12月1日电 据“网信上海”微信公众号消息,11月28日,“亮剑浦江·2025”个人信息保护专项执法行动总结暨交流研讨活动在上海举办,活动现场上海网信部门、市场监管部门联合发布了5起不履行个人信息保护义务的典型案例。相关案例发布如下。
案例1
某新能源科技企业用户数据泄露案
网信部门工作发现,该企业业务是为电动自行车提供换电服务。该企业因测试需要,将已生成的换电日志和用户数据导入测试数据库并允许互联网访问,未采取相应安全防护措施,涉嫌个人信息数据泄露。经查,该企业未依法履行个人信息保护义务,相关系统未采取技术措施和其他必要措施保障数据安全,未对用户数据进行加密,未制定网络安全和数据安全管理制度,未开展网络安全等级保护测评,网络日志留存不足六个月,违反《个人信息保护法》《网络安全法》《数据安全法》等法律法规规定。网信部门依法责令企业限期改正,并予以警告、罚款处罚。
案例2
某医疗科技公司患者数据泄漏案
网信部门工作发现,该企业所开发的系统主要用于为互联网医院提供服务,存储患者诊疗数据(包含病情、开药信息等敏感个人信息),且均未采取加密措施存储,相关数据库在未采取防护措施的情况下对互联网开放访问服务,涉嫌个人信息数据泄露。经查,该企业未依法履行个人信息保护义务,数据库未配置密码策略,系统未开展网络安全等级保护测评,存在未授权访问漏洞,未留存网络日志,违反《个人信息保护法》《网络安全法》《数据安全法》等法律法规规定。网信部门依法责令企业限期改正,并予以警告、罚款处罚。
案例3
某装修服务企业客户数据泄露案
网信部门工作发现,该企业提供室内装修装饰服务,其业务系统中存有合同信息、报价信息、客户信息等相关数据,内部人员为工作便利将内部数据库向互联网开放,涉嫌个人信息数据泄露。经查,该企业未依法履行个人信息保护义务,相关数据未作加密存储,未开展网络安全等级保护工作,涉事系统未配置网络安全防护措施,存在未授权访问漏洞,网络日志留存不足六个月,违反《个人信息保护法》《数据安全法》等法律法规规定。网信部门依法责令企业限期改正,并予以警告、罚款处罚。
案例4
某餐饮企业变相强制消费者同意收集
与经营活动无直接关系的个人信息案
市场监管部门接到举报线索并发现,消费者在使用该餐饮企业运营的扫码点餐小程序进行“到店点餐”时必需提供个人手机号码,如不提供则无法完成点餐。该行为已构成变相强制消费者同意收集与经营活动无直接关系的个人信息的行为,违反《消费者权益保护法实施条例》有关规定。杨浦区市场监管部门依法责令该企业限期改正,并予以警告处罚。
案例5
某药店违法使用消费者个人信息销售处方药案
市场监管部门接到举报线索并发现,该药店先后2次在未经消费者本人同意情况下,使用前期经营过程中获取的消费者姓名、联系方式、地址等个人信息,以前述消费者名义在外卖平台下单并申请虚假处方,再向其他消费者现场销售处方药,该非法使用消费者个人信息的行为违反《消费者权益保护法》有关规定。虹口区市场监管部门依法责令药店限期改正,并予以警告、罚款和没收违法所得处罚(当事人涉及处方药的违法行为已另案查处)。 【编辑:于晓】