在吃火锅的时候,作为会员,要注意自己的手机号等个人信息是“裸跑”的。
1月29日,上海市网信办宣布,对一批未切实履行消费者个人信息保护责任、存在严重问题的知名企业实施行政处罚。 记者通过采访了解到,某知名火锅连锁品牌,作为火锅行业的“头流”,上市情况令人印象深刻。
据中国上海市网信办机构介绍,上述知名火锅连锁品牌的违法违规行为主要体现在两个环节:在收集个人信息的过程中,其微信小程序仍在强行索要精确位置信息; 在存储个人信息的过程中,它已经建立了近30年5亿条会员个人信息和18万条公司员工信息未加密存储,“多年来一直处于'裸奔'状态”。
这是对消费者最直接的风险,一旦信息泄露,可能会造成无法弥补的损害。 上海市网信办有关负责人指出。
“Streak”的会员信息。
据上海市国家互联网信息办公室消息,对上述知名火锅连锁品牌违法违规行为的调查时间为2023年10月底至11月。 为有效巩固“两建浦江”个人信息权益保护专项执法行动的效力,上海市网信办开展“追溯性”执法检查,火锅品牌成为执法检查对象之一。
在向公众发布的通知中,上海市网信办表示,火锅品牌1会员个人信息5亿条,员工信息18万条未加密。
澎湃新闻进一步了解到,1这5亿条会员个人信息是火锅品牌成立以来在中国大陆收集的会员,主要是会员的手机号码、邮箱号码等。 这18万条员工个人信息中甚至包括姓名、身份证号码、手机号码、家庭住址等敏感个人信息。
据公开资料显示,火锅品牌作为知名连锁品牌,成立近30年,在中国大陆拥有1000多家餐厅。
据不愿透露姓名的业内专家分析,未加密的个人信息有被“鬼”窃取的危险。 通过“内鬼”泄露收集到的真实手机号码,可以用来了解会员的消费习惯。 如果与“暗网”上出售的其他数据源相结合,可以更准确地分析用户。
上海市网信办补充说,泄露的个人信息也可能被用于电信诈骗,“通过对个人信息的分析和判断,参与电汇诈骗的人可以判断你是否属于容易上当受骗的特殊人群。
Anomie “超级管理员”。
如果你说 15亿条会员个人信息和18万条员工信息因未加密而面临泄露风险,知名火锅连锁品牌给出的“超级管理员”进一步加剧了信息泄露风险。
由于最高权限和不受限制的完全访问权限,所谓的“超级管理员”通常设置了严格数量的超级管理员。 澎湃新闻从上海市网信办获悉,技术人员在对上述火锅品牌进行检查时发现,其会员运营管理平台上有20多个“超级管理员”账号。
企业操作系统中设置的“超级管理员”一般为1-2人,专门负责管理。 火锅品牌显然存在经营权分配不合理的问题。 参与检查的技术人员告诉澎湃新闻,此举加剧了会员个人信息泄露的风险,“会员个人信息泄露的概率将突然变为1:20以上”。
至于为什么会有这么多“超级管理员”,火锅品牌表示,是为了系统测试的需要。
至于员工的18万条个人信息,据介绍,火锅品牌人事系统的一些账号还可以找到敏感的个人信息,包括身份证号码、家庭住址等。
此外,澎湃新闻了解到,在收集个人信息的过程中,火锅品牌的微信小程序在填写收货地址信息时,还强制用户同意开通位置权限,以获取准确的位置信息,否则无法添加收货地址,存在强制请求不必要的权限问题。
这种违反法律法规的行为现已得到纠正。 澎湃新闻近日点击其投递微信小程序中的“收货地址”栏目,发现目前相关小程序不再强制收集准确的位置信息,用户可以手动选择位置或填写收货地址。
迫切需要提高合规意识
针对火锅品牌查实的违法行为,上海市网信办相关负责人强调,企业提升个人信息安全保护合规意识至关重要。 “企业收集的信息量越大,收集的信息内容越敏感,企业的法律责任就应该越严格。 企业合规意识的缺失,意味着消费者个人信息泄露的风险更大。 ”
同时,上海市网信办相关负责人表示,个人信息受法律保护,关系到切身利益,任何组织和个人都不得侵犯。 上海市国家互联网信息办公室希望通过典型案例的发布,对行业和相关企业起到警示和教育意义,帮助企业强短补短,提高消费者个人信息保护合规意识,切实履行个人信息保护义务和法律责任。
数据显示,在2023年6月启动的“亮剑浦江”专项行动中,上海市两级网信和市场监管部门共对企业6043家企业进行检查,依法约谈企业520余家,查处各类个人信息保护案件50余起。
上海市国家互联网信息办公室表示,下一步将深入落实个人信息保护等法律法规要求,继续加强个人信息保护,督促企业切实履行主体责任,对存在严重问题、屡拒不改风的企业,坚决查处。
上海市国家互联网信息办公室也提醒消费者,在日常订购中可以积极落实上海市国家互联网信息办公室提出的“六不”建议,做到“隐私政策不告知,不会继续”、“不提供不必要的个人信息”、“不允许一键式号码”、“'诱惑'会员不冲动”, 以及“不接受定向营销广告”。
据澎湃新闻报道。