视频 | 1.5亿条会员信息“裸奔” 如何筑牢个人信息防火墙

某知名火锅品牌1.5亿条会员个人信息及18万条员工信息存在“裸奔”风险的消息，近日冲上热搜，引发关注。记者了解到，这是上海市网信办近日依法处罚通报的典型案例之一。这也是地方网信办在全国范围内、首次依据《个人信息保护法》自主办理的系列行政处罚案件。

通报显示，某知名火锅连锁品牌创设近30年来形成的1.5亿条会员个人信息以及18万条公司员工信息，均未采取相应的加密存储。记者了解到，会员信息主要涉及会员或员工的手机号码、邮箱号码。员工个人信息还包括了姓名、身份证号码、手机号码、家庭地址等敏感信息。此外，在收集个人信息环节，该品牌的外送微信小程序，也涉嫌强制索取精准位置信息等违法违规行为。

在上海市网信办的通报中同样被列为典型案例的，还有某停车扫码平台、某大型商超购物企业、某房产中介企业，以及某少儿培训机构。它们在客户个人信息的存储方面，均存在着未按规定采取加密、去标识化等安全保护措施。

据了解，上海市网信办去年6月启动“亮剑浦江”专项行动，针对个人数据相关违法违规行为进行检查，累计检查企业6043家，依法对520余家企业进行约谈，查处各类个人信息保护案件50余件。

记者调查发现，随着信息化与经济社会的深度融合，个人信息泄露事件频繁发生。尤其是，涉及海量用户信息的医疗、网购、房地产、教育等领域，如今已成为个人信息泄露的重灾区。只要向网站支付费用，就可以在不征得求职者同意的情况下获取其个人简历；表面看起来是用于清理手机垃圾的APP，背地里却在不断读取用户信息；还有某医院出入人员名单曾被发布至多个微信群，涉及身份证号码、居住地址、就诊类型等信息。随着数字技术的发展，人脸、指纹、虹膜等生物信息正成为隐私泄露的又一个高危地带。此前，就有拥有上千家门店的知名商户，竟私自用摄像头抓取顾客人脸并自动生成编号。

个人信息泄露之后，往往被用来给用户精准画像，甚至将其拖入电信诈骗的深渊，因此不得不防。那么，在过度收集、随意使用、非法窃取、公然贩卖……这一系列乱象的背后，究竟有着什么深层原因？

记者梳理发现，从政府职能部门到民营企业，能够接触到公民个人信息的主体多元而广泛，但是许多关口都出现了不同程度的监管失守。尤其是在企业层面，一些社会责任意识薄弱的企业常常将商业利益凌驾于社会利益之上，不愿履行个人信息数据相关责任，有的还借助漏洞对个人信息进行违规收集。

从上海网信办此次通报的案例来看，在企业的过度索取和违规存储等表象背后，存在着一系列深层次问题，包括：随意授权放权管理不到位、关于个人信息保护措施明显缺失、网络信息系统存在安全漏洞等等，也都需要予以重视。

作为我国首部全面保护个人信息权益的专门性立法，《个人信息保护法》于两年前正式出台，和民法典、网络安全法共同构成了个人信息法律保障体系。该法明确提出，不得过度收集个人信息、不得使用“大数据杀熟”，同时，对于强化监管执法和公益诉讼，也都提供了有力的制度保障。但是从实践情况来看，个人信息泄露现象仍然屡屡发生，痛点和难点主要集中在：购物场所视频监控、扫码消费、网络购物、自动化决策杀熟等场景。而且，由于消费者相对于经营者处于天然的弱势地位，即使有个体发起投诉、起诉，也往往面临举证难等困境。

那么，该如何从精准打击痛点难点入手，将个人信息保护落到实处呢？上海市信息服务行业协会秘书长陆雷认为，个人信息受法律保护，关乎群众切身利益，任何组织和个人不得侵害。只有通过常态化的个人信息保护监管执法，才能敦促个人信息处理者更加积极地给“裸奔”的个人信息打上“马赛克”。

陆雷表示，《个人信息保护法》已出台两年多，但从执法实践来看，无论是商家还是消费者，对相关法律法规的认知度，以及个人信息权益的保护意识，都亟待进一步加强。相当多的企业对这部法律以及个人信息保护的义务并没有深刻的理解，更没有落实到日常的行动和监管中。因此，行政执法工作当前的核心思路就是，一方面抓好大的平台，让平台这个关口首先就要确保其数据安全和合规。另一方面，通过宣传、引导等多种手段，让企业尤其是提供信息服务的企业，也积极参与到合法合规的行动中来。

陆雷认为，个人信息权益保护这项工作涉及环节多、行业广、场景复杂，社会关注度高。监管部门应当常抓不懈、守好“安全门”。尤其是在涉及跨领域、跨行业等问题时，兼顾治理容易产生薄弱点和空白地带。因此，监管部门在加强监管力度的同时，还要积极与相关执法部门、行业主管部门协作，通过联合监管和联合执法，筑牢个人信息保护的“防火墙”，将个人信息保护落到实处。

（看看新闻Knews编辑：金梅 翟静 陈昱卉）