上传到系统的个人隐私文件在用户登出后仍可通过直链访问，是否违反法律？

这种情况下，系统需要采取措施来保护用户的隐私信息，确保在用户登出后，他人无法直接访问预览 URL 获取用户隐私信息。如果系统未能采取相应的安全措施，这可能违反了《中华人民共和国网络安全法》中关于个人信息安全的相关规定，尤其是第四十一条 “网络运营者应当采取技术措施和其他必要措施，确保个人信息的安全，防止个人信息被泄露、毁损或者丢失。” 如果系统未能履行上述义务，可能面临相关法律责任。

如果 url 链接采取了相应的措施，比如路径加入复杂且足够长度的字符串， 这就是法律中所规定的“技术措施和其他必要措施”。

@paradoxs 实际的 URL 格式就是我原文中提供的，除了 userID 和 timestamp 以外，所以文件的路径都是一样的

显然没通过等保测评，但是违法这个话题缺少定论

典型的越权啊

不过违不违法问问公司法务吧

违规了，但是 userID 才 5 位的微型系统估计没人愿意管，罚款也捞不到多少费力不讨好，谁愿意呢。

@opengps 一个客户公司是取 SHA512(Random.Shared.Next(999999999)，过等保三级还是四级三周后服务器中勒索病毒了

领导说了算。