亮剑浦江进行时｜停车平台196万条车牌信息未加密，车主行动轨迹或被“破译”

后台数据访问权限设置不合规容易被“一锅端”、用户存在“被分析行动轨迹”风险……近期，上海市网信办在“亮剑浦江”消费领域个人信息权益保护专项执法行动“回头看”检查阶段发现，部分企业存在对消费者个人信息收集存储不合规、制度规范不健全、管理措施不到位、安全防护不严密等问题。

记者通过采访了解到，某停车扫码平台包括手机号码、车牌号等的8000余条月卡用户信息以及196万条车牌信息，由于未采取加密措施，存在泄露、滥用等隐患，用户信息存在被不法分子用于分析个人行动轨迹等风险。

对此，上海市网信办相关负责人指出，车主与车牌信息紧密关联，一旦泄露，会对车主本人个人信息安全造成风险隐患。

196万条车牌信息未加密

根据“亮剑浦江·消费领域个人信息保护专项执法行动”工作安排，2023年10月-11月，上海市网信办启动“回头看”执法检查。

在对上述停车扫码平台的检查中，执法人员发现，其存在未采取相应加密措施、个人信息处理操作权限设置不合理等问题。

其中，个人信息保护管理制度方面，涉事企业虽制定《数据安全管理制度》《用户个人信息保护制度》等规章，但相关制度中并未明确个人信息保护负责人；未制定个人信息安全应急预案、个人信息保护影响评估等管理制度；未定期对从业人员开展个人信息保护教育和培训。

此外，在个人信息的使用和传输环节，涉事停车扫码平台也存在内控制度不严格等诸多薄弱问题。如企业内部操作权限设置不合理，在没有授权审批流程的情况下，工作人员可以轻松导出包括手机号码在内的用户个人信息。

参与此次“回头看”检查的技术人员告诉澎湃新闻，涉事停车扫码平台系统的部分账号有“导出”功能，可对8000余条月卡用户的姓名、手机号码等个人信息进行一次性导出。

数据存储方面，存储月卡用户手机号码、车牌等个人信息8000余条，但未采取加密措施存储数据；存储约196万车牌信息，未采取加密措施；数据使用方面，后台管理系统前端部分查询页面未对手机号码等敏感个人信息进行脱敏。

对此，上述技术人员表示，未加密处理的车牌信息中包括车主的车牌、停车时间等信息，由于未采取加密措施，存在泄露、滥用等隐患，用户信息存在被不法分子用于分析个人行动轨迹等风险。

涉事企业已被行政警告

据了解，目前，上海市网信办已依法对涉事停车扫码平台予以行政处罚。澎湃新闻了解到，该平台目前也已完善个人信息保护制度，对个人信息采取了加密措施。

上海市网信办相关负责人强调，个人信息受法律保护，关乎人民群众切身利益，任何组织和个人不得侵害。而许多消费者在日常生活中“轻轻一扫”时并没有过多在意，殊不知自己的信息早已被“悄悄”收集。