制措施的严重违纪情形予以辞退。所以解除合法。第三,在921日在解除合同前,蚂蚁金服公司同工会进行了通知。

关于休假即加班工资,蚂蚁金服辩称,在仲裁和一审中提交的证据都显示祝某在离职之前已经把该年度应休未休的年假已经全部休掉。而加班工资,因为祝某某在仲裁和一审中,并没有提供有效的证据能够证明存在实际的加班的情况。

浙江省杭州市中级人民法院认为:根据在案的证据材料,蚂蚁金服公司在出台2016版《员工纪律制度》时已经通过电子邮件的方式向蚂蚁集团员工发送,并邀请全体员工讨论并征求意见,嗣后出台该制度,同时,经查阅原审案卷,蚂蚁金服公司在解除其与祝君华劳动合同之前,已经通知阿里巴巴(中国)有限公司工会委员会。综上,难以认定蚂蚁金服公司系违法解除劳动合同。

浙江省杭州市中级人民法院认为,关于加班工资及年休假工资的问题,劳动者主张加班工资的,应当对存在加班的事实承担举证责任。根据祝君华提供的在案证据,尚不足以证实其存在加班的事实,原审法院于此驳回祝君华关于加班工资的请求并无不当,本院予以维持。

内鬼最难抓

蚂蚁金服员工祝某通过钉钉录屏获取个人信息一事,让人想起2014年的支付宝用户信息泄漏案。

20141月,阿里巴巴旗下支付宝的前技术员工李某,利用工作之便,在2010年分多次在公司后台下载了支付宝用户的资料,资料内容超20G。李明团伙的第一个客户张某,以500元的价格,从李明处购得3万条支付宝用户信息。李明还伙同两位同伙,将用户信息多次出售予电商公司、数据公司。

经阿里巴巴廉正部查悉,下载支付宝用户资料的行径或为李某所为,并在杭州报案。杭州警方以该市翠苑派出所为主体,将上述四人予以控制。

不止蚂蚁金服,京东金融、当当网、等平台都出现过用户资料泄密事件,有网络安全行业人士认为,很多用户数据之所以泄漏可能并非黑客技术手段有多高明,而是因为有“内鬼”主动泄露相关信息。

即使抓到内鬼也只能悄悄开除。一位行业观察人士分析称,不少企业都发现了内鬼的存在,但在部分信息泄露之后都不敢公开,甚至不敢报警。究其原因,还是为了维护品牌以及企业的名声。除非是大面积信息泄露被媒体报道,相关企业才会做出回应,或者交由警方处理。

《财经》杂志报道显示,有80%的数据泄露是企业内鬼所为,黑客和其他方式仅占20%。对于这样的比例,可能很多企业高管会感到惊讶,自己在技术上的投入防的了黑客却防不住人心。

层出不穷的信息泄露事件引发了人们对于个人信息保护的思考,然而,如何有效保护用户信息隐私,也成为行业发展的一大焦点。

一位沃尔玛中国总部的前员工介绍了该公司对于用户隐私保护的措施,首先是上网行为有软件监控,除非特殊的电脑可以用U盘外,所有电脑不可接任何外部设备。而且U盘在带进公司会进行杀毒和严格的文件检查,带出公司又重新再做一遍该工作,从而保证U盘不会有病毒伤害整个公司的电脑和数据安全,其次有效防止机密数据的泄露。

保证公司内的数据安全,是所有互联网金融公司都的一个事情。最基本的原则就是不允许下载数据。”360金融的一位技术人员告诉财经网。

知名信息安全企业高级分析师韩昊晟公开表示,一些企业在加强了数据安全技术防护措施之后,的确能够减少因漏洞被黑客攻击所产的生数据泄露事件。但是这些举措无法阻止因企业内部培训、监督、管理缺失,导致监守自盗,泄露用户隐私信息的行为。

大数据时代,由于用户数据能带来直接或间接大量利润,各种各样的公司都在尽最大可能收集用户信息,极尽所能分析用户习惯,画出精准画像,再精准营销,精准投放。

获取这些数据的买方需求在,摆在眼前的诱惑在,就总会有人铤而走险。

在这张看不见的信息大网中,总有人以为自己是钩,但其实,所有的人都是鱼。