根据“网信上海”公号发布的消息,某火锅连锁巨头企业在服务器上明文存储了1.5亿条会员个人信息,18万条本公司员工个人信息(包括身份证号在内),这严重违反了相关规定,因此受到依法处罚。
上海市网信办近期进行了“亮剑浦江”消费领域个人信息权益保护专项执法行动,在检查阶段发现,部分企业虽然已经被约谈整改或接受过普法培训,但仍然存在对消费者个人信息收集存储不合规、制度规范不健全、管理措施不到位、安全防护不严密等问题,属于明知故犯、心存侥幸。
依据相关规定,企业在收集了用户的个人信息之后,尤其是涉及到隐私的手机号、家庭住址、个人邮箱等,必须按照安全规定采取加密、去标识化等安全保护措施。
根据澎湃新闻的相关描述,该巨头企业成立至今已近30年,在中国大陆地区的餐厅更是超过千家。
在火锅连锁品牌中,满足“连锁店过千家”和“品牌创立30年”两个条件的,仅有海底捞一家。
目前海底捞还未就此事发布公告。
----------------------------
作为从事了安全行业十余年的安全老兵,我一直认为,如果发生了安全事件,一定得以“公开、透明”的处理为核心要点。
如果某个企业发生了数据泄露,他只有快速让被泄露的用户知道事件已发生,这些泄露的数据才能在诈骗案利用中的作用降到最低。
但在现实中,往往是企业为了面子、为了名声,千方百计的试图掩盖安全事件发生的真实情况,有些甚至会给勒索黑客支付酬金,换取其不向外公开。
这些无疑是十分错误的。
------------
本文素材来自网信上海和澎湃新闻,感谢。