“我的網(wǎng)盤里，為何冒出別人的文件”

　　網(wǎng)盤突現(xiàn)陌生資料引發(fā)安全性爭議

　　北京市朝陽區(qū)的王先生近日遇到一件令人費解的事：自己的網(wǎng)盤中莫名出現(xiàn)了一個陌生文件夾。

　　11月26日，王先生一如往常打開某網(wǎng)盤查看備份資料，卻發(fā)現(xiàn)文件列表中出現(xiàn)了一個名為“××知識問答”的陌生文件夾，添加時間顯示為當天中午11點。

　　這讓王先生倍感困惑：“我的網(wǎng)盤里，為何冒出別人的文件？”他對此毫無頭緒，聯(lián)系客服后，對方并未作出合理解釋。

　　王先生的經(jīng)歷并非個例。網(wǎng)盤憑借其隨時存取的便捷性，成為不少網(wǎng)絡(luò)用戶存放資料、照片的“線上保險箱”。然而，《法治日報》記者調(diào)查發(fā)現(xiàn)，近期多名用戶遭遇網(wǎng)盤中突然出現(xiàn)陌生人照片、文檔的情況，讓人對網(wǎng)盤的私密性和安全性產(chǎn)生強烈質(zhì)疑。

　　賬號突然“被退出登錄”

　　上海市長寧區(qū)的李先生是某網(wǎng)盤的忠實用戶，大量私人照片和工作學(xué)習(xí)資料均儲存在網(wǎng)盤中。

　　近日，他在正常使用網(wǎng)盤時，賬號突然彈出一條“本設(shè)備已被退出登錄”的通知，提示原因竟是“本設(shè)備被同賬號設(shè)備退出登錄”。

　　李先生回憶，該網(wǎng)盤賬號是用他早前的手機號碼注冊綁定開通的，雖然后來更換了手機號碼，但網(wǎng)盤賬號一直沿用至今，且已完成實名認證。“該賬號理應(yīng)僅屬于我一人。”他咨詢客服相關(guān)情況后了解到，有人使用他之前的手機號碼，通過接收手機短信驗證碼的方式登錄該網(wǎng)盤賬號。

　　“如果僅憑一個手機號碼就能登錄，那賬號設(shè)置密碼和實名認證的意義何在？網(wǎng)盤的安全性該如何保證？”李先生表示，目前正在與平臺溝通，嘗試重新綁定手機號碼。

　　無獨有偶，記者在某社交平臺搜索“網(wǎng)盤陌生人登錄”“網(wǎng)盤陌生人照片”等關(guān)鍵詞，發(fā)現(xiàn)有不少用戶遭遇類似情況。

　　一名網(wǎng)友發(fā)布帖文稱，他的某網(wǎng)盤私密賬號中突然出現(xiàn)他人的手機備份，隨即出現(xiàn)大量“外來”資料：陌生人的肖像照、家庭場景、動畫片等。

　　在帖文下方評論區(qū)，有多名網(wǎng)友表示有相同經(jīng)歷。一昵稱為“我愛吃××”的用戶表示，其更換手機號碼后沒有登錄過網(wǎng)盤，再次登錄時發(fā)現(xiàn)多了許多陌生照片。

　　近日，北京四中院發(fā)布一起個人信息權(quán)益保護典型案例。肖某是某網(wǎng)盤實名用戶，其因工作需要使用網(wǎng)盤存儲付費投標文件。2023年，肖某發(fā)現(xiàn)網(wǎng)盤存在2021年、2023年未知設(shè)備登錄記錄，還登錄了平臺關(guān)聯(lián)公司開發(fā)的其他App，網(wǎng)盤中出現(xiàn)陌生文件夾，懷疑賬號被異常登錄、文件泄露。

　　肖某多次向網(wǎng)盤運營科技公司申請獲取完整登錄詳情遭拒后，將該公司訴至法院。一審法院以肖某可查詢近期記錄、未明確請求“異常登錄”查詢等為由，駁回其訴求。肖某不服，提起上訴。

　　二審法院認為，該科技公司提供的查詢功能存在信息缺失與限制，未充分履行義務(wù)，不符合相關(guān)法律規(guī)定，遂判決公司限期向肖某提供特定時間段內(nèi)的完整登錄記錄副本。

　　二次放號致登錄混亂

　　記者查看發(fā)現(xiàn)，某網(wǎng)盤App的官方介紹中寫明：用戶通過設(shè)備(如電腦、手機等)將文件上傳至云盤。上傳過程涉及將數(shù)據(jù)分割成小塊，并通過互聯(lián)網(wǎng)傳輸?shù)皆品?wù)器上。并且云盤提供商使用專門的軟件管理存儲在云端中的數(shù)據(jù)。用戶可以通過互聯(lián)網(wǎng)隨時隨地訪問存儲在云盤中的文件。

　　該網(wǎng)盤App特別注明：云盤服務(wù)商通常會采用多層次的安全措施保護用戶數(shù)據(jù)，包括數(shù)據(jù)加密、訪問控制、身份驗證等措施。

　　除上述App之外，許多云盤還提供了用戶自定義的隱私設(shè)置，用戶可以決定哪些文件共享給他人，哪些文件保持私密。

　　一邊是平臺方一再強調(diào)網(wǎng)盤私密性，另一邊卻是不斷涌現(xiàn)的賬號異常登錄、陌生資料“入侵”狀況。背后原因何在？

　　記者調(diào)查發(fā)現(xiàn)，多名遭遇異常登錄的用戶都有一個共同特征——其使用網(wǎng)盤賬號前后曾更換過手機號碼。

　　“二次放號的手機號碼，新的號碼主可以登錄此前手機號碼綁定的網(wǎng)盤賬號。”一名天津的網(wǎng)盤用戶告訴記者，自己使用某網(wǎng)盤12年，當時綁定的手機號碼早已更換。不久前，他登錄網(wǎng)盤賬號時，發(fā)現(xiàn)有人使用該手機號碼把自己的登錄狀態(tài)頂下線。他多次向平臺申訴，每次都卡在手機接收驗證碼一環(huán)。他轉(zhuǎn)而嘗試聯(lián)系號碼主無果，甚至被對方拉黑。

　　“網(wǎng)盤里還有不少我的舊照片和資料，無法登錄，這些回憶就找不回來了。”該用戶無奈道，他將繼續(xù)嘗試向平臺投訴，“那明明是我的賬號，怎么能只認手機號碼呢？”

　　公開信息顯示，“二次放號”是指老用戶停用或棄用手機號碼后，號碼由運營商收回并在注銷90日后重新投放市場的號碼循環(huán)利用機制。根據(jù)現(xiàn)行規(guī)定，移動電話號碼凍結(jié)時限最短為90日，運營商在凍結(jié)期內(nèi)需剝離套餐、積分等業(yè)務(wù)信息，但無法清除第三方平臺綁定數(shù)據(jù)。

　　記者使用了一張今年7月辦理的手機號碼在某網(wǎng)盤進行測試，登錄時首先跳轉(zhuǎn)到“賬號管理”界面，上方為“解綁并注冊”，下方顯示用戶名為“黃××”的賬號。與此同時，平臺提示，記者使用的手機號碼為運營商二次售賣的，綁定了可能不屬于記者的網(wǎng)盤賬號。

　　為此，記者致電手機號碼運營商。工作人員解釋稱，該號碼在原號主注銷時并未解綁名下賬號，運營商只能提供“煥新”服務(wù)，記者可以登錄小程序一鍵解綁號碼下全部關(guān)聯(lián)賬號。

　　應(yīng)強化安全保障措施

　　網(wǎng)盤異常登錄問題，暴露出哪些隱患？

　　北京盈科(上海)律師事務(wù)所高級合伙人謝連杰介紹，網(wǎng)盤安全危機是多重因素疊加導(dǎo)致的系統(tǒng)性風(fēng)險。

　　他進一步解釋說，“賬號+密碼”單一認證機制確實存在固有缺陷，易被暴力破解或密碼泄露等手段突破，無法形成身份驗證的閉環(huán)防護。部分平臺存在安全投入不足、風(fēng)險防控優(yōu)先級低于用戶增長的問題。例如，未主動推廣多因素認證(如短信驗證、人臉識別)，對異常登錄監(jiān)測力度不足，未建立實時風(fēng)險攔截機制，導(dǎo)致技術(shù)漏洞未能通過管理措施彌補。

　　泰和泰(重慶)律師事務(wù)所高級合伙人朱杰指出，一些網(wǎng)盤平臺未采用智能監(jiān)測系統(tǒng)實時識別異常登錄(如IP地址突變、登錄設(shè)備陌生)，缺乏“分鐘級預(yù)警”機制(如短信提醒用戶“賬號在異地登錄”)，無法及時攔截不法訪問，平臺亟須筑牢合規(guī)防線。

　　謝連杰認為，根據(jù)現(xiàn)有規(guī)定，平臺對“非用戶意愿導(dǎo)致的異常登錄狀態(tài)”負有相應(yīng)的法律責任。首先是民事責任，因未履行安全保障義務(wù)導(dǎo)致用戶信息泄露、財產(chǎn)損失的，應(yīng)承擔侵權(quán)損害賠償責任；其次是行政責任，違反網(wǎng)絡(luò)安全法、個人信息保護法相關(guān)規(guī)定，未履行網(wǎng)絡(luò)安全保護義務(wù)、拒絕提供用戶信息查詢服務(wù)的，可能被處以警告、罰款、責令停業(yè)整頓等行政處罰；最后是刑事責任，若平臺明知存在黑客攻擊、非法登錄等情形而未采取必要措施，導(dǎo)致用戶信息大量泄露，情節(jié)嚴重的，可能構(gòu)成拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪。

　　受訪專家指出，運營網(wǎng)盤的平臺要切實加強網(wǎng)絡(luò)安全，提供復(fù)核驗證、動態(tài)驗證、IP地址登錄提示等具體的安全保障措施。

　　謝連杰提到，依據(jù)網(wǎng)絡(luò)安全法、個人信息保護法，平臺應(yīng)履行以下義務(wù)：建立健全安全管理制度和技術(shù)防護體系，落實多因素認證等安全措施；留存登錄日志、操作記錄等信息至少6個月；發(fā)現(xiàn)異常登錄后及時預(yù)警并告知用戶；為用戶提供便捷的查詢、更正、刪除個人信息的途徑；用戶投訴后，及時核查并提供必要的證據(jù)支持；發(fā)生信息泄露后，立即采取補救措施并向監(jiān)管部門報告。

　　朱杰建議，個人遇到網(wǎng)盤登錄異常時，可通過“事前防范—事中應(yīng)對—事后維權(quán)”實現(xiàn)防護。具體而言，使用網(wǎng)盤前仔細閱讀服務(wù)協(xié)議與隱私政策、避免使用“弱密碼”、采取開啟二次認證等措施；發(fā)現(xiàn)異常后，立即向平臺申訴，要求控制賬號(如鎖定賬號、修改密碼)，切斷盜號者權(quán)限；若平臺拒絕提供完整登錄記錄，可向法院起訴，要求平臺履行義務(wù)。

　　本報記者 韓丹東