1.5 億條會員個人信息未加密處理存在洩露風險、企業内部數據訪問權限設置不合規導緻用戶信息可能被 " 一鍋端 "、存儲個人信息的網絡系統存在可能被入侵攻擊的高危漏洞 ......
近期,上海市網信辦在 " 亮劍浦江 " 消費領域個人信息權益保護專項執法行動 " 回頭看 " 檢查階段發現,部分企業雖然已被約談要求整改或接受過普法培訓,仍然存在對消費者個人信息收集存儲不合規、制度規範不健全、管理措施不到位、安全防護不嚴密等問題,屬于明知故犯、心存僥幸。
上海市網信辦依法對一批未有效履行消費者個人信息保護責任、存在嚴重問題的知名企業予以行政處罰,這是地方網信辦在全國範圍内首次依據《個人信息保護法》自主辦理的系列行政處罰案件。現将部分典型案例通報如下↓
1. 在收集環節
強制要、過度取個人信息問題依然存在
經過前期的普法培訓、廣泛宣傳和重點整治,大部分被檢查企業在個人信息收集環節能夠落實合規要求,但仍有個别企業屢教不改。如某餐飲企業的外送微信小程序在收貨地址填寫環節,強制用戶同意打開精準位置權限,否則無法添加收貨地址,屬于對消費者非必要個人信息強制索權。
2. 在存儲環節
大量個人信息未加密處于 " 裸奔 " 狀态
此類問題在執法檢查中比較普遍,具有較大的數據洩露風險隐患。如某火鍋餐飲連鎖企業存儲的手機号碼、郵箱号碼等 1.5 億條會員個人信息以及包括身份證号碼在内的 18 萬條本公司員工個人信息,某停車掃碼 SaaS 平台存儲的 8000 條包括手機号碼在内的車主信息、196 萬條車牌信息,某大型商超購物企業存儲的 39 萬條家庭卡用戶的手機号碼、身份證号碼等個人信息,某房産中介企業收集的 200 萬條用戶數據中的 20 萬條客戶手機号碼等個人信息,以及某少兒培訓機構存儲的 4 萬條學生姓名、監護人手機号碼等個人信息,均未按規定采取加密、去标識化等安全保護措施。
3. 在使用傳輸環節
企業随意授權放權管理不到位
檢查發現,不少企業在個人信息的使用和傳輸環節内控制度不嚴格,存在諸多薄弱問題。如企業内部操作權限設置不合理,在沒有授權審批流程的情況下,相關工作人員可以導出包括手機号碼在内的用戶個人信息,容易導緻數據被濫用;有房産中介企業經紀人在查看後台客源信息時,可以看到跨區域的用戶手機号碼等個人信息。
4. 在管理制度上
企業關于個人信息保護措施明顯缺失
檢查發現,這批被處罰的企業普遍存在個人信息保護制度不完善的問題,大多未制定個人信息數據分類分級管理、數據訪問權限管理、安全應急預案等制度,部分未按照法律規定确定個人信息保護責任人,建立數據資産管理、數據安全人員管理、數據合作方管理等制度。
5. 在安全防護上
網絡信息系統存在安全漏洞
經技術檢測發現,這批被處罰的企業存儲使用大量消費者個人信息的網絡信息系統都不同程度存在安全漏洞,如一家房産中介企業的網絡安全高危漏洞達到 7 個,還有中低危漏洞 8 個,易被不法分子利用,存在大量數據被洩漏或被竊取等安全風險。
" 亮劍浦江 " 專項行動期間,上海市區兩級網信、市場監管部門已累計檢查企業 6043 家,依法對 520 餘家企業進行約談,查處各類個人信息保護案件 50 餘件。在現場檢查及後續執法工作中,相關企業能夠正視自身問題,按照監管部門要求落實主體責任,及時對暴露出的問題進行有效整改,确保消費者個人信息能被合規收集使用和有效保護。
上海市網信辦相關負責人強調,個人信息受法律保護,關乎人民群衆切身利益,任何組織和個人不得侵害。下一步,上海市網信辦将深入貫徹落實《個人信息保護法》等法律法規要求,持續加強個人信息保護工作,督促企業切實履行好主體責任,對問題嚴重、屢教不改的企業堅決予以依法查處。