1月29日,上海市网信办通报称,已依法对一批未有效履行消费者个人信息保护责任、存在严重问题的知名企业予以行政处罚。记者通过采访了解到,作为火锅界“顶流”的某知名火锅连锁品牌赫然在列。
据上海市网信办通报,上述知名火锅连锁品牌违法违规行为集中体现在两个环节:在收集个人信息环节,其外送微信小程序仍在强制索取精准位置信息;在存储个人信息环节,其创设近30年来形成的1.5亿条会员个人信息以及18万条公司员工信息未加密存储,“多年来一直处于‘裸奔’状态”。
“这是对消费者最直接的风险,一旦信息发生了泄露,可能会造成无法挽回的损失。”上海市网信办相关负责人指出。
“裸奔”的会员信息
据上海市网信办介绍,上述知名火锅连锁品牌违法违规行为的查实是在2023年10月底至11月。为切实巩固“亮剑浦江”个人信息权益保护专项执法行动成效,上海市网信办其间启动了“回头看”执法检查,该火锅品牌系执法检查对象之一。
在对外发布的通报中,上海市网信办称,该火锅品牌1.5亿条会员个人信息及18万条员工信息未采取相应的加密措施。
澎湃新闻进一步获悉,1.5亿条会员个人信息涉及的对象为该火锅品牌创设至今收集的中国大陆地区会员,主要为会员的手机号码、邮箱号码等。而18万条的员工个人信息甚至包括姓名、身份证号码、手机号码、家庭地址等在内的比较敏感的个人信息。
公开资料显示,作为知名连锁品牌,该火锅品牌创设至今已近30年,在中国大陆地区的餐厅更是超过千家。
对上述个人信息未加密、处于“裸奔”状态的隐患,据不愿透露姓名的业内专家分析,未加密的个人信息存在被“内鬼”等盗取的危险。而通过“内鬼”泄露而收集到的这些真实手机号码,能偷窥到会员的消费习惯。如果结合在“暗网”售卖的其他数据源,就能更精准地对用户进行画像。
上海市网信办相关人员补充说,泄露的个人信息还有可能被用于电信诈骗,“通过对个人信息的分析研判,电诈涉案人员可以判断出你是否属于容易上当的特殊人群”。
失范的“超级管理员”
如果说1.5亿条的会员个人信息和18万条的员工信息,因为未加密存在泄露的风险,那么该知名火锅连锁品牌超范围赋予的“超级管理员”则进一步加剧了信息泄露的风险。
因为拥有最高权限和不受限制的完全访问权,所谓的“超级管理员”在设置时一般严控数量。澎湃新闻从上海市网信办了解到,在检查上述火锅品牌时,技术人员发现其会员运营管理平台的“超级管理员”账号竟然高达20余个。
“企业运营系统设置的‘超级管理员’一般都在1-2名,且是专人专责管理。该火锅品牌明显存在操作权限分配不合理。”参与检查的技术人员告诉澎湃新闻,此举更是加剧了会员个人信息泄露风险,“会员个人信息泄露的概率一下子就会变成1:20以上”。
对为何设置如此之多的“超级管理员”,该火锅品牌称是为了系统测试需要。
至于18万条的员工个人信息,据介绍,该火锅品牌的人事系统部分账号同样可以查到包括身份证号码、家庭地址等在内的个人敏感信息。
此外,澎湃新闻了解到,在收集个人信息环节,该火锅品牌外送微信小程序在填写收货地址信息时,还强制用户同意打开位置权限获取精准位置信息,否则无法添加收货地址,存在强制索取非必要权限问题。
这一违法违规行为目前已完成整改。澎湃新闻日前点击其外送微信小程序中的“收货地址”一栏发现,当前相关小程序不再强制采集精准位置信息,用户已经可以手动选择地点或填写收货地址。
亟需提高的合规意识
针对该火锅品牌查实的违法违规行为,上海市网信办相关负责人强调,企业提高个人信息安全保护的合规意识至关重要。“企业收集的信息量越大,收集信息内容越敏感,企业相应要承担的法律责任就应该越严格。而企业合规意识的缺失,就意味着消费者个人信息泄露的风险越大。”
上海市网信办相关负责人同时表示,个人信息受法律保护、关乎切身利益,任何组织和个人不得侵害。此次上海市网信办通过发布典型案例,希望对行业对相关企业能起到“以案示警、以案为戒、以案促改”的警示教育意义,有助于各企业固强补弱,提高保护消费者个人信息的合规意识,切实履行个人信息保护的义务和法律责任。
数据显示,2023年6月启动的“亮剑浦江”专项行动,上海市区两级网信、市场监管部门已累计检查企业6043家,依法对520余家企业进行约谈,查处各类个人信息保护案件50余件。
上海市网信办表示,下一步将深入贯彻落实个人信息保护法等法律法规要求,持续加强个人信息保护工作,督促企业切实履行好主体责任,对问题严重、屡教不改的企业坚决予以依法查处。
上海市网信办还提醒消费者,在日常点餐中可积极落实上海市网信办提出的“六不”建议,做到“隐私政策不告知不继续”“非必要个人信息不提供”“一键要号码不允许”“‘被’会员诱关注不冲动”“定向推营销广告不接受”。
来源:澎湃新闻