00:26
在嗨吃火鍋的時候,作為會員的你要註意,你的手機號碼等個人資訊正在「裸奔」中。
1月29日,上海市網信辦通報稱,已依法對一批未有效履行消費者個人資訊保護責任、存在嚴重問題的知名企業予以行政處罰。記者透過采訪了解到,作為火鍋界「頂流」的某知名火鍋連鎖品牌赫然在列。
據上海市網信辦通報,上述知名火鍋連鎖品牌違法違規行為集中體現在兩個環節:在收集個人資訊環節,其外送微信小程式仍在強制索取精準位置資訊;在儲存個人資訊環節,其創設近30年來形成的1.5億條會員個人資訊以及18萬條公司員工資訊未加密儲存,「多年來一直處於‘裸奔’狀態」。
「這是對消費者最直接的風險,一旦資訊發生了泄露,可能會造成無法挽回的損失。」上海市網信辦相關負責人指出。
「裸奔」的會員資訊
據上海市網信辦介紹,上述知名火鍋連鎖品牌違法違規行為的查實是在2023年10月底至11月。為切實鞏固「亮劍浦江」個人資訊權益保護專項執法行動成效,上海市網信辦其間啟動了「回頭看」執法檢查,該火鍋品牌系執法檢查物件之一。
在對外釋出的通報中,上海市網信辦稱,該火鍋品牌1.5億條會員個人資訊及18萬條員工資訊未采取相應的加密措施。
澎湃新聞進一步獲悉,1.5億條會員個人資訊涉及的物件為該火鍋品牌創設至今收集的中國大陸地區會員,主要為會員的手機號碼、郵箱號碼等。而18萬條的員工個人資訊甚至包括姓名、身份證號碼、手機號碼、家庭地址等在內的比較敏感的個人資訊。
公開資料顯示,作為知名連鎖品牌,該火鍋品牌創設至今已近30年,在中國大陸地區的餐廳更是超過千家。
對上述個人資訊未加密、處於「裸奔」狀態的隱患,據不願透露姓名的業內專家分析,未加密的個人資訊存在被「內鬼」等盜取的危險。而透過「內鬼」泄露而收集到的這些真實手機號碼,能偷窺到會員的消費習慣。如果結合在「暗網」售賣的其他資料來源,就能更精準地對使用者進行畫像。
上海市網信辦相關人員補充說,泄露的個人資訊還有可能被用於電信詐騙,「透過對個人資訊的分析研判,電詐涉案人員可以判斷出你是否屬於容易上當的特殊人群」。
失範的「超級管理員」
如果說1.5億條的會員個人資訊和18萬條的員工資訊,因為未加密存在泄露的風險,那麽該知名火鍋連鎖品牌超範圍賦予的「超級管理員」則進一步加劇了資訊泄露的風險。
因為擁有最高許可權和不受限制的完全存取權,所謂的「超級管理員」在設定時一般嚴控數量。澎湃新聞從上海市網信辦了解到,在檢查上述火鍋品牌時,技術人員發現其會員營運管理平台的「超級管理員」賬號竟然高達20余個。
「企業營運系統設定的‘超級管理員’一般都在1-2名,且是專人專責管理。該火鍋品牌明視訊記憶體在操作許可權分配不合理。」參與檢查的技術人員告訴澎湃新聞,此舉更是加劇了會員個人資訊泄露風險,「會員個人資訊泄露的概率一下子就會變成1:20以上」。
對為何設定如此之多的「超級管理員」,該火鍋品牌稱是為了系統測試需要。
至於18萬條的員工個人資訊,據介紹,該火鍋品牌的人事系統部份賬號同樣可以查到包括身份證號碼、家庭地址等在內的個人敏感資訊。
此外,澎湃新聞了解到,在收集個人資訊環節,該火鍋品牌外送微信小程式在填寫收貨地址資訊時,還強制使用者同意開啟位置許可權獲取精準位置資訊,否則無法添加收貨地址,存在強制索取非必要許可權問題。
這一違法違規行為目前已完成整改。澎湃新聞日前點選其外送微信小程式中的「收貨地址」一欄發現,當前相關小程式不再強制采集精準位置資訊,使用者已經可以手動選擇地點或填寫收貨地址。
亟需提高的合規意識
針對該火鍋品牌查實的違法違規行為,上海市網信辦相關負責人強調,企業提高個人資訊保安保護的合規意識至關重要。「企業收集的資訊量越大,收集資訊內容越敏感,企業相應要承擔的法律責任就應該越嚴格。而企業合規意識的缺失,就意味著消費者個人資訊泄露的風險越大。」
上海市網信辦相關負責人同時表示,個人資訊受法律保護、關乎切身利益,任何組織和個人不得侵害。此次上海市網信辦透過釋出典型案例,希望對行業對相關企業能起到「以案示警、以案為戒、以案促改」的警示教育意義,有助於各企業固強補弱,提高保護消費者個人資訊的合規意識,切實履行個人資訊保護的義務和法律責任。
數據顯示,2023年6月啟動的「亮劍浦江」專項行動,上海市區兩級網信、市場監管部門已累計檢查企業6043家,依法對520余家企業進行約談,查處各類個人資訊保護案件50余件。
上海市網信辦表示,下一步將深入貫徹落實個人資訊保護法等法律法規要求,持續加強個人資訊保護工作,督促企業切實履行好主體責任,對問題嚴重、屢教不改的企業堅決予以依法查處。
上海市網信辦還提醒消費者,在日常點餐中可積極落實上海市網信辦提出的「六不」建議,做到「私密政策不告知不繼續」「非必要個人資訊不提供」「一鍵要號碼不允許」「‘被’會員誘關註不沖動」「定向推行銷廣告不接受」。
