网盘被异常登录？平台要当好守护用户“数字分身”的哨兵

近日，北京四中院通报个人信息保护类案件审判情况及典型案例，其中网盘账号被异常登录的案例值得关注。案例中，肖某发现其个人网盘账号出现未知设备的登录记录，并且网盘内还出现了“来自Office”“来自iPad”的陌生文件夹。肖某通过多种投诉途径，向某科技公司申请获取异常登录期间的账号登录详情，均未果，最终提起诉讼。

在这一案例中，一审法院认为，因查询内容时间跨度长、技术成本高，某科技公司拒绝提供具有合理性，因此驳回肖某的诉讼请求。二审法院则认为，个人信息处理者对用户疑问的解释说明，不能替代其提供个人信息副本的法定义务，最终判决科技公司在指定期限内，向肖某提供其网盘账号在特定时间段内的完整登录记录副本。

上述案例将一个重要问题推向公众的视野：如果被盗号，互联网平台应当承担哪些责任？更重要的是，我们究竟如何在对互联网底层架构“摸不着头脑”的情况下，保护个人信息与权利。

图片来源：视觉中国

事实上，“异常登录”并不鲜见。2024年10月，广州一女子因注销号码未解绑网盘，导致照片泄露；2024年9月，阿里云盘遭遇“灾难级”漏洞事件，用户在新建文件夹时，系统加载出其他用户的私密照片，包括自拍照、家庭照等。

网盘在云端集中存储，仅需账号与密码便可随时随地访问大量文件，成为文件共享和“数字囤积”的首要选择。平台需要努力降低风险，让用户使用应用软件时更安全、放心。这既是互联网平台凝聚用户信任、实现长期发展的关键，也是法律的严格要求。

事前，平台要建立起坚固防线，通过有效的安全风控体系，对不法攻击进行强力识别与拦截。根据《中华人民共和国网络安全法》（下称《网络安全法》）第二十一条，网络运营者应当制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；并采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施。

事中，平台要当好“哨兵”，在监测到异常登录后，应当采取及时、醒目的预警和通知机制，有效提醒用户。在发生或者可能发生个人信息泄露、毁损、丢失的情况时，按照《网络安全法》第四十二条，平台应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。

事后，平台要充当“医护人员”，将侵权行为的影响控制到最小。比如在用户申诉后，可以快速帮助用户控制账号，立即彻底切断盗号者的访问权限；对用户数据提供便捷、有效的恢复机制；在用户发现被盗号后，提供必要的信息查阅。开头的案例中，北京四中院指出：人力技术成本、查询难度等，一般不能成为个人信息查阅复制的有效抗辩事由，个人信息处理者应当依法全面提供所处理的信息内容，包括非主动提供型个人信息。

平台自觉承担责任对各方都有好处，但社会良好运行不能完全寄托于“自觉”，还需要监督。《中华人民共和国个人信息保护法》第五十八条指出，提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，应当履行下列义务。其中包括：按照国家规定建立健全个人信息保护合规制度体系，成立主要由外部成员组成的独立机构对个人信息保护情况进行监督。

这一制度要落地，如何认定大型网络平台是首要问题。今年9月，国家互联网信息办公室发布《大型网络平台设立个人信息保护监督委员会规定（征求意见稿）》，公开征求意见。意见稿明确了大型网络平台认定机制、监督委员会运行规则，外部成员履职条件和成员履职制衡约束，进一步推动大型网络平台建立个人信息保护监督委员会制度。

此外，防止被盗号，个人也可以对文件加密、设置网盘权限、多重验证登录网盘、采用强实名并关注登录设备和记录等。

总而言之，个人应用账户作为数字时代的“分身”，理应得到更强有力的保护。平台责任的体现不能总是等待“亡羊补牢”，而要系统建立事前预防、事中响应和事后补救机制，并配合完善监督机制。只有这样，徜徉“云端”才能真正无忧。

来源：中国青年报客户端