11月28日，“亮劍浦江·2025”個人信息保護專項執(zhí)法行動總結暨交流研討活動在上海舉辦，活動現(xiàn)場上海網(wǎng)信部門、市場監(jiān)管部門聯(lián)合發(fā)布了5起不履行個人信息保護義務的典型案例。相關案例發(fā)布如下。 

案例1

某新能源科技企業(yè)用戶數(shù)據(jù)泄露案

網(wǎng)信部門工作發(fā)現(xiàn)，該企業(yè)業(yè)務是為電動自行車提供換電服務。該企業(yè)因測試需要，將已生成的換電日志和用戶數(shù)據(jù)導入測試數(shù)據(jù)庫并允許互聯(lián)網(wǎng)訪問，未采取相應安全防護措施，涉嫌個人信息數(shù)據(jù)泄露。經(jīng)查，該企業(yè)未依法履行個人信息保護義務，相關系統(tǒng)未采取技術措施和其他必要措施保障數(shù)據(jù)安全，未對用戶數(shù)據(jù)進行加密，未制定網(wǎng)絡安全和數(shù)據(jù)安全管理制度，未開展網(wǎng)絡安全等級保護測評，網(wǎng)絡日志留存不足六個月，違反《個人信息保護法》《網(wǎng)絡安全法》《數(shù)據(jù)安全法》等法律法規(guī)規(guī)定。網(wǎng)信部門依法責令企業(yè)限期改正，并予以警告、罰款處罰。

案例2

某醫(yī)療科技公司患者數(shù)據(jù)泄露案

 網(wǎng)信部門工作發(fā)現(xiàn)，該企業(yè)所開發(fā)的系統(tǒng)主要用于為互聯(lián)網(wǎng)醫(yī)院提供服務，存儲患者診療數(shù)據(jù)（包含病情、開藥信息等敏感個人信息），且均未采取加密措施存儲，相關數(shù)據(jù)庫在未采取防護措施的情況下對互聯(lián)網(wǎng)開放訪問服務，涉嫌個人信息數(shù)據(jù)泄露。經(jīng)查，該企業(yè)未依法履行個人信息保護義務，數(shù)據(jù)庫未配置密碼策略，系統(tǒng)未開展網(wǎng)絡安全等級保護測評，存在未授權訪問漏洞，未留存網(wǎng)絡日志，違反《個人信息保護法》《網(wǎng)絡安全法》《數(shù)據(jù)安全法》等法律法規(guī)規(guī)定。網(wǎng)信部門依法責令企業(yè)限期改正，并予以警告、罰款處罰。 

案例3

某裝修服務企業(yè)客戶數(shù)據(jù)泄露案

網(wǎng)信部門工作發(fā)現(xiàn)，該企業(yè)提供室內裝修裝飾服務，其業(yè)務系統(tǒng)中存有合同信息、報價信息、客戶信息等相關數(shù)據(jù)，內部人員為工作便利將內部數(shù)據(jù)庫向互聯(lián)網(wǎng)開放，涉嫌個人信息數(shù)據(jù)泄露。經(jīng)查，該企業(yè)未依法履行個人信息保護義務，相關數(shù)據(jù)未作加密存儲，未開展網(wǎng)絡安全等級保護工作，涉事系統(tǒng)未配置網(wǎng)絡安全防護措施，存在未授權訪問漏洞，網(wǎng)絡日志留存不足六個月，違反《個人信息保護法》《數(shù)據(jù)安全法》等法律法規(guī)規(guī)定。網(wǎng)信部門依法責令企業(yè)限期改正，并予以警告、罰款處罰。

案例4

某餐飲企業(yè)變相強制消費者同意

收集與經(jīng)營活動無直接關系的個人信息案

市場監(jiān)管部門接到舉報線索并發(fā)現(xiàn)，消費者在使用該餐飲企業(yè)運營的掃碼點餐小程序進行“到店點餐”時必須提供個人手機號碼，如不提供則無法完成點餐。該行為已構成變相強制消費者同意收集與經(jīng)營活動無直接關系的個人信息的行為，違反《消費者權益保護法實施條例》有關規(guī)定。楊浦區(qū)市場監(jiān)管部門依法責令該企業(yè)限期改正，并予以警告處罰。

案例5

某藥店違法使用消費者個人信息銷售處方藥案

市場監(jiān)管部門接到舉報線索并發(fā)現(xiàn)，該藥店先后2次在未經(jīng)消費者本人同意情況下，使用前期經(jīng)營過程中獲取的消費者姓名、聯(lián)系方式、地址等個人信息，以前述消費者名義在外賣平臺下單并申請?zhí)摷偬幏?，再向其他消費者現(xiàn)場銷售處方藥，該非法使用消費者個人信息的行為違反《消費者權益保護法》有關規(guī)定。虹口區(qū)市場監(jiān)管部門依法責令藥店限期改正，并予以警告、罰款和沒收違法所得處罰（當事人涉及處方藥的違法行為已另案查處）。

（原題為《亮劍浦江｜上海發(fā)布5起不履行個人信息保護義務的典型案例》）