近日,某火锅餐饮连锁企业1.5亿条会员个人信息存在泄露风险的消息被业内关注。
上海市网信办通报称,某火锅餐饮连锁企业存储的手机号码、邮箱号码等1.5亿条会员个人信息以及包括身份证号码在内的18万条本公司员工个人信息,未加密处理存在泄露风险、企业内部数据访问权限设置不合规导致用户信息可能被“一锅端”、存储个人信息的网络系统存在可能被入侵攻击的高危漏洞.……
事实上,在扫码点餐业务推广实施的过程中,不断有信息泄露相关新闻曝出,不少消费者亦对点餐中获取个人信息行为表示质疑。此外,有调查显示,超九成餐馆存在用户信息收集行为。
餐饮信息化过程中,商家为何热衷于收集用户信息?商家进行信息收集同时、信息泄露问题为何层出不穷?这对于餐饮业的发展影响几何呢?
01
大多餐馆外接系统
自主管理能力差
“这是对消费者最直接的风险,一旦信息发生了泄露,可能会造成无法挽回的损失。”针对此次大规模信息泄露风险事件,上海市网信办相关负责人指出。
除该火锅品牌存在大规模用户信息泄露风险外,上海市网信办还提及某停车扫码SaaS平台存储的8000条包括手机号码在内的车主信息、196万条车牌信息;某大型商超购物企业存储的39万条家庭卡用户的手机号码、身份证号码等个人信息;某房产中介企业收集的200万条用户数据中的20万条客户手机号码等个人信息……信息泄露已经渗透到各行业。
去年年底,“顾客扫码点餐法院判商家赔5000”的话题曾冲上热搜。
据报道,消费者根据所设定的微信程序,使用手机扫描店内二维码关注“某餐饮公司”微信公众号,授权商家获取消费者的微信昵称、头像、地区、性别、手机号码等信息,进行线上点餐;若不同意授权商家获取前述信息,则无法进行线上点餐。
值得关注的是,该顾客发现,其取消关注“某餐饮公司”微信公众号后,仍是某餐饮公司的会员,前述个人信息仍存储在某餐饮公司处,顾客无法自行删除。
消费者没有主动权,个人信息被永久保留至商家系统,这无疑为信息泄露提供了“温床”。此外,据媒体调查,不少商家是通过第三方系统完成用户线上点餐,对于系统是否有其他行为通常并不能详尽了解和掌控。如此,数据的去向是否安全或不能保证。
此次被通报的火锅顶流或亦有类似烦恼。据不愿透露姓名的业内专家分析,未加密的个人信息存在被“内鬼”等盗取的危险。而通过“内鬼”泄露而收集到的这些真实手机号码,能偷窥到会员的消费习惯。如果结合在“暗网”售卖的其他数据源,就能更精准地对用户进行画像。
02
信息化与数据安全,
意识培养或为当下重点
(以上图片均来自网络,侵删)针对该火锅品牌查实的违法违规行为,上海市网信办相关负责人强调,企业提高个人信息安全保护的合规意识至关重要。“企业收集的信息量越大,收集信息内容越敏感,企业相应要承担的法律责任就应该越严格。而企业合规意识的缺失,就意味着消费者个人信息泄露的风险越大。”
针对此次信息泄露行为,上海网信办亦表示已约谈部分企业进行普法教育并要整改。并依据《个人信息保护法》对一批情节严重的知名企业予以行政处罚。
诚然,当下,信息化对日常生活的渗透之深有目共睹。但从消费者信息保护意识来看,认知水平却是参差不齐的。
有消费者坦言,填写用户信息,已成为自己与商家接触的“首要任务”,填多了也就麻木了,对于信息是否泄漏已然看淡;亦有消费者表示,扫码点餐方式强制获取消费者的个人信息,且消费者无法自行删除储存在商家处的个人信息,属于侵害个人信息权益的行为。
事实上,上海网信办透露,在使用传输环节,企业随意授权放权管理不到位。检查发现,不少企业在个人信息的使用和传输环节内控制度不严格,存在诸多薄弱问题;在管理制度上,企业关于个人信息保护措施明显缺失。大多未制定个人信息数据分类分级管理、数据访问权限管理、安全应急预案等制度等制度;在安全防护上,网络信息系统存在安全漏洞。经技术检测发现,此次通报相关企业存储使用大量消费者个人信息的网络信息系统都不同程度存在安全漏洞。
如此来看,无论是消费者,还是商家,网络信息安全意识存在普遍缺失。消费者权益如何保护,信息安全教育,或将成为当下行业的一大重点方向。