【/h/]1.5亿条会员个人信息未加密存在泄露风险，用户信息可能被“一锅端”存储个人信息的网络系统存在可能被入侵攻击的高危漏洞。......

【/h/]近日，上海市互联网信息办公室“梁健浦江”消费领域个人信息权益保护专项执法行动“回头看”在检查阶段发现，虽然部分企业已被约谈整改或接受法律培训，但仍存在消费者个人信息收集存储不规范、制度规范不完善、管理措施不到位、安全防护不严等问题，存在明知故犯、心存侥幸的情况。

【/h/]上海市互联网信息办公室依法对多家未有效履行个人信息保护责任、存在严重问题的知名企业作出行政处罚。这是地方互联网信息办公室首次依据《个人信息保护法》独立办理系列行政处罚案件。现将部分典型案例通报如下↓

1。在收集过程中

【/h/]强制和过度获取个人信息的问题依然存在。

【/h/]经过前期培训、广泛宣传和重点整改，大部分被检查企业能够落实个人信息收集中的合规要求，但部分企业经反复教育仍拒不改变。例如，某餐饮公司的送餐微信小程序在填写送餐地址时强制要求用户同意开通精准定位权限，否则无法添加送餐地址，属于对消费者非必要个人信息的强制主张。

2。在存储环节

【/h/]在“裸奔”状态下，许多个人信息是未加密的

【/h/]这种问题在执法检查中相当常见，存在很大的数据泄露风险。例如，某火锅店连锁企业存储的手机号、邮箱号等会员个人信息1.5亿条，停车扫码SaaS平台存储的身份证号等公司员工个人信息18万条、手机号等车主信息8000条、车牌信息196万条， 某大型超市购物企业存储的39万条家庭卡用户手机号码和身份证号码等个人信息，某房地产中介机构收集的200万条用户数据中的20万条客户手机号码等个人信息，某少儿培训机构存储的4万条学生姓名、监护人手机号码等个人信息均未进行加密和去身份保护。

3。当使用传输链路时

【/h/]企业的任意授权和分权管理不到位。

【/h/]检查发现，许多企业在使用和传输个人信息方面的内部控制系统薄弱。如果企业内部操作权限设置不合理，相关工作人员可以不经过授权审批流程导出包括手机号码在内的用户个人信息，容易导致数据滥用；一些房地产代理业务经纪人在查看后台客户信息时可以看到跨区域用户的手机号码等个人信息。

4。在管理体系方面

【/h/]企业个人信息保护措施明显缺失。

【/h/]检查发现，这些被处罚企业的个人信息保护制度普遍不完善，多数未制定个人信息数据分类管理、数据访问权限管理、安全应急预案等制度。有的未依法确定个人信息保护责任人，建立数据资产管理、数据安全人员管理、数据合作伙伴管理等制度。

5。在安全保护方面

【/h/]网络信息系统存在安全漏洞。

【/h/]经技术检测发现，这些存储、使用大量消费者个人信息的被处罚企业的网络信息系统均存在不同程度的安全漏洞。例如，某房地产中介公司网络安全存在7个高危漏洞，8个低危漏洞，容易被不法分子利用，存在大量数据被泄露或窃取等安全风险。

& quot；梁健浦江“专项行动期间，上海市两级网信和市场监管部门共检查企业6043家，依法约谈企业520余家，查处个人信息保护案件50余起。在现场检查和后续执法工作中，相关企业能够正视自身问题，按照监管部门要求落实主体责任，对暴露出的问题及时进行有效整改，确保消费者个人信息能够合规收集使用并得到有效保护。

【/h/]上海市互联网信息办公室相关负责人强调，个人信息受法律保护，事关人民群众切身利益，任何组织和个人不得侵犯。下一步，上海市网信办将深入贯彻落实个人信息保护法等法律法规要求，持续加大个人信息保护力度，督促企业切实履行主体责任，对问题严重、屡教不改的企业坚决依法查处。