上海市網信辦通報稱,已依法對一批未有效履行消費者個人資訊保護責任、存在嚴重問題的知名企業予以行政處罰。
IT之家附典型案例如下:
在收集環節強制要、過度取個人資訊問題依然存在
經過前期的普法培訓、廣泛宣傳和重點整治,大部份被檢查企業在個人資訊收集環節能夠落實合規要求,但仍有個別企業屢教不改。如某餐飲企業的外送微信小程式在收貨地址填寫環節,強制使用者同意開啟精準位置許可權,否則無法添加收貨地址,屬於對消費者非必要個人資訊強制索權。
在儲存環節,大量個人資訊未加密處於「裸奔」狀態
此類問題在執法檢查中比較普遍,具有較大的數據泄露風險隱患。如某火鍋餐飲連鎖企業儲存的手機號碼、郵箱號碼等 1.5 億條會員個人資訊以及包括身份證號碼在內的 18 萬條本公司員工個人資訊,某停車掃碼 SaaS 平台儲存的 8000 條包括手機號碼在內的車主資訊、196 萬條車牌資訊,某大型商超購物企業儲存的 39 萬條家庭卡使用者的手機號碼、身份證號碼等個人資訊,某房產中介企業收集的 200 萬條使用者數據中的 20 萬條客戶手機號碼等個人資訊,以及某少兒培訓機構儲存的 4 萬條學生姓名、監護人手機號碼等個人資訊,均未按規定采取加密、去標識化等安全保護措施。
在使用傳輸環節,企業隨意授權放權管理不到位
檢查發現,不少企業在個人資訊的使用和傳輸環節內控制度不嚴格,存在諸多薄弱問題。如企業內部操作許可權設定不合理,在沒有授權審批流程的情況下,相關工作人員可以匯出包括手機號碼在內的使用者個人資訊,容易導致數據被濫用;有房產中介企業經紀人在檢視後台客源資訊時,可以看到跨區域的使用者手機號碼等個人資訊。
在管理制度上,企業關於個人資訊保護措施明顯缺失
檢查發現,這批被處罰的企業普遍存在個人資訊保護制度不完善的問題,大多未制定個人資訊數據分類分級管理、數據存取許可權管理、安全應急預案等制度,部份未按照法律規定確定個人資訊保護責任人,建立數據資產管理、數據安全人員管理、數據合作方管理等制度。
在安全防護上,網絡資訊系統存在安全漏洞
經技術檢測發現,這批被處罰的企業儲存使用大量消費者個人資訊的網絡資訊系統都不同程度存在安全漏洞,如一家房產中介企業的網絡安全高危漏洞達到 7 個,還有中低危漏洞 8 個,易被不法分子利用,存在大量數據被泄露或被竊取等安全風險。
「亮劍浦江」專項行動期間,上海市區兩級網信、市場監管部門已累計檢查企業 6043 家,依法對 520 余家企業進行約談,查處各類個人資訊保護案件 50 余件。
據澎湃新聞報道,1.5 億條會員個人資訊涉及的物件為該火鍋品牌創設至今收集的中國大陸地區會員,主要為會員的手機號碼、郵箱號碼等。而 18 萬條的員工個人資訊甚至包括姓名、身份證號碼、手機號碼、家庭地址等在內的比較敏感的個人資訊。
據悉,作為知名連鎖品牌,該火鍋品牌創設至今已近 30 年,在中國大陸地區的餐廳更是超過千家。在檢查上述火鍋品牌時,技術人員發現其會員營運管理平台的「超級管理員」賬號竟然高達 20 余個。
截至IT之家發文,官方暫未公布這家火鍋店的具體名稱。
本文源自:IT之家
