您的位置: 萧山网 >  新闻中心 >  综合新闻 >  国内 > 

1.5亿条会员个人信息“裸奔”近30年?知名火锅品牌被罚

[ 国内 ]    
2024
01-30
17:43

1月29日,上海市网信办通报称,已依法对一批未有效履行消费者个人信息保护责任、存在严重问题的知名企业予以行政处罚。

记者通过采访了解到,作为火锅界“顶流”的某知名火锅连锁品牌赫然在列。


“裸奔”的会员信息

据上海市网信办通报,上述知名火锅连锁品牌违法违规行为集中体现在两个环节:在收集个人信息环节,其外送微信小程序仍在强制索取精准位置信息;在存储个人信息环节,其创设近30年来形成的1.5亿条会员个人信息以及18万条公司员工信息未加密存储,“多年来一直处于‘裸奔’状态”。

“这是对消费者最直接的风险,一旦信息发生了泄露,可能会造成无法挽回的损失。”上海市网信办相关负责人指出。

据悉,1.5亿条会员个人信息涉及的对象为该火锅品牌创设至今收集的中国大陆地区会员,主要为会员的手机号码、邮箱号码等。而18万条的员工个人信息甚至包括姓名、身份证号码、手机号码、家庭地址等在内的比较敏感的个人信息。

公开资料显示,作为知名连锁品牌,该火锅品牌创设至今已近30年,在中国大陆地区的餐厅更是超过千家。

对上述个人信息未加密、处于“裸奔”状态的隐患,据不愿透露姓名的业内专家分析,未加密的个人信息存在被“内鬼”等盗取的危险。而通过“内鬼”泄露而收集到的这些真实手机号码,能偷窥到会员的消费习惯。如果结合在“暗网”售卖的其他数据源,就能更精准地对用户进行画像。

上海市网信办相关人员补充说,泄露的个人信息还有可能被用于电信诈骗,“通过对个人信息的分析研判,电诈涉案人员可以判断出你是否属于容易上当的特殊人群”。


失范的“超级管理员”

如果说1.5亿条的会员个人信息和18万条的员工信息,因为未加密存在泄露的风险,那么该知名火锅连锁品牌超范围赋予的“超级管理员”则进一步加剧了信息泄露的风险。

因为拥有最高权限和不受限制的完全访问权,所谓的“超级管理员”在设置时一般严控数量。记者从上海市网信办了解到,在检查上述火锅品牌时,技术人员发现其会员运营管理平台的“超级管理员”账号竟然高达20余个。

“企业运营系统设置的‘超级管理员’一般都在1-2名,且是专人专责管理。该火锅品牌明显存在操作权限分配不合理。”参与检查的技术人员告诉记者,此举更是加剧了会员个人信息泄露风险,“会员个人信息泄露的概率一下子就会变成1:20以上”。

对为何设置如此之多的“超级管理员”,该火锅品牌称是为了系统测试需要。

至于18万条的员工个人信息,据介绍,该火锅品牌的人事系统部分账号同样可以查到包括身份证号码、家庭地址等在内的个人敏感信息。

此外,记者了解到,在收集个人信息环节,该火锅品牌外送微信小程序在填写收货地址信息时,还强制用户同意打开位置权限获取精准位置信息,否则无法添加收货地址,存在强制索取非必要权限问题。

这一违法违规行为目前已完成整改。日前点击其外送微信小程序中的“收货地址”一栏发现,当前相关小程序不再强制采集精准位置信息,用户已经可以手动选择地点或填写收货地址。


亟需提高的合规意识

针对该火锅品牌查实的违法违规行为,上海市网信办相关负责人强调,企业提高个人信息安全保护的合规意识至关重要。“企业收集的信息量越大,收集信息内容越敏感,企业相应要承担的法律责任就应该越严格。而企业合规意识的缺失,就意味着消费者个人信息泄露的风险越大。”

上海市网信办相关负责人同时表示,个人信息受法律保护、关乎切身利益,任何组织和个人不得侵害。此次上海市网信办通过发布典型案例,希望对行业对相关企业能起到“以案示警、以案为戒、以案促改”的警示教育意义,有助于各企业固强补弱,提高保护消费者个人信息的合规意识,切实履行个人信息保护的义务和法律责任。

数据显示,2023年6月启动的“亮剑浦江”专项行动,上海市区两级网信、市场监管部门已累计检查企业6043家,依法对520余家企业进行约谈,查处各类个人信息保护案件50余件。

上海市网信办表示,下一步将深入贯彻落实个人信息保护法等法律法规要求,持续加强个人信息保护工作,督促企业切实履行好主体责任,对问题严重、屡教不改的企业坚决予以依法查处。

上海市网信办还提醒消费者,在日常点餐中可积极落实上海市网信办提出的“六不”建议,做到“隐私政策不告知不继续”“非必要个人信息不提供”“一键要号码不允许”“‘被’会员诱关注不冲动”“定向推营销广告不接受”。


在信息化背景下,注册会员可谓是商家的一贯套路,其中面临的个人信息泄露风险可想而知,这种情况在婚恋交友平台上更甚。此前,就曾有媒体发布调查报道,披露世纪佳缘有线下门店存在会员个人隐私信息泄露等问题。


被曝员工通过后台可以

随意查看用户个人信息

为进行调查,记者以应聘的形式卧底进入世纪佳缘网线下一家门店。经半个月调查发现,培训上岗后,该门店即为上述记者开通了后台权限,而通过世纪佳缘网后台可以随意查看用户个人信息,包括会员浏览的异性照片记录、聊天记录等。世纪佳缘称此举是为了对用户进行“精准营销”。

此外,还有相关人士透露,即使工作人员看到“杀猪盘”套路诈骗,也要无视,避免用户举报公司侵犯个人隐私。

另外,该媒体调查还发现,世纪佳缘还存在部分销售人员会故意注册成为其他婚恋平台会员或者参加线下相亲活动,以套取客户资源这类恶意竞争行为。

在媒体发布调查报道之后,世纪佳缘在其官微上致歉。

致歉声明称,为更好地为用户提供更加精准的匹配和介绍,业务层面上向公司部分一线工作人员开放部分用户信息让一线的工作人员(红娘)积极发现用户的问题和实际需求,从而更好地服务用户。但在实际工作中出现了滥用职权查阅用户信息的严重违规行为,公司负有不可推卸的责任。目前公司已经在后台开始去除此功能。


律师说法:

属于“过度收集个人信息”行为

有律师指出,婚恋平台这一行为,明显超过了平台合理的商用目的,属于“过度收集个人信息”行为,且未通过“显著方式”向用户履行告知义务,触犯《个人信息保护法》第六条规定。根据规定,处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围,“不得过度收集个人信息。”

同时,其不合理的收集、存储行为,也极有可能触犯了《数字安全法》和《网络安全法》的相关规定。“至于具体违反了哪些条款,要看平台的具体技术行为来认定,目前下不了判断。”上述律师说。

据报道,在世纪佳缘,向会员公开报价被认为是一种禁忌。即便有明确的服务价格手册,但对于不同收入的会员,销售红娘也被要求“见人开价”。记者调查发现,世纪佳缘的线下门店内均有服务价格手册,“一对一服务套餐”价格主要分为5档:18800元、28800元、48800元、68800元和108800元,但各收费标准对应的服务内容含糊不清。在实际报价环节,该服务手册只起到参考作用,销售红娘会根据会员的综合情况,自行设定约见人数,签单价格也因人而异。


号称有2.2亿会员

曾被工信部、江苏省消保委点名

官网显示,世纪佳缘为一家婚恋交友平台,创立于2003年。截至2016年7月,世纪佳缘用户注册总数超1.7亿。

值得注意的是,在2020年7月,工信部通报的58款侵害用户权益行为的App中,世纪佳缘赫然在列,具体原因为私自收集个人信息;私自共享给第三方;强制用户使用定向推送功能。

2021年9月,世纪佳缘还因审核漏洞、涉虚假宣传等被江苏省消保委点名。


来源:综合澎湃新闻、每日经济新闻、@世纪佳缘、红星新闻、微博等  

作者:  

编辑:蔡少鸣
相关新闻
推荐阅读