某知名火鍋品牌1.5億條會員個人信息及18萬條員工信息存在“裸奔”風險的消息，近日沖上熱搜，引發(fā)關(guān)注。記者了解到，這是上海市網(wǎng)信辦近日依法處罰通報的典型案例之一。這也是地方網(wǎng)信辦在全國范圍內(nèi)、首次依據(jù)《個人信息保護法》自主辦理的系列行政處罰案件。

通報顯示，某知名火鍋連鎖品牌創(chuàng)設(shè)近30年來形成的1.5億條會員個人信息以及18萬條公司員工信息，均未采取相應(yīng)的加密存儲。記者了解到，會員信息主要涉及會員或員工的手機號碼、郵箱號碼。員工個人信息還包括了姓名、身份證號碼、手機號碼、家庭地址等敏感信息。此外，在收集個人信息環(huán)節(jié)，該品牌的外送微信小程序，也涉嫌強制索取精準位置信息等違法違規(guī)行為。

在上海市網(wǎng)信辦的通報中同樣被列為典型案例的，還有某停車掃碼平臺、某大型商超購物企業(yè)、某房產(chǎn)中介企業(yè)，以及某少兒培訓(xùn)機構(gòu)。它們在客戶個人信息的存儲方面，均存在著未按規(guī)定采取加密、去標識化等安全保護措施。

據(jù)了解，上海市網(wǎng)信辦去年6月啟動“亮劍浦江”專項行動，針對個人數(shù)據(jù)相關(guān)違法違規(guī)行為進行檢查，累計檢查企業(yè)6043家，依法對520余家企業(yè)進行約談，查處各類個人信息保護案件50余件。

記者調(diào)查發(fā)現(xiàn)，隨著信息化與經(jīng)濟社會的深度融合，個人信息泄露事件頻繁發(fā)生。尤其是，涉及海量用戶信息的醫(yī)療、網(wǎng)購、房地產(chǎn)、教育等領(lǐng)域，如今已成為個人信息泄露的重災(zāi)區(qū)。只要向網(wǎng)站支付費用，就可以在不征得求職者同意的情況下獲取其個人簡歷；表面看起來是用于清理手機垃圾的APP，背地里卻在不斷讀取用戶信息；還有某醫(yī)院出入人員名單曾被發(fā)布至多個微信群，涉及身份證號碼、居住地址、就診類型等信息。隨著數(shù)字技術(shù)的發(fā)展，人臉、指紋、虹膜等生物信息正成為隱私泄露的又一個高危地帶。此前，就有擁有上千家門店的知名商戶，竟私自用攝像頭抓取顧客人臉并自動生成編號。

個人信息泄露之后，往往被用來給用戶精準畫像，甚至將其拖入電信詐騙的深淵，因此不得不防。那么，在過度收集、隨意使用、非法竊取、公然販賣……這一系列亂象的背后，究竟有著什么深層原因？

記者梳理發(fā)現(xiàn)，從政府職能部門到民營企業(yè)，能夠接觸到公民個人信息的主體多元而廣泛，但是許多關(guān)口都出現(xiàn)了不同程度的監(jiān)管失守。尤其是在企業(yè)層面，一些社會責任意識薄弱的企業(yè)常常將商業(yè)利益凌駕于社會利益之上，不愿履行個人信息數(shù)據(jù)相關(guān)責任，有的還借助漏洞對個人信息進行違規(guī)收集。

從上海網(wǎng)信辦此次通報的案例來看，在企業(yè)的過度索取和違規(guī)存儲等表象背后，存在著一系列深層次問題，包括：隨意授權(quán)放權(quán)管理不到位、關(guān)于個人信息保護措施明顯缺失、網(wǎng)絡(luò)信息系統(tǒng)存在安全漏洞等等，也都需要予以重視。

作為我國首部全面保護個人信息權(quán)益的專門性立法，《個人信息保護法》于兩年前正式出臺，和民法典、網(wǎng)絡(luò)安全法共同構(gòu)成了個人信息法律保障體系。該法明確提出，不得過度收集個人信息、不得使用“大數(shù)據(jù)殺熟”，同時，對于強化監(jiān)管執(zhí)法和公益訴訟，也都提供了有力的制度保障。但是從實踐情況來看，個人信息泄露現(xiàn)象仍然屢屢發(fā)生，痛點和難點主要集中在：購物場所視頻監(jiān)控、掃碼消費、網(wǎng)絡(luò)購物、自動化決策殺熟等場景。而且，由于消費者相對于經(jīng)營者處于天然的弱勢地位，即使有個體發(fā)起投訴、起訴，也往往面臨舉證難等困境。

那么，該如何從精準打擊痛點難點入手，將個人信息保護落到實處呢？上海市信息服務(wù)行業(yè)協(xié)會秘書長陸雷認為，個人信息受法律保護，關(guān)乎群眾切身利益，任何組織和個人不得侵害。只有通過常態(tài)化的個人信息保護監(jiān)管執(zhí)法，才能敦促個人信息處理者更加積極地給“裸奔”的個人信息打上“馬賽克”。

陸雷表示，《個人信息保護法》已出臺兩年多，但從執(zhí)法實踐來看，無論是商家還是消費者，對相關(guān)法律法規(guī)的認知度，以及個人信息權(quán)益的保護意識，都亟待進一步加強。相當多的企業(yè)對這部法律以及個人信息保護的義務(wù)并沒有深刻的理解，更沒有落實到日常的行動和監(jiān)管中。因此，行政執(zhí)法工作當前的核心思路就是，一方面抓好大的平臺，讓平臺這個關(guān)口首先就要確保其數(shù)據(jù)安全和合規(guī)。另一方面，通過宣傳、引導(dǎo)等多種手段，讓企業(yè)尤其是提供信息服務(wù)的企業(yè)，也積極參與到合法合規(guī)的行動中來。

陸雷認為，個人信息權(quán)益保護這項工作涉及環(huán)節(jié)多、行業(yè)廣、場景復(fù)雜，社會關(guān)注度高。監(jiān)管部門應(yīng)當常抓不懈、守好“安全門”。尤其是在涉及跨領(lǐng)域、跨行業(yè)等問題時，兼顧治理容易產(chǎn)生薄弱點和空白地帶。因此，監(jiān)管部門在加強監(jiān)管力度的同時，還要積極與相關(guān)執(zhí)法部門、行業(yè)主管部門協(xié)作，通過聯(lián)合監(jiān)管和聯(lián)合執(zhí)法，筑牢個人信息保護的“防火墻”，將個人信息保護落到實處。

（看看新聞Knews編輯：金梅 翟靜 陳昱卉）