上海网信部门处罚一批未尽个人信息保护义务单位-SafePloy安策数据安全保护厂商

产品发布：安策信息资深技术：Lixiang 受欢迎度：

安策数据加密保护-上海网信部门处罚一批未尽个人信息保护义务单位

　　摘要：上海市网信办在“亮剑浦江”消费领域个人信息权益保护专项执法行动“回头看”检查阶段发现，部分企业仍然存在对消费者个人信息收集存储不合规。现将部分企业对消费者信息处理不合规的典型案例进行分析。

　　以下部分新闻原文：

　　1.5亿条会员个人信息未加密处理存在泄露风险、企业内部数据访问权限设置不合规导致用户信息可能被“一锅端”、存储个人信息的网络系统存在可能被入侵攻击的高危漏洞......

　　近期，上海市网信办在“亮剑浦江”消费领域个人信息权益保护专项执法行动“回头看”检查阶段发现，部分企业虽然已被约谈要求整改或接受过普法培训，仍然存在对消费者个人信息收集存储不合规、制度规范不健全、管理措施不到位、安全防护不严密等问题，属于明知故犯、心存侥幸。

　　上海市网信办依法对一批未有效履行消费者个人信息保护责任、存在严重问题的知名企业予以行政处罚，这是地方网信办在全国范围内首次依据《个人信息保护法》自主办理的系列行政处罚案件。

　　现将部分典型案例通报如下

　　1.在收集环节

　　强制要、过度取个人信息问题依然存在

　　经过前期的普法培训、广泛宣传和重点整治，大部分被检查企业在个人信息收集环节能够落实合规要求，但仍有个别企业屡教不改。如某餐饮企业的外送微信小程序在收货地址填写环节，强制用户同意打开精准位置权限，否则无法添加收货地址，属于对消费者非必要个人信息强制索权。

上海网信部门处罚一批未尽个人信息保护义务单位

　　2.在存储环节

　　大量个人信息未加密处于“裸奔”状态

　　此类问题在执法检查中比较普遍，具有较大的数据泄露风险隐患。如某火锅餐饮连锁企业存储的手机号码、邮箱号码等1.5亿条会员个人信息以及包括身份证号码在内的18万条本公司员工个人信息，某停车扫码SaaS平台存储的8000条包括手机号码在内的车主信息、196万条车牌信息，某大型商超购物企业存储的39万条家庭卡用户的手机号码、身份证号码等个人信息，某房产中介企业收集的200万条用户数据中的20万条客户手机号码等个人信息，以及某少儿培训机构存储的4万条学生姓名、监护人手机号码等个人信息，均未按规定采取加密、去标识化等安全保护措施。

　　3.在使用传输环节

　　企业随意授权放权管理不到位

　　检查发现，不少企业在个人信息的使用和传输环节内控制度不严格，存在诸多薄弱问题。如企业内部操作权限设置不合理，在没有授权审批流程的情况下，相关工作人员可以导出包括手机号码在内的用户个人信息，容易导致数据被滥用;有房产中介企业经纪人在查看后台客源信息时，可以看到跨区域的用户手机号码等个人信息。

　　4.在管理制度上

　　企业关于个人信息保护措施明显缺失

　　检查发现，这批被处罚的企业普遍存在个人信息保护制度不完善的问题，大多未制定个人信息数据分类分级管理、数据访问权限管理、安全应急预案等制度，部分未按照法律规定确定个人信息保护责任人，建立数据资产管理、数据安全人员管理、数据合作方管理等制度。

　　5.在安全防护上

　　网络信息系统存在安全漏洞

　　经技术检测发现，这批被处罚的企业存储使用大量消费者个人信息的网络信息系统都不同程度存在安全漏洞，如一家房产中介企业的网络安全高危漏洞达到7个，还有中低危漏洞8个，易被不法分子利用，存在大量数据被泄漏或被窃取等安全风险。 “亮剑浦江”专项行动期间，上海市区两级网信、市场监管部门已累计检查企业6043家，依法对520余家企业进行约谈，查处各类个人信息保护案件50余件。在现场检查及后续执法工作中，相关企业能够正视自身问题，按照监管部门要求落实主体责任，及时对暴露出的问题进行有效整改，确保消费者个人信息能被合规收集使用和有效保护。

　　上海市网信办相关负责人强调，个人信息受法律保护，关乎人民群众切身利益，任何组织和个人不得侵害。下一步，上海市网信办将深入贯彻落实《个人信息保护法》等法律法规要求，持续加强个人信息保护工作，督促企业切实履行好主体责任，对问题严重、屡教不改的企业坚决予以依法查处。

　　以上引文部分《上海网信部门处罚一批未尽消费者个人信息保护义务单位-五大类问题值得关注》为原文，新闻来源网信上海。

　　以下安策解决方案部分供参考：

上海网信部门处罚一批未尽个人信息保护义务单位

　　在一个数据驱动的世界里，一次网络攻击就可能严重损害你的企业及其声誉。以下四个简单的步骤可以帮助保护你的业务免受网络威胁。

　　1.发现和分类您的数据

　　随着企业在混合计算环境中运行，数据可以在任何地方存储和处理。因此，发现所有数据及其驻留位置(本地或云中)非常重要。确定所有数据后，对它们进行分类并确定其重要性也同样重要。与其他非关键信息相比，敏感数据和个人数据应该得到更严格的安全控制。数据发现和分类是确定优先级和选择适用于保护数据的安全控制措施并保持合规性的基础。

　　2.通过加密保护您的数据

　　强化基础架构的第二步是加密所有数据，尤其是那些被标识为关键和敏感的数据。这降低了盗窃、破坏或篡改的风险。此外，加密在许多安全和隐私法规中都是首要要求。

　　但是，仅加密是不够的。加密与加密密钥的基础保护和管理一样好。强加密和有效的密钥管理相结合，可以强化您的数据免受一系列攻击。

　　3.保持对加密密钥的控制

　　将密钥与数据分开，分离数据存储和数据保护的职责，以增强抵御高级网络攻击的弹性。选择经过认证的硬件安全模块 (HSM)，无论是在本地还是在云中，作为存储密钥的信任根。您可以更确信您的数据是安全的，并且您将满足许多法规的数据主权要求。

　　4.控制谁有权访问您的数据

　　考虑到传统的网络边界安全性对于边界模糊的业务环境来说还不够，以身份为中心的访问控制越来越受关注。考虑使用支持单点登录(SSO)、多因素身份验证(MFA)和自适应的、基于风险的身份验证的集成解决方案。

　　关于SafePloy安策

　　SafePloy安策从事信息安全业务超过20年，是泰雷兹Thales(原Imperva，Gemalto，Vormetric，SafeNet，Aladdin，Rainbow)等公司在中国区的战略合作伙伴，为云、应用、数据、身份等提供安全保护的能力和技术支持能力，为在中国地区经营和出海开拓业务的企业，提供本地化的可信、可控、又合规的数据安全策略。