1.5億條會(huì)員個(gè)人信息“裸奔”近30年？知名火鍋品牌被罰

1月29日，上海市網(wǎng)信辦通報(bào)稱，已依法對(duì)一批未有效履行消費(fèi)者個(gè)人信息保護(hù)責(zé)任、存在嚴(yán)重問題的知名企業(yè)予以行政處罰。

記者通過采訪了解到，作為火鍋界“頂流”的某知名火鍋連鎖品牌赫然在列。

“裸奔”的會(huì)員信息

據(jù)上海市網(wǎng)信辦通報(bào)，上述知名火鍋連鎖品牌違法違規(guī)行為集中體現(xiàn)在兩個(gè)環(huán)節(jié)：在收集個(gè)人信息環(huán)節(jié)，其外送微信小程序仍在強(qiáng)制索取精準(zhǔn)位置信息；在存儲(chǔ)個(gè)人信息環(huán)節(jié)，其創(chuàng)設(shè)近30年來形成的1.5億條會(huì)員個(gè)人信息以及18萬條公司員工信息未加密存儲(chǔ)，“多年來一直處于‘裸奔’狀態(tài)”。

“這是對(duì)消費(fèi)者最直接的風(fēng)險(xiǎn)，一旦信息發(fā)生了泄露，可能會(huì)造成無法挽回的損失?！鄙虾Ｊ芯W(wǎng)信辦相關(guān)負(fù)責(zé)人指出。

據(jù)悉，1.5億條會(huì)員個(gè)人信息涉及的對(duì)象為該火鍋品牌創(chuàng)設(shè)至今收集的中國(guó)大陸地區(qū)會(huì)員，主要為會(huì)員的手機(jī)號(hào)碼、郵箱號(hào)碼等。而18萬條的員工個(gè)人信息甚至包括姓名、身份證號(hào)碼、手機(jī)號(hào)碼、家庭地址等在內(nèi)的比較敏感的個(gè)人信息。

公開資料顯示，作為知名連鎖品牌，該火鍋品牌創(chuàng)設(shè)至今已近30年，在中國(guó)大陸地區(qū)的餐廳更是超過千家。

對(duì)上述個(gè)人信息未加密、處于“裸奔”狀態(tài)的隱患，據(jù)不愿透露姓名的業(yè)內(nèi)專家分析，未加密的個(gè)人信息存在被“內(nèi)鬼”等盜取的危險(xiǎn)。而通過“內(nèi)鬼”泄露而收集到的這些真實(shí)手機(jī)號(hào)碼，能偷窺到會(huì)員的消費(fèi)習(xí)慣。如果結(jié)合在“暗網(wǎng)”售賣的其他數(shù)據(jù)源，就能更精準(zhǔn)地對(duì)用戶進(jìn)行畫像。

上海市網(wǎng)信辦相關(guān)人員補(bǔ)充說，泄露的個(gè)人信息還有可能被用于電信詐騙，“通過對(duì)個(gè)人信息的分析研判，電詐涉案人員可以判斷出你是否屬于容易上當(dāng)?shù)奶厥馊巳骸薄?/p>

失范的“超級(jí)管理員”

如果說1.5億條的會(huì)員個(gè)人信息和18萬條的員工信息，因?yàn)槲醇用艽嬖谛孤兜娘L(fēng)險(xiǎn)，那么該知名火鍋連鎖品牌超范圍賦予的“超級(jí)管理員”則進(jìn)一步加劇了信息泄露的風(fēng)險(xiǎn)。

因?yàn)閾碛凶罡邫?quán)限和不受限制的完全訪問權(quán)，所謂的“超級(jí)管理員”在設(shè)置時(shí)一般嚴(yán)控?cái)?shù)量。記者從上海市網(wǎng)信辦了解到，在檢查上述火鍋品牌時(shí)，技術(shù)人員發(fā)現(xiàn)其會(huì)員運(yùn)營(yíng)管理平臺(tái)的“超級(jí)管理員”賬號(hào)竟然高達(dá)20余個(gè)。

“企業(yè)運(yùn)營(yíng)系統(tǒng)設(shè)置的‘超級(jí)管理員’一般都在1-2名，且是專人專責(zé)管理。該火鍋品牌明顯存在操作權(quán)限分配不合理。”參與檢查的技術(shù)人員告訴記者，此舉更是加劇了會(huì)員個(gè)人信息泄露風(fēng)險(xiǎn)，“會(huì)員個(gè)人信息泄露的概率一下子就會(huì)變成1:20以上”。

對(duì)為何設(shè)置如此之多的“超級(jí)管理員”，該火鍋品牌稱是為了系統(tǒng)測(cè)試需要。

至于18萬條的員工個(gè)人信息，據(jù)介紹，該火鍋品牌的人事系統(tǒng)部分賬號(hào)同樣可以查到包括身份證號(hào)碼、家庭地址等在內(nèi)的個(gè)人敏感信息。

此外，記者了解到，在收集個(gè)人信息環(huán)節(jié)，該火鍋品牌外送微信小程序在填寫收貨地址信息時(shí)，還強(qiáng)制用戶同意打開位置權(quán)限獲取精準(zhǔn)位置信息，否則無法添加收貨地址，存在強(qiáng)制索取非必要權(quán)限問題。

這一違法違規(guī)行為目前已完成整改。日前點(diǎn)擊其外送微信小程序中的“收貨地址”一欄發(fā)現(xiàn)，當(dāng)前相關(guān)小程序不再?gòu)?qiáng)制采集精準(zhǔn)位置信息，用戶已經(jīng)可以手動(dòng)選擇地點(diǎn)或填寫收貨地址。

亟需提高的合規(guī)意識(shí)

針對(duì)該火鍋品牌查實(shí)的違法違規(guī)行為，上海市網(wǎng)信辦相關(guān)負(fù)責(zé)人強(qiáng)調(diào)，企業(yè)提高個(gè)人信息安全保護(hù)的合規(guī)意識(shí)至關(guān)重要?！捌髽I(yè)收集的信息量越大，收集信息內(nèi)容越敏感，企業(yè)相應(yīng)要承擔(dān)的法律責(zé)任就應(yīng)該越嚴(yán)格。而企業(yè)合規(guī)意識(shí)的缺失，就意味著消費(fèi)者個(gè)人信息泄露的風(fēng)險(xiǎn)越大。”

上海市網(wǎng)信辦相關(guān)負(fù)責(zé)人同時(shí)表示，個(gè)人信息受法律保護(hù)、關(guān)乎切身利益，任何組織和個(gè)人不得侵害。此次上海市網(wǎng)信辦通過發(fā)布典型案例，希望對(duì)行業(yè)對(duì)相關(guān)企業(yè)能起到“以案示警、以案為戒、以案促改”的警示教育意義，有助于各企業(yè)固強(qiáng)補(bǔ)弱，提高保護(hù)消費(fèi)者個(gè)人信息的合規(guī)意識(shí)，切實(shí)履行個(gè)人信息保護(hù)的義務(wù)和法律責(zé)任。

數(shù)據(jù)顯示，2023年6月啟動(dòng)的“亮劍浦江”專項(xiàng)行動(dòng)，上海市區(qū)兩級(jí)網(wǎng)信、市場(chǎng)監(jiān)管部門已累計(jì)檢查企業(yè)6043家，依法對(duì)520余家企業(yè)進(jìn)行約談，查處各類個(gè)人信息保護(hù)案件50余件。

上海市網(wǎng)信辦表示，下一步將深入貫徹落實(shí)個(gè)人信息保護(hù)法等法律法規(guī)要求，持續(xù)加強(qiáng)個(gè)人信息保護(hù)工作，督促企業(yè)切實(shí)履行好主體責(zé)任，對(duì)問題嚴(yán)重、屢教不改的企業(yè)堅(jiān)決予以依法查處。

上海市網(wǎng)信辦還提醒消費(fèi)者，在日常點(diǎn)餐中可積極落實(shí)上海市網(wǎng)信辦提出的“六不”建議，做到“隱私政策不告知不繼續(xù)”“非必要個(gè)人信息不提供”“一鍵要號(hào)碼不允許”“‘被’會(huì)員誘關(guān)注不沖動(dòng)”“定向推營(yíng)銷廣告不接受”。

在信息化背景下，注冊(cè)會(huì)員可謂是商家的一貫套路，其中面臨的個(gè)人信息泄露風(fēng)險(xiǎn)可想而知，這種情況在婚戀交友平臺(tái)上更甚。此前，就曾有媒體發(fā)布調(diào)查報(bào)道，披露世紀(jì)佳緣有線下門店存在會(huì)員個(gè)人隱私信息泄露等問題。

被曝員工通過后臺(tái)可以

隨意查看用戶個(gè)人信息

為進(jìn)行調(diào)查，記者以應(yīng)聘的形式臥底進(jìn)入世紀(jì)佳緣網(wǎng)線下一家門店。經(jīng)半個(gè)月調(diào)查發(fā)現(xiàn)，培訓(xùn)上崗后，該門店即為上述記者開通了后臺(tái)權(quán)限，而通過世紀(jì)佳緣網(wǎng)后臺(tái)可以隨意查看用戶個(gè)人信息，包括會(huì)員瀏覽的異性照片記錄、聊天記錄等。世紀(jì)佳緣稱此舉是為了對(duì)用戶進(jìn)行“精準(zhǔn)營(yíng)銷”。

此外，還有相關(guān)人士透露，即使工作人員看到“殺豬盤”套路詐騙，也要無視，避免用戶舉報(bào)公司侵犯?jìng)€(gè)人隱私。

另外，該媒體調(diào)查還發(fā)現(xiàn)，世紀(jì)佳緣還存在部分銷售人員會(huì)故意注冊(cè)成為其他婚戀平臺(tái)會(huì)員或者參加線下相親活動(dòng)，以套取客戶資源這類惡意競(jìng)爭(zhēng)行為。

在媒體發(fā)布調(diào)查報(bào)道之后，世紀(jì)佳緣在其官微上致歉。

致歉聲明稱，為更好地為用戶提供更加精準(zhǔn)的匹配和介紹，業(yè)務(wù)層面上向公司部分一線工作人員開放部分用戶信息讓一線的工作人員（紅娘）積極發(fā)現(xiàn)用戶的問題和實(shí)際需求，從而更好地服務(wù)用戶。但在實(shí)際工作中出現(xiàn)了濫用職權(quán)查閱用戶信息的嚴(yán)重違規(guī)行為，公司負(fù)有不可推卸的責(zé)任。目前公司已經(jīng)在后臺(tái)開始去除此功能。

律師說法：

屬于“過度收集個(gè)人信息”行為

有律師指出，婚戀平臺(tái)這一行為，明顯超過了平臺(tái)合理的商用目的，屬于“過度收集個(gè)人信息”行為，且未通過“顯著方式”向用戶履行告知義務(wù)，觸犯《個(gè)人信息保護(hù)法》第六條規(guī)定。根據(jù)規(guī)定，處理個(gè)人信息應(yīng)當(dāng)具有明確、合理的目的，并應(yīng)當(dāng)與處理目的直接相關(guān)，采取對(duì)個(gè)人權(quán)益影響最小的方式。收集個(gè)人信息，應(yīng)當(dāng)限于實(shí)現(xiàn)處理目的的最小范圍，“不得過度收集個(gè)人信息?！?br/>

同時(shí)，其不合理的收集、存儲(chǔ)行為，也極有可能觸犯了《數(shù)字安全法》和《網(wǎng)絡(luò)安全法》的相關(guān)規(guī)定。“至于具體違反了哪些條款，要看平臺(tái)的具體技術(shù)行為來認(rèn)定，目前下不了判斷?！鄙鲜雎蓭熣f。

據(jù)報(bào)道，在世紀(jì)佳緣，向會(huì)員公開報(bào)價(jià)被認(rèn)為是一種禁忌。即便有明確的服務(wù)價(jià)格手冊(cè)，但對(duì)于不同收入的會(huì)員，銷售紅娘也被要求“見人開價(jià)”。記者調(diào)查發(fā)現(xiàn)，世紀(jì)佳緣的線下門店內(nèi)均有服務(wù)價(jià)格手冊(cè)，“一對(duì)一服務(wù)套餐”價(jià)格主要分為5檔：18800元、28800元、48800元、68800元和108800元，但各收費(fèi)標(biāo)準(zhǔn)對(duì)應(yīng)的服務(wù)內(nèi)容含糊不清。在實(shí)際報(bào)價(jià)環(huán)節(jié)，該服務(wù)手冊(cè)只起到參考作用，銷售紅娘會(huì)根據(jù)會(huì)員的綜合情況，自行設(shè)定約見人數(shù)，簽單價(jià)格也因人而異。

號(hào)稱有2.2億會(huì)員

曾被工信部、江蘇省消保委點(diǎn)名

官網(wǎng)顯示，世紀(jì)佳緣為一家婚戀交友平臺(tái)，創(chuàng)立于2003年。截至2016年7月，世紀(jì)佳緣用戶注冊(cè)總數(shù)超1.7億。

值得注意的是，在2020年7月，工信部通報(bào)的58款侵害用戶權(quán)益行為的App中，世紀(jì)佳緣赫然在列，具體原因?yàn)?strong>私自收集個(gè)人信息；私自共享給第三方；強(qiáng)制用戶使用定向推送功能。

2021年9月，世紀(jì)佳緣還因?qū)徍寺┒?、涉虛假宣傳等被江蘇省消保委點(diǎn)名。