1.5億條會員個人信息“裸奔”近30年?知名火鍋品牌被罰
1月29日,上海市網(wǎng)信辦通報稱,已依法對一批未有效履行消費者個人信息保護責任、存在嚴重問題的知名企業(yè)予以行政處罰。
記者通過采訪了解到,作為火鍋界“頂流”的某知名火鍋連鎖品牌赫然在列。
“裸奔”的會員信息
據(jù)上海市網(wǎng)信辦通報,上述知名火鍋連鎖品牌違法違規(guī)行為集中體現(xiàn)在兩個環(huán)節(jié):在收集個人信息環(huán)節(jié),其外送微信小程序仍在強制索取精準位置信息;在存儲個人信息環(huán)節(jié),其創(chuàng)設(shè)近30年來形成的1.5億條會員個人信息以及18萬條公司員工信息未加密存儲,“多年來一直處于‘裸奔’狀態(tài)”。
“這是對消費者最直接的風險,一旦信息發(fā)生了泄露,可能會造成無法挽回的損失。”上海市網(wǎng)信辦相關(guān)負責人指出。
據(jù)悉,1.5億條會員個人信息涉及的對象為該火鍋品牌創(chuàng)設(shè)至今收集的中國大陸地區(qū)會員,主要為會員的手機號碼、郵箱號碼等。而18萬條的員工個人信息甚至包括姓名、身份證號碼、手機號碼、家庭地址等在內(nèi)的比較敏感的個人信息。
公開資料顯示,作為知名連鎖品牌,該火鍋品牌創(chuàng)設(shè)至今已近30年,在中國大陸地區(qū)的餐廳更是超過千家。
對上述個人信息未加密、處于“裸奔”狀態(tài)的隱患,據(jù)不愿透露姓名的業(yè)內(nèi)專家分析,未加密的個人信息存在被“內(nèi)鬼”等盜取的危險。而通過“內(nèi)鬼”泄露而收集到的這些真實手機號碼,能偷窺到會員的消費習(xí)慣。如果結(jié)合在“暗網(wǎng)”售賣的其他數(shù)據(jù)源,就能更精準地對用戶進行畫像。
上海市網(wǎng)信辦相關(guān)人員補充說,泄露的個人信息還有可能被用于電信詐騙,“通過對個人信息的分析研判,電詐涉案人員可以判斷出你是否屬于容易上當?shù)奶厥馊巳骸薄?/p>
失范的“超級管理員”
如果說1.5億條的會員個人信息和18萬條的員工信息,因為未加密存在泄露的風險,那么該知名火鍋連鎖品牌超范圍賦予的“超級管理員”則進一步加劇了信息泄露的風險。
因為擁有最高權(quán)限和不受限制的完全訪問權(quán),所謂的“超級管理員”在設(shè)置時一般嚴控數(shù)量。記者從上海市網(wǎng)信辦了解到,在檢查上述火鍋品牌時,技術(shù)人員發(fā)現(xiàn)其會員運營管理平臺的“超級管理員”賬號竟然高達20余個。
“企業(yè)運營系統(tǒng)設(shè)置的‘超級管理員’一般都在1-2名,且是專人專責管理。該火鍋品牌明顯存在操作權(quán)限分配不合理。”參與檢查的技術(shù)人員告訴記者,此舉更是加劇了會員個人信息泄露風險,“會員個人信息泄露的概率一下子就會變成1:20以上”。
對為何設(shè)置如此之多的“超級管理員”,該火鍋品牌稱是為了系統(tǒng)測試需要。
至于18萬條的員工個人信息,據(jù)介紹,該火鍋品牌的人事系統(tǒng)部分賬號同樣可以查到包括身份證號碼、家庭地址等在內(nèi)的個人敏感信息。
此外,記者了解到,在收集個人信息環(huán)節(jié),該火鍋品牌外送微信小程序在填寫收貨地址信息時,還強制用戶同意打開位置權(quán)限獲取精準位置信息,否則無法添加收貨地址,存在強制索取非必要權(quán)限問題。
這一違法違規(guī)行為目前已完成整改。日前點擊其外送微信小程序中的“收貨地址”一欄發(fā)現(xiàn),當前相關(guān)小程序不再強制采集精準位置信息,用戶已經(jīng)可以手動選擇地點或填寫收貨地址。
亟需提高的合規(guī)意識
針對該火鍋品牌查實的違法違規(guī)行為,上海市網(wǎng)信辦相關(guān)負責人強調(diào),企業(yè)提高個人信息安全保護的合規(guī)意識至關(guān)重要?!捌髽I(yè)收集的信息量越大,收集信息內(nèi)容越敏感,企業(yè)相應(yīng)要承擔的法律責任就應(yīng)該越嚴格。而企業(yè)合規(guī)意識的缺失,就意味著消費者個人信息泄露的風險越大?!?/p>
上海市網(wǎng)信辦相關(guān)負責人同時表示,個人信息受法律保護、關(guān)乎切身利益,任何組織和個人不得侵害。此次上海市網(wǎng)信辦通過發(fā)布典型案例,希望對行業(yè)對相關(guān)企業(yè)能起到“以案示警、以案為戒、以案促改”的警示教育意義,有助于各企業(yè)固強補弱,提高保護消費者個人信息的合規(guī)意識,切實履行個人信息保護的義務(wù)和法律責任。
數(shù)據(jù)顯示,2023年6月啟動的“亮劍浦江”專項行動,上海市區(qū)兩級網(wǎng)信、市場監(jiān)管部門已累計檢查企業(yè)6043家,依法對520余家企業(yè)進行約談,查處各類個人信息保護案件50余件。
上海市網(wǎng)信辦表示,下一步將深入貫徹落實個人信息保護法等法律法規(guī)要求,持續(xù)加強個人信息保護工作,督促企業(yè)切實履行好主體責任,對問題嚴重、屢教不改的企業(yè)堅決予以依法查處。
上海市網(wǎng)信辦還提醒消費者,在日常點餐中可積極落實上海市網(wǎng)信辦提出的“六不”建議,做到“隱私政策不告知不繼續(xù)”“非必要個人信息不提供”“一鍵要號碼不允許”“‘被’會員誘關(guān)注不沖動”“定向推營銷廣告不接受”。
在信息化背景下,注冊會員可謂是商家的一貫套路,其中面臨的個人信息泄露風險可想而知,這種情況在婚戀交友平臺上更甚。此前,就曾有媒體發(fā)布調(diào)查報道,披露世紀佳緣有線下門店存在會員個人隱私信息泄露等問題。
被曝員工通過后臺可以
隨意查看用戶個人信息
為進行調(diào)查,記者以應(yīng)聘的形式臥底進入世紀佳緣網(wǎng)線下一家門店。經(jīng)半個月調(diào)查發(fā)現(xiàn),培訓(xùn)上崗后,該門店即為上述記者開通了后臺權(quán)限,而通過世紀佳緣網(wǎng)后臺可以隨意查看用戶個人信息,包括會員瀏覽的異性照片記錄、聊天記錄等。世紀佳緣稱此舉是為了對用戶進行“精準營銷”。
此外,還有相關(guān)人士透露,即使工作人員看到“殺豬盤”套路詐騙,也要無視,避免用戶舉報公司侵犯個人隱私。
另外,該媒體調(diào)查還發(fā)現(xiàn),世紀佳緣還存在部分銷售人員會故意注冊成為其他婚戀平臺會員或者參加線下相親活動,以套取客戶資源這類惡意競爭行為。
在媒體發(fā)布調(diào)查報道之后,世紀佳緣在其官微上致歉。
致歉聲明稱,為更好地為用戶提供更加精準的匹配和介紹,業(yè)務(wù)層面上向公司部分一線工作人員開放部分用戶信息讓一線的工作人員(紅娘)積極發(fā)現(xiàn)用戶的問題和實際需求,從而更好地服務(wù)用戶。但在實際工作中出現(xiàn)了濫用職權(quán)查閱用戶信息的嚴重違規(guī)行為,公司負有不可推卸的責任。目前公司已經(jīng)在后臺開始去除此功能。
律師說法:
屬于“過度收集個人信息”行為
有律師指出,婚戀平臺這一行為,明顯超過了平臺合理的商用目的,屬于“過度收集個人信息”行為,且未通過“顯著方式”向用戶履行告知義務(wù),觸犯《個人信息保護法》第六條規(guī)定。根據(jù)規(guī)定,處理個人信息應(yīng)當具有明確、合理的目的,并應(yīng)當與處理目的直接相關(guān),采取對個人權(quán)益影響最小的方式。收集個人信息,應(yīng)當限于實現(xiàn)處理目的的最小范圍,“不得過度收集個人信息。”
同時,其不合理的收集、存儲行為,也極有可能觸犯了《數(shù)字安全法》和《網(wǎng)絡(luò)安全法》的相關(guān)規(guī)定。“至于具體違反了哪些條款,要看平臺的具體技術(shù)行為來認定,目前下不了判斷?!鄙鲜雎蓭熣f。
據(jù)報道,在世紀佳緣,向會員公開報價被認為是一種禁忌。即便有明確的服務(wù)價格手冊,但對于不同收入的會員,銷售紅娘也被要求“見人開價”。記者調(diào)查發(fā)現(xiàn),世紀佳緣的線下門店內(nèi)均有服務(wù)價格手冊,“一對一服務(wù)套餐”價格主要分為5檔:18800元、28800元、48800元、68800元和108800元,但各收費標準對應(yīng)的服務(wù)內(nèi)容含糊不清。在實際報價環(huán)節(jié),該服務(wù)手冊只起到參考作用,銷售紅娘會根據(jù)會員的綜合情況,自行設(shè)定約見人數(shù),簽單價格也因人而異。
號稱有2.2億會員
曾被工信部、江蘇省消保委點名
官網(wǎng)顯示,世紀佳緣為一家婚戀交友平臺,創(chuàng)立于2003年。截至2016年7月,世紀佳緣用戶注冊總數(shù)超1.7億。
值得注意的是,在2020年7月,工信部通報的58款侵害用戶權(quán)益行為的App中,世紀佳緣赫然在列,具體原因為私自收集個人信息;私自共享給第三方;強制用戶使用定向推送功能。
2021年9月,世紀佳緣還因?qū)徍寺┒?、涉虛假宣傳等被江蘇省消保委點名。