上海網信部門處罰一批未盡消費者個人信息保護義務單位

原標題:上海網信部門處罰一批未盡消費者個人信息保護義務單位

1.5億條會員個人信息未加密處理存在泄露風險、企業內部數據訪問權限設置不合規導致用戶信息可能被“一鍋端”、存儲個人信息的網絡係統存在可能被入侵攻擊的高危漏洞......近期,上海市網信辦在“亮劍浦江”消費領域個人信息權益保護專項執法行動“回頭看”檢查階段發現,部分企業雖然已被約談要求整改或接受過普法培訓,仍然存在對消費者個人信息收集存儲不合規、製度規範不健全、管理措施不到位、安全防護不嚴密等問題,屬於明知故犯、心存僥幸。上海市網信辦依法對一批未有效履行消費者個人信息保護責任、存在嚴重問題的知名企業予以行政處罰,這是地方網信辦在全國範圍內首次依據《個人信息保護法》自主辦理的係列行政處罰案件。現將部分典型案例通報如下↓

1.在收集環節

強製要、過度取個人信息問題依然存在

經過前期的普法培訓、廣泛宣傳和重點整治,大部分被檢查企業在個人信息收集環節能夠落實合規要求,但仍有個別企業屢教不改。如某餐飲企業的外送微信小程序在收貨地址填寫環節,強製用戶同意打開精準位置權限,否則無法添加收貨地址,屬於對消費者非必要個人信息強製索權。

2.在存儲環節

大量個人信息未加密處於“裸奔”狀態

此類問題在執法檢查中比較普遍,具有較大的數據泄露風險隱患。如某火鍋餐飲連鎖企業存儲的手機號碼、郵箱號碼等1.5億條會員個人信息以及包括身份證號碼在內的18萬條本公司員工個人信息,某停車掃碼SaaS平台存儲的8000條包括手機號碼在內的車主信息、196萬條車牌信息,某大型商超購物企業存儲的39萬條家庭卡用戶的手機號碼、身份證號碼等個人信息,某房產中介企業收集的200萬條用戶數據中的20萬條客戶手機號碼等個人信息,以及某少兒培訓機構存儲的4萬條學生姓名、監護人手機號碼等個人信息,均未按規定采取加密、去標識化等安全保護措施。

3.在使用傳輸環節

企業隨意授權放權管理不到位

檢查發現,不少企業在個人信息的使用和傳輸環節內控製度不嚴格,存在諸多薄弱問題。如企業內部操作權限設置不合理,在沒有授權審批流程的情況下,相關工作人員可以導出包括手機號碼在內的用戶個人信息,容易導致數據被濫用;有房產中介企業經紀人在查看後台客源信息時,可以看到跨區域的用戶手機號碼等個人信息。

4.在管理製度上

企業關於個人信息保護措施明顯缺失

檢查發現,這批被處罰的企業普遍存在個人信息保護製度不完善的問題,大多未製定個人信息數據分類分級管理、數據訪問權限管理、安全應急預案等製度,部分未按照法律規定確定個人信息保護責任人,建立數據資產管理、數據安全人員管理、數據合作方管理等製度。

5.在安全防護上

網絡信息係統存在安全漏洞

經技術檢測發現,這批被處罰的企業存儲使用大量消費者個人信息的網絡信息係統都不同程度存在安全漏洞,如一家房產中介企業的網絡安全高危漏洞達到7個,還有中低危漏洞8個,易被不法分子利用,存在大量數據被泄漏或被竊取等安全風險。

“亮劍浦江”專項行動期間,上海市區兩級網信、市場監管部門已累計檢查企業6043家,依法對520餘家企業進行約談,查處各類個人信息保護案件50餘件。在現場檢查及後續執法工作中,相關企業能夠正視自身問題,按照監管部門要求落實主體責任,及時對暴露出的問題進行有效整改,確保消費者個人信息能被合規收集使用和有效保護。

上海市網信辦相關負責人強調,個人信息受法律保護,關乎人民群眾切身利益,任何組織和個人不得侵害。下一步,上海市網信辦將深入貫徹落實《個人信息保護法》等法律法規要求,持續加強個人信息保護工作,督促企業切實履行好主體責任,對問題嚴重、屢教不改的企業堅決予以依法查處。返回搜狐,查看更多

責任編輯:

平台聲明:該文觀點僅代表作者本人,搜狐號係信息發布平台,搜狐僅提供信息存儲空間服務。
閱讀 ()
推薦閱讀