1.5亿条会员信息“裸奔”多年!火锅界“顶流”被罚
1月29日,上海市网信办通报称,一批未能有效履行个人信息保护责任、存在严重问题的知名企业被依法给予行政处罚。记者通过采访了解到,一家作为火锅行业“顶流”的知名火锅连锁品牌赫然在列。
图源人民网图源人民网
据上海市网信办通报,上述知名火锅连锁品牌在两个方面存在违法违规行为:在收集个人信息过程中,其送餐微信小程序仍强制要求提供准确位置信息;在存储个人信息的过程中,其近30年来形成的1.5亿条会员个人信息和18万条员工信息未加密存储,“多年来一直处于裸奔状态”。华为老板
“这是对消费者最直接的风险。一旦信息泄露,可能会造成不可挽回的损失。”上海市网信办相关负责人指出。
01
18万条“裸奔”会员信息
据上海市网信办介绍,对上述知名火锅连锁品牌违法行为的查处时间为2023年10月底至11月。为切实巩固“梁健浦江”个人信息权益保护专项执法行动成效,上海市互联网信息办公室开展“回头看”执法检查,该火锅品牌是执法检查对象之一。
在对外发布的公告中,上海市网信办表示,该火锅品牌1.5亿条个人信息和18万条员工信息未加密。
记者进一步获悉,这1.5亿条会员个人信息与自火锅品牌成立以来在中国大陆地区收集的会员有关,主要是会员的手机号码和电子邮件号码。而18万条员工个人信息甚至包括姓名、身份证号、手机号、家庭住址等敏感个人信息。
公开资料显示,作为知名连锁品牌,该火锅品牌已成立近30年,在中国大陆有1000多家餐厅。
据不愿具名的业内专家分析,上述个人信息存在被“内部人士”窃取等危险。这些通过“内鬼”泄露收集的真实手机号码,可以窥视会员的消费习惯。如果结合“暗网”中出售的其他数据源,可以更准确地刻画用户。
上海市网信办相关人员补充说,泄露的个人信息还可能被用于电信诈骗。“通过对个人信息的分析和判断,参与电子诈骗的人可以判断你是否属于容易上当受骗的特殊群体。”
02
失范的“超级管理员”
如果说1.5亿条会员个人信息和18万条员工信息因未加密而存在泄露风险,那么知名火锅连锁品牌超范围赠送的“超级管理员”则进一步加剧了信息泄露风险。
由于最高权限和不受限制的完全访问权限,所谓的“超级管理员”在设置时一般会严格控制数量。上海市网信办表示,技术人员在检查上述火锅品牌时发现,其会员运营管理平台上有20多个“超级管理员”账号。
“企业操作系统中一般有1-2名‘超级管理员’,由他们专门负责管理。该火锅品牌明显存在经营权分配不合理的问题。”参与检查的技术人员告诉记者,此举加剧了会员个人信息泄露的风险。“会员个人信息泄露的概率会突然变成1:20以上。”
至于为什么会有这么多“超级管理员”,该火锅品牌声称是为了系统测试的需要。
至于18万名员工的个人信息,据报道,该火锅品牌人事系统的一些账户也可以找到包括身份证号码和家庭住址在内的个人敏感信息。腊八豆腐
此外,记者了解到,在收集个人信息的过程中,火锅品牌送餐微信小程序在填写送餐地址信息时,还强制要求用户同意开通位置权限以获取准确的位置信息,否则无法添加送餐地址,存在强制请求不必要权限的问题。
这一违法行为已被纠正。日前,记者点击其外送微信小程序中的“送货地址”一栏发现,相关小程序不再强制收集准确的位置信息,用户可以手动选择地点或填写送货地址。
03
合规意识亟待提高
上述知名火锅品牌作为实力超群的行业顶级玩家,在个人信息保护方面仍存在如此严重的问题,其他企业是如何做到的可想而知。
事实上,餐饮行业曾多次陷入用户信息安全的舆论漩涡。
2023年3月,上海市消保委和上海市互联网信息办公室联合对“蜜雪冰城”“茶百道”“CoCo可可”“沈大成”“七分甜”等29家上海知名奶茶店和快餐店进行了调查。有人发现,网络名人中的一个著名连锁茶饮品牌每次接到订单时都可以生成87条数据。截至2023年3月,该品牌已产生超过100亿条用户信息数据。其中,消费者姓名、电话号码、收货地址经纬度等敏感个人信息6.7亿条。
图源南方周末图源南方周末
针对企业的违法违规行为,上海市网信办相关负责人强调,企业提高个人信息安全保护的合规意识非常重要。“企业收集的信息量越大,收集的信息内容就越敏感,企业相应应承担的法律责任就越严格。企业合规意识的缺失意味着消费者个人信息泄露的风险越大。”
为保护个人信息安全,上海市网信办还提醒广大消费者,在日常点餐时可积极落实上海市网信办提出的“六不”建议,做到“不告知隐私政策、不提供非必要个人信息”、“不允许一键取号”、“被会员吸引不冲动”、“不接受定向营销广告”。
萝卜丝饼的做法