上海网信办:某火锅连锁企业 1.5 亿条会员信息处于“裸奔”状态
IT之家 1 月 29 日消息,上海市网信办今日通报称,已依法对一批未有效履行消费者个人信息保护责任、存在严重问题的知名企业予以行政处罚。
IT之家附典型案例如下:
在收集环节强制要、过度取个人信息问题依然存在
经过前期的普法培训、广泛宣传和重点整治,大部分被检查企业在个人信息收集环节能够落实合规要求,但仍有个别企业屡教不改。如某餐饮企业的外送微信小程序在收货地址填写环节,强制用户同意打开精准位置权限,否则无法添加收货地址,属于对消费者非必要个人信息强制索权。
在存储环节,大量个人信息未加密处于“裸奔”状态
此类问题在执法检查中比较普遍,具有较大的数据泄露风险隐患。如某火锅餐饮连锁企业存储的手机号码、邮箱号码等 1.5 亿条会员个人信息以及包括身份证号码在内的 18 万条本公司员工个人信息,某停车扫码 SaaS 平台存储的 8000 条包括手机号码在内的车主信息、196 万条车牌信息,某大型商超购物企业存储的 39 万条家庭卡用户的手机号码、身份证号码等个人信息,某房产中介企业收集的 200 万条用户数据中的 20 万条客户手机号码等个人信息,以及某少儿培训机构存储的 4 万条学生姓名、监护人手机号码等个人信息,均未按规定采取加密、去标识化等安全保护措施。
在使用传输环节,企业随意授权放权管理不到位
检查发现,不少企业在个人信息的使用和传输环节内控制度不严格,存在诸多薄弱问题。如企业内部操作权限设置不合理,在没有授权审批流程的情况下,相关工作人员可以导出包括手机号码在内的用户个人信息,容易导致数据被滥用;有房产中介企业经纪人在查看后台客源信息时,可以看到跨区域的用户手机号码等个人信息。
在管理制度上,企业关于个人信息保护措施明显缺失
检查发现,这批被处罚的企业普遍存在个人信息保护制度不完善的问题,大多未制定个人信息数据分类分级管理、数据访问权限管理、安全应急预案等制度,部分未按照法律规定确定个人信息保护责任人,建立数据资产管理、数据安全人员管理、数据合作方管理等制度。
在安全防护上,网络信息系统存在安全漏洞
经技术检测发现,这批被处罚的企业存储使用大量消费者个人信息的网络信息系统都不同程度存在安全漏洞,如一家房产中介企业的网络安全高危漏洞达到 7 个,还有中低危漏洞 8 个,易被不法分子利用,存在大量数据被泄露或被窃取等安全风险。
“亮剑浦江”专项行动期间,上海市区两级网信、市场监管部门已累计检查企业 6043 家,依法对 520 余家企业进行约谈,查处各类个人信息保护案件 50 余件。
据澎湃新闻报道,1.5 亿条会员个人信息涉及的对象为该火锅品牌创设至今收集的中国大陆地区会员,主要为会员的手机号码、邮箱号码等。而 18 万条的员工个人信息甚至包括姓名、身份证号码、手机号码、家庭地址等在内的比较敏感的个人信息。
据悉,作为知名连锁品牌,该火锅品牌创设至今已近 30 年,在中国大陆地区的餐厅更是超过千家。在检查上述火锅品牌时,技术人员发现其会员运营管理平台的“超级管理员”账号竟然高达 20 余个。
截至IT之家发文,官方暂未公布这家火锅店的具体名称。
广告声明:文内含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更多信息,节省甄选时间,结果仅供参考,IT之家所有文章均包含本声明。