在吃火鍋的時候,作為會員,要注意自己的手機號等個人資訊是“裸跑”的。
1月29日,上海市網信辦宣布,對一批未切實履行消費者個人資訊保護責任、存在嚴重問題的知名企業實施行政處罰。 記者通過採訪了解到,某知名火鍋連鎖品牌,作為火鍋行業的“頭流”,上市情況令人印象深刻。
據中國上海市網信辦機構介紹,上述知名火鍋連鎖品牌的違法違規行為主要體現在兩個環節:在收集個人資訊的過程中,其微信小程式仍在強行索要精確位置資訊; 在儲存個人資訊的過程中,它已經建立了近30年5億條會員個人資訊和18萬條公司員工資訊未加密儲存,“多年來一直處於'裸奔'狀態”。
這是對消費者最直接的風險,一旦資訊洩露,可能會造成無法彌補的損害。 上海市網信辦有關負責人指出。
“Streak”的會員資訊。
據上海市國家網際網絡資訊辦公室訊息,對上述知名火鍋連鎖品牌違法違規行為的調查時間為2023年10月底至11月。 為有效鞏固“兩建浦江”個人資訊權益保護專項執法行動的效力,上海市網信辦開展“追溯性”執法檢查,火鍋品牌成為執法檢查物件之一。
在向公眾發布的通知中,上海市網信辦表示,火鍋品牌1會員個人資訊5億條,員工資訊18萬條未加密。
澎湃新聞進一步了解到,1這5億條會員個人資訊是火鍋品牌成立以來在中國大陸收集的會員,主要是會員的手機號碼、郵箱號碼等。 這18萬條員工個人資訊中甚至包括姓名、身份證號碼、手機號碼、家庭住址等敏感個人資訊。
據公開資料顯示,火鍋品牌作為知名連鎖品牌,成立近30年,在中國大陸擁有1000多家餐廳。
據不願透露姓名的業內專家分析,未加密的個人資訊有被“鬼”竊取的危險。 通過“內鬼”洩露收集到的真實手機號碼,可以用來了解會員的消費習慣。 如果與“暗網”上出售的其他資料來源相結合,可以更準確地分析使用者。
上海市網信辦補充說,洩露的個人資訊也可能被用於電信詐騙,“通過對個人資訊的分析和判斷,參與電匯詐騙的人可以判斷你是否屬於容易上當受騙的特殊人群。
Anomie “超級管理員”。
如果你說 15億條會員個人資訊和18萬條員工資訊因未加密而面臨洩露風險,知名火鍋連鎖品牌給出的“超級管理員”進一步加劇了資訊洩露風險。
由於最高許可權和不受限制的完全訪問許可權,所謂的“超級管理員”通常設定了嚴格數量的超級管理員。 澎湃新聞從上海市網信辦獲悉,技術人員在對上述火鍋品牌進行檢查時發現,其會員運營管理平台上有20多個“超級管理員”賬號。
企業作業系統中設定的“超級管理員”一般為1-2人,專門負責管理。 火鍋品牌顯然存在經營權分配不合理的問題。 參與檢查的技術人員告訴澎湃新聞,此舉加劇了會員個人資訊洩露的風險,“會員個人資訊洩露的概率將突然變為1:20以上”。
至於為什麼會有這麼多“超級管理員”,火鍋品牌表示,是為了系統測試的需要。
至於員工的18萬條個人資訊,據介紹,火鍋品牌人事系統的一些賬號還可以找到敏感的個人資訊,包括身份證號碼、家庭住址等。
此外,澎湃新聞了解到,在收集個人資訊的過程中,火鍋品牌的微信小程式在填寫收貨位址資訊時,還強制使用者同意開通位置許可權,以獲取準確的位置資訊,否則無法新增收貨位址,存在強制請求不必要的許可權問題。
這種違反法律法規的行為現已得到糾正。 澎湃新聞近日點選其投遞微信小程式中的“收貨位址”欄目,發現目前相關小程式不再強制收集準確的位置資訊,使用者可以手動選擇位置或填寫收貨位址。
迫切需要提高合規意識
針對火鍋品牌查實的違法行為,上海市網信辦相關負責人強調,企業提公升個人資訊保安保護合規意識至關重要。 “企業收集的資訊量越大,收集的資訊內容越敏感,企業的法律責任就應該越嚴格。 企業合規意識的缺失,意味著消費者個人資訊洩露的風險更大。 ”
同時,上海市網信辦相關負責人表示,個人資訊受法律保護,關係到切身利益,任何組織和個人都不得侵犯。 上海市國家網際網絡資訊辦公室希望通過典型案例的發布,對行業和相關企業起到警示和教育意義,幫助企業強短補短,提高消費者個人資訊保護合規意識,切實履行個人資訊保護義務和法律責任。
資料顯示,在2023年6月啟動的“亮劍浦江”專項行動中,上海市兩級網信和市場監管部門共對企業6043家企業進行檢查,依法約談企業520余家,查處各類個人資訊保護案件50餘起。
上海市國家網際網絡資訊辦公室表示,下一步將深入落實個人資訊保護等法律法規要求,繼續加強個人資訊保護,督促企業切實履行主體責任,對存在嚴重問題、屢拒不改風的企業,堅決查處。
上海市國家網際網絡資訊辦公室也提醒消費者,在日常訂購中可以積極落實上海市國家網際網絡資訊辦公室提出的“六不”建議,做到“私隱政策不告知,不會繼續”、“不提供不必要的個人資訊”、“不允許一鍵式號碼”、“'誘惑'會員不衝動”, 以及“不接受定向營銷廣告”。
據澎湃新聞報道。