1.5億條會(huì)員個(gè)人信息未加密處理存在泄露風(fēng)險(xiǎn)����、企業(yè)內(nèi)部數(shù)據(jù)訪問權(quán)限設(shè)置不合規(guī)導(dǎo)致用戶信息可能被“一鍋端”、存儲(chǔ)個(gè)人信息的網(wǎng)絡(luò)系統(tǒng)存在可能被入侵攻擊的高危漏洞......近期�,上海市網(wǎng)信辦在“亮劍浦江”消費(fèi)領(lǐng)域個(gè)人信息權(quán)益保護(hù)專項(xiàng)執(zhí)法行動(dòng)“回頭看”檢查階段發(fā)現(xiàn),部分企業(yè)雖然已被約談要求整改或接受過普法培訓(xùn)����,仍然存在對(duì)消費(fèi)者個(gè)人信息收集存儲(chǔ)不合規(guī)、制度規(guī)范不健全�、管理措施不到位、安全防護(hù)不嚴(yán)密等問題��,屬于明知故犯���、心存僥幸�。上海市網(wǎng)信辦依法對(duì)一批未有效履行消費(fèi)者個(gè)人信息保護(hù)責(zé)任����、存在嚴(yán)重問題的知名企業(yè)予以行政處罰,這是地方網(wǎng)信辦在全國(guó)范圍內(nèi)首次依據(jù)《個(gè)人信息保護(hù)法》自主辦理的系列行政處罰案件�。現(xiàn)將部分典型案例通報(bào)如下↓
1.在收集環(huán)節(jié)
強(qiáng)制要、過度取個(gè)人信息問題依然存在
經(jīng)過前期的普法培訓(xùn)���、廣泛宣傳和重點(diǎn)整治��,大部分被檢查企業(yè)在個(gè)人信息收集環(huán)節(jié)能夠落實(shí)合規(guī)要求����,但仍有個(gè)別企業(yè)屢教不改。如某餐飲企業(yè)的外送微信小程序在收貨地址填寫環(huán)節(jié)�����,強(qiáng)制用戶同意打開精準(zhǔn)位置權(quán)限����,否則無法添加收貨地址,屬于對(duì)消費(fèi)者非必要個(gè)人信息強(qiáng)制索權(quán)����。
2.在存儲(chǔ)環(huán)節(jié)
大量個(gè)人信息未加密處于“裸奔”狀態(tài)
此類問題在執(zhí)法檢查中比較普遍,具有較大的數(shù)據(jù)泄露風(fēng)險(xiǎn)隱患���。如某火鍋餐飲連鎖企業(yè)存儲(chǔ)的手機(jī)號(hào)碼���、郵箱號(hào)碼等1.5億條會(huì)員個(gè)人信息以及包括身份證號(hào)碼在內(nèi)的18萬(wàn)條本公司員工個(gè)人信息,某停車掃碼SaaS平臺(tái)存儲(chǔ)的8000條包括手機(jī)號(hào)碼在內(nèi)的車主信息�����、196萬(wàn)條車牌信息�����,某大型商超購(gòu)物企業(yè)存儲(chǔ)的39萬(wàn)條家庭卡用戶的手機(jī)號(hào)碼����、身份證號(hào)碼等個(gè)人信息,某房產(chǎn)中介企業(yè)收集的200萬(wàn)條用戶數(shù)據(jù)中的20萬(wàn)條客戶手機(jī)號(hào)碼等個(gè)人信息�,以及某少兒培訓(xùn)機(jī)構(gòu)存儲(chǔ)的4萬(wàn)條學(xué)生姓名、監(jiān)護(hù)人手機(jī)號(hào)碼等個(gè)人信息�,均未按規(guī)定采取加密、去標(biāo)識(shí)化等安全保護(hù)措施����。
3.在使用傳輸環(huán)節(jié)
企業(yè)隨意授權(quán)放權(quán)管理不到位
檢查發(fā)現(xiàn),不少企業(yè)在個(gè)人信息的使用和傳輸環(huán)節(jié)內(nèi)控制度不嚴(yán)格����,存在諸多薄弱問題。如企業(yè)內(nèi)部操作權(quán)限設(shè)置不合理���,在沒有授權(quán)審批流程的情況下��,相關(guān)工作人員可以導(dǎo)出包括手機(jī)號(hào)碼在內(nèi)的用戶個(gè)人信息���,容易導(dǎo)致數(shù)據(jù)被濫用��;有房產(chǎn)中介企業(yè)經(jīng)紀(jì)人在查看后臺(tái)客源信息時(shí)����,可以看到跨區(qū)域的用戶手機(jī)號(hào)碼等個(gè)人信息�。
4.在管理制度上
企業(yè)關(guān)于個(gè)人信息保護(hù)措施明顯缺失
檢查發(fā)現(xiàn),這批被處罰的企業(yè)普遍存在個(gè)人信息保護(hù)制度不完善的問題���,大多未制定個(gè)人信息數(shù)據(jù)分類分級(jí)管理�、數(shù)據(jù)訪問權(quán)限管理��、安全應(yīng)急預(yù)案等制度���,部分未按照法律規(guī)定確定個(gè)人信息保護(hù)責(zé)任人�����,建立數(shù)據(jù)資產(chǎn)管理�、數(shù)據(jù)安全人員管理��、數(shù)據(jù)合作方管理等制度。
5.在安全防護(hù)上
網(wǎng)絡(luò)信息系統(tǒng)存在安全漏洞
經(jīng)技術(shù)檢測(cè)發(fā)現(xiàn)�,這批被處罰的企業(yè)存儲(chǔ)使用大量消費(fèi)者個(gè)人信息的網(wǎng)絡(luò)信息系統(tǒng)都不同程度存在安全漏洞,如一家房產(chǎn)中介企業(yè)的網(wǎng)絡(luò)安全高危漏洞達(dá)到7個(gè)�����,還有中低危漏洞8個(gè)��,易被不法分子利用����,存在大量數(shù)據(jù)被泄漏或被竊取等安全風(fēng)險(xiǎn)�����。
“亮劍浦江”專項(xiàng)行動(dòng)期間��,上海市區(qū)兩級(jí)網(wǎng)信����、市場(chǎng)監(jiān)管部門已累計(jì)檢查企業(yè)6043家,依法對(duì)520余家企業(yè)進(jìn)行約談��,查處各類個(gè)人信息保護(hù)案件50余件����。在現(xiàn)場(chǎng)檢查及后續(xù)執(zhí)法工作中���,相關(guān)企業(yè)能夠正視自身問題,按照監(jiān)管部門要求落實(shí)主體責(zé)任�,及時(shí)對(duì)暴露出的問題進(jìn)行有效整改,確保消費(fèi)者個(gè)人信息能被合規(guī)收集使用和有效保護(hù)���。
上海市網(wǎng)信辦相關(guān)負(fù)責(zé)人強(qiáng)調(diào)����,個(gè)人信息受法律保護(hù)����,關(guān)乎人民群眾切身利益,任何組織和個(gè)人不得侵害�����。下一步�,上海市網(wǎng)信辦將深入貫徹落實(shí)《個(gè)人信息保護(hù)法》等法律法規(guī)要求,持續(xù)加強(qiáng)個(gè)人信息保護(hù)工作��,督促企業(yè)切實(shí)履行好主體責(zé)任�,對(duì)問題嚴(yán)重�、屢教不改的企業(yè)堅(jiān)決予以依法查處���。
(原題為《上海網(wǎng)信部門處罰一批未盡消費(fèi)者個(gè)人信息保護(hù)義務(wù)單位 五大類問題值得關(guān)注》)
登錄
登錄
還沒賬號(hào)?立即注冊(cè)
點(diǎn)擊頭像快速登錄
請(qǐng)輸入驗(yàn)證碼