近日，上海市互联网信息办公室官方公众号网信上海发布关于上海网信部门处罚一批未尽消费者个人信息保护义务单位，五大类问题值得关注的消息。当中提到，上海市网信办依法对一批未有效履行消费者个人信息保护责任、存在严重问题的知名企业予以行政处罚，这是地方网信办在全国范围内首次依据《个人信息保护法》自主办理的系列行政处罚案件。现将部分典型案例通报如下：

1.在收集环节，强制要、过度取个人信息问题依然存在

经过前期的普法培训、广泛宣传和重点整治，大部分被检查企业在个人信息收集环节能够落实合规要求，但仍有个别企业屡教不改。如某餐饮企业的外送微信小程序在收货地址填写环节，强制用户同意打开精准位置权限，否则无法添加收货地址，属于对消费者非必要个人信息强制索权。

2.在存储环节，大量个人信息未加密处于“裸奔”状态

此类问题在执法检查中比较普遍，具有较大的数据泄露风险隐患。如某火锅餐饮连锁企业存储的手机号码、邮箱号码等1.5亿条会员个人信息以及包括身份证号码在内的18万条本公司员工个人信息，某停车扫码SaaS平台存储的8000条包括手机号码在内的车主信息、196万条车牌信息，某大型商超购物企业存储的39万条家庭卡用户的手机号码、身份证号码等个人信息，某房产中介企业收集的200万条用户数据中的20万条客户手机号码等个人信息，以及某少儿培训机构存储的4万条学生姓名、监护人手机号码等个人信息，均未按规定采取加密、去标识化等安全保护措施。

3.在使用传输环节，企业随意授权放权管理不到位

检查发现，不少企业在个人信息的使用和传输环节内控制度不严格，存在诸多薄弱问题。如企业内部操作权限设置不合理，在没有授权审批流程的情况下，相关工作人员可以导出包括手机号码在内的用户个人信息，容易导致数据被滥用；有房产中介企业经纪人在查看后台客源信息时，可以看到跨区域的用户手机号码等个人信息。

4.在管理制度上，企业关于个人信息保护措施明显缺失

检查发现，这批被处罚的企业普遍存在个人信息保护制度不完善的问题，大多未制定个人信息数据分类分级管理、数据访问权限管理、安全应急预案等制度，部分未按照法律规定确定个人信息保护责任人，建立数据资产管理、数据安全人员管理、数据合作方管理等制度。

5.在安全防护上，网络信息系统存在安全漏洞

经技术检测发现，这批被处罚的企业存储使用大量消费者个人信息的网络信息系统都不同程度存在安全漏洞，如一家房产中介企业的网络安全高危漏洞达到7个，还有中低危漏洞8个，易被不法分子利用，存在大量数据被泄漏或被窃取等安全风险。

（网信上海）