在嗨吃火鍋的時候，作為會員的你要注意，你的手機號碼等個人信息正在“裸奔”中。

1月29日，上海市網信辦通報稱，已依法對一批未有效履行消費者個人信息保護責任、存在嚴重問題的知名企業予以行政處罰。記者通過采訪了解到，作為火鍋界“頂流”的某知名火鍋連鎖品牌赫然在列。

據上海市網信辦通報，上述知名火鍋連鎖品牌違法違規行為集中體現在兩個環節：在收集個人信息環節，其外送微信小程序仍在強制索取精準位置信息；在存儲個人信息環節，其創設近30年來形成的1.5億條會員個人信息以及18萬條公司員工信息未加密存儲，“多年來一直處于‘裸奔’狀態”。

“這是對消費者最直接的風險，一旦信息發生了泄露，可能會造成無法挽回的損失。”上海市網信辦相關負責人指出。

“裸奔”的會員信息

據上海市網信辦介紹，上述知名火鍋連鎖品牌違法違規行為的查實是在2023年10月底至11月。為切實鞏固“亮劍浦江”個人信息權益保護專項執法行動成效，上海市網信辦其間啟動了“回頭看”執法檢查，該火鍋品牌系執法檢查對象之一。

在對外發布的通報中，上海市網信辦稱，該火鍋品牌1.5億條會員個人信息及18萬條員工信息未采取相應的加密措施。

澎湃新聞進一步獲悉，1.5億條會員個人信息涉及的對象為該火鍋品牌創設至今收集的中國大陸地區會員，主要為會員的手機號碼、郵箱號碼等。而18萬條的員工個人信息甚至包括姓名、身份證號碼、手機號碼、家庭地址等在內的比較敏感的個人信息。

公開資料顯示，作為知名連鎖品牌，該火鍋品牌創設至今已近30年，在中國大陸地區的餐廳更是超過千家。

對上述個人信息未加密、處于“裸奔”狀態的隱患，據不愿透露姓名的業內專家分析，未加密的個人信息存在被“內鬼”等盜取的危險。而通過“內鬼”泄露而收集到的這些真實手機號碼，能偷窺到會員的消費習慣。如果結合在“暗網”售賣的其他數據源，就能更精準地對用戶進行畫像。

上海市網信辦相關人員補充說，泄露的個人信息還有可能被用于電信詐騙，“通過對個人信息的分析研判，電詐涉案人員可以判斷出你是否屬于容易上當的特殊人群”。

失范的“超級管理員”

如果說1.5億條的會員個人信息和18萬條的員工信息，因為未加密存在泄露的風險，那么該知名火鍋連鎖品牌超范圍賦予的“超級管理員”則進一步加劇了信息泄露的風險。

因為擁有最高權限和不受限制的完全訪問權，所謂的“超級管理員”在設置時一般嚴控數量。澎湃新聞從上海市網信辦了解到，在檢查上述火鍋品牌時，技術人員發現其會員運營管理平臺的“超級管理員”賬號竟然高達20余個。

“企業運營系統設置的‘超級管理員’一般都在1-2名，且是專人專責管理。該火鍋品牌明顯存在操作權限分配不合理。”參與檢查的技術人員告訴澎湃新聞，此舉更是加劇了會員個人信息泄露風險，“會員個人信息泄露的概率一下子就會變成1:20以上”。

對為何設置如此之多的“超級管理員”，該火鍋品牌稱是為了系統測試需要。

至于18萬條的員工個人信息，據介紹，該火鍋品牌的人事系統部分賬號同樣可以查到包括身份證號碼、家庭地址等在內的個人敏感信息。

此外，澎湃新聞了解到，在收集個人信息環節，該火鍋品牌外送微信小程序在填寫收貨地址信息時，還強制用戶同意打開位置權限獲取精準位置信息，否則無法添加收貨地址，存在強制索取非必要權限問題。

這一違法違規行為目前已完成整改。澎湃新聞日前點擊其外送微信小程序中的“收貨地址”一欄發現，當前相關小程序不再強制采集精準位置信息，用戶已經可以手動選擇地點或填寫收貨地址。

亟需提高的合規意識

針對該火鍋品牌查實的違法違規行為，上海市網信辦相關負責人強調，企業提高個人信息安全保護的合規意識至關重要。“企業收集的信息量越大，收集信息內容越敏感，企業相應要承擔的法律責任就應該越嚴格。而企業合規意識的缺失，就意味著消費者個人信息泄露的風險越大。”

上海市網信辦相關負責人同時表示，個人信息受法律保護、關乎切身利益，任何組織和個人不得侵害。此次上海市網信辦通過發布典型案例，希望對行業對相關企業能起到“以案示警、以案為戒、以案促改”的警示教育意義，有助于各企業固強補弱，提高保護消費者個人信息的合規意識，切實履行個人信息保護的義務和法律責任。

數據顯示，2023年6月啟動的“亮劍浦江”專項行動，上海市區兩級網信、市場監管部門已累計檢查企業6043家，依法對520余家企業進行約談，查處各類個人信息保護案件50余件。

上海市網信辦表示，下一步將深入貫徹落實個人信息保護法等法律法規要求，持續加強個人信息保護工作，督促企業切實履行好主體責任，對問題嚴重、屢教不改的企業堅決予以依法查處。

上海市網信辦還提醒消費者，在日常點餐中可積極落實上海市網信辦提出的“六不”建議，做到“隱私政策不告知不繼續”“非必要個人信息不提供”“一鍵要號碼不允許”“‘被’會員誘關注不沖動”“定向推營銷廣告不接受”。

據澎湃新聞