网信上海发现某火锅连锁企业存储的1.5亿条顾客信息未加密处于裸奔中

据网信上海公众号发布的消息，日前上海市网信部门处罚一批未尽消费者个人信息保护义务单位，五大类问题值得关注。

上海市网信办近期在进行亮剑浦江消费领域个人信息权益保护专项执法行动回头看检查阶段发现，部分企业虽然已经被约谈整改或接受过普法培训，但仍然存在对消费者个人信息收集存储不合规、制度规范不健全、管理措施不到位、安全防护不严密等问题，属于明知故犯、心存侥幸。

为此上海市网信办依法对一批未有效履行消费者个人信息保护责任、存在严重问题的知名企业予以行政处罚，这是地方网信办在全国范围内首次依据《个人信息保护法》自主办理的系列行政处罚案件。

五大类问题包括：

收集环节：强制要、过度取个人信息问题

存储环节：大量个人信息未加密处于裸奔状态

传输环节：企业随意授权放权管理不到位

管理制度：企业关于个人信息保护措施明显缺失

安全防护：网络信息系统存在安全漏洞

其中在存储环节提到了一个案例，涉事企业为某火锅餐饮连锁企业，该企业存储的会员个人信息包括手机号码、邮箱地址等合计达 1.5 亿条，还包含例如身份证号等 18 万条公司员工个人信息。

尽管上海网信办没有提到这家火锅餐饮连锁企业具体是哪家，不过考虑到存储的会员个人信息达到 1.5 亿条，那么实际注册会员数估计也有千万级别。

国内注册会员能有千万级别的火锅连锁企业并不多，因此猜起来并不难，只是没想到这么大一家连锁企业竟然也没有对用户数据进行加密。

这意味着一旦该企业服务器遭到入侵或存在内鬼，那么所有用户的会员信息都会被泄露，而且都不需要解密就可以直接查看这些数据，不得不说这是非常严重的问题，但存在类似情况的企业估计并不少。

上海网信办还提到某大型商超存储的 39 万条家庭卡用户的手机号码、身份证等个人信息，某房产中介收集的 200 万条用户数据中的 20 万条客户号码等，某少儿培训机构存储的 4 万条学生姓名和监护人手机号码等个人信息，也都没有按照规定采取加密、去标识化等安全保护措施。