个人信息未加密处理存在泄露风险、企业内部数据访问权限设置不合规导致用户信息可能被“一锅端”、存储个人信息的网络系统存在可能被入侵攻击的高危漏洞……
近期,上海市网信办在“亮剑浦江”消费领域个人信息权益保护专项执法行动“回头看”检查阶段发现,部分企业虽然已被约谈要求整改或接受过普法培训,仍然存在对消费者个人信息收集存储不合规、制度规范不健全、管理措施不到位、安全防护不严密等问题,属于明知故犯、心存侥幸。
其中,知名火锅连锁品牌违法违规行为集中体现在两个环节:在收集个人信息环节,外送微信小程序仍在强制索取精准位置信息;在存储个人信息环节,创设近30年来形成的1.5亿条会员个人信息以及18万条公司员工信息未加密存储,多年来一直处于“裸奔”状态。
上海市网信办依法对一批未有效履行消费者个人信息保护责任、存在严重问题的知名企业予以行政处罚,这是地方网信办在全国范围内首次依据《个人信息保护法》自主办理的系列行政处罚案件。现将部分典型案例通报如下:
1. 在收集环节强制要、过度取个人信息问题依然存在
经过前期的普法培训、广泛宣传和重点整治,大部分被检查企业在个人信息收集环节能够落实合规要求,但仍有个别企业屡教不改。如某餐饮企业的外送微信小程序在收货地址填写环节,强制用户同意打开精准位置权限,否则无法添加收货地址,属于对消费者非必要个人信息强制索权。
2. 在存储环节大量个人信息未加密处于“裸奔”状态
此类问题在执法检查中比较普遍,具有较大的数据泄露风险隐患。如某停车扫码SaaS平台存储的8000条包括手机号码在内的车主信息、196万条车牌信息,某大型商超购物企业存储的39万条家庭卡用户的手机号码、身份证号码等个人信息,某房产中介企业收集的200万条用户数据中的20万条客户手机号码等个人信息,以及某少儿培训机构存储的4万条学生姓名、监护人手机号码等个人信息,均未按规定采取加密、去标识化等安全保护措施。
3. 在使用传输环节企业随意授权放权管理不到位
检查发现,不少企业在个人信息的使用和传输环节内控制度不严格,存在诸多薄弱问题。如企业内部操作权限设置不合理,在没有授权审批流程的情况下,相关工作人员可以导出包括手机号码在内的用户个人信息,容易导致数据被滥用;有房产中介企业经纪人在查看后台客源信息时,可以看到跨区域的用户手机号码等个人信息。
4. 在管理制度上企业关于个人信息保护措施明显缺失
检查发现,这批被处罚的企业普遍存在个人信息保护制度不完善的问题,大多未制定个人信息数据分类分级管理、数据访问权限管理、安全应急预案等制度,部分未按照法律规定确定个人信息保护责任人,建立数据资产管理、数据安全人员管理、数据合作方管理等制度。
5. 在安全防护上网络信息系统存在安全漏洞
经技术检测发现,这批被处罚的企业存储使用大量消费者个人信息的网络信息系统都不同程度存在安全漏洞,如一家房产中介企业的网络安全高危漏洞达到7个,还有中低危漏洞8个,易被不法分子利用,存在大量数据被泄漏或被窃取等安全风险。
下一步上海市网信办将深入贯彻落实个人信息保护法等法律法规要求,持续加强个人信息保护工作,督促企业切实履行好主体责任,对问题严重、屡教不改的企业坚决予以依法查处。
个人信息保护无小事,“六不”建议要牢记,做到“隐私政策不告知不继续”“非必要个人信息不提供”“一键要号码不允许”“‘被’会员诱关注不冲动”“定向推营销广告不接受”。
对企业来说,在收集、存储、使用、共享、转让、公开披露等信息处理环节中更应遵循法律法规,为此数治网小编整理以下相关落地实施导图、案例、指南以及解析等,希望对尽早履行法定保护义务能有所帮助。
国家标准支撑《数据安全法》、《个人信息保护法》落地实施导图双发布(附下载)
信安标委秘书处分析了《数据安全法》、《个人信息保护法》标准化需求,梳理出已有标准可为其中条款落地实施提供支撑,提出了下一步标准研制建议,供各方参阅。
Zed案例ㅣ中国移动:个人信息保护体系建设实践
中国移动以大数据业务合规平台为技术支持,以内外部专业团队及人员为人员支持,形成“三大业务合规库+2类合规基线+4大运营机制”的可持续迭代的合规机制。
为个人信息保护合规保驾护航 ISACA 发布最佳实践指南(附下载)
ISACA 兼顾个人信息保护要求与不同行业监管要求的同时,寻求数据要素利用与隐私保护的平衡,为组织个人信息保护能力成熟度评估项目落地提供一个最佳实践指南。
扫码消费服务违规处理个人信息案例解析
为切实保护消费者个人信息合法权益,综合对提供扫码消费服务二维码抽样测试情况,对六类常见易发违规问题进行案例解析,提出六条合规指引。
侵犯公民个人信息犯罪成因分析和治理对策
北京高院通过对近5年来全市法院审结的侵犯公民个人信息罪案件进行调研统计和实证分析,形成白皮书,以期为社会、行业综合治理提供司法智慧。
《个人信息保护法》实施两周年公众观察(附下载)
在公众感知观察部分,报告从两方面重点对公众个人信息保护现状感知度、个人信息保护意识评价、个人信息权利行使情况、个人信息保护技能知悉度等进行观察。
¥299 起成为数治网DTZed 星球会员,即可下载检索 1000+ 相关标准、白皮书、报告等。填写开通申请获取水准测评、冲刺刷题、案例巩固等更多会员权益。扫码添加老邪企业微信,加入数治要素x行业群: