南方财经全媒体记者马嘉璐 广州报道
近日,上海市网信办通报一批未有效履行消费者个人信息保护责任的行政处罚典型案例,其中包括某知名火锅品牌企业存储的手机号码、邮箱号码等1.5亿条会员个人信息以及包括身份证号码在内的18万条本公司员工个人信息,未按规定采取加密、去标识化等安全保护措施,长期处于“裸奔”状态。有报告显示,2023年发生的数据泄露事件中,超90%为公民个人信息,不能及时应对将会给企业资金、品牌声誉及商业竞争带来重大影响。
这是地方网信办在全国范围内首次依据《个人信息保护法》自主办理的系列行政处罚案件。据通报,上海市网信办在“亮剑浦江”消费领域个人信息权益保护专项执法行动“回头看”检查阶段发现,部分企业虽然已被约谈要求整改或接受过普法培训,仍然存在对消费者个人信息收集存储不合规、制度规范不健全、管理措施不到位、安全防护不严密等问题,属于明知故犯、心存侥幸。特别是有些企业在遵循最小必要、告知同意、合法诚信和安全可靠等原则收集、存储、使用个人信息中,仍然存在诸多违法违规情景。
通报中披露,某餐饮企业的外送微信小程序在收货地址填写环节,强制用户同意打开精准位置权限,否则无法添加收货地址,属于对消费者非必要个人信息强制索权。据媒体报道,该餐饮企业与1.5亿会员信息“裸奔”的火锅企业为同一家。
检查还发现,某停车扫码SaaS平台存储的8000条包括手机号码在内的车主信息、196万条车牌信息,某大型商超购物企业存储的39万条家庭卡用户的手机号码、身份证号码等个人信息,某房产中介企业收集的200万条用户数据中的20万条客户手机号码等个人信息,以及某少儿培训机构存储的4万条学生姓名、监护人手机号码等个人信息,也都处于“裸奔”状态。
此外,不少企业在个人信息的使用和传输环节内控制度不严格,存在诸多薄弱问题。如企业内部操作权限设置不合理,在没有授权审批流程的情况下,相关工作人员可以导出包括手机号码在内的用户个人信息,容易导致数据被滥用;有房产中介企业经纪人在查看后台客源信息时,可以看到跨区域的用户手机号码等个人信息。
处于“裸奔”状态的公民个人信息,是令黑灰产垂涎欲滴的猎物。威胁猎人于1月30日发布的《2023年互联网黑灰产研究年度报告》显示,2023年互联网黑灰产从业人数持续上升,从业人员数量达到587.1万,较2022年上升141%;2023年“公民个人信息”依旧是数据泄露的主要类型,占比超90%;泄露的主要原因包括运营商通道泄露、内鬼泄露、黑客攻击、安全意识问题等。这些数据提醒企业,严控内鬼泄露用户个人信息、防范黑客攻击盗取用户个人信息,是依法履行个人信息保护义务的关键。
根据已于2021年11月1日实施生效的《个人信息保护法》,采取安全管理措施,防止未经授权的访问以及个人信息泄露、篡改、丢失,是个人信息处理者的法定义务。上海市委网信办网络执法监督处副处长吴宏鸣在接受媒体采访时表示,从执法实践来看,无论是商家还是消费者,对相关法律法规的认知度以及个人信息权益的保护意识都亟待进一步加强。网信部门将始终坚持促进发展和依法治理相统一,采取多种手段,持续集中有效治理市民反映强烈的问题,坚决遏制个人信息被强制索取被滥用的乱象,推动企业主动履行个人信息保护义务,促进社会公众提高个人信息保护意识。