创信看数安丨瞄准个人信息泄露源头，多地公安机关开展数据安全检查执法

住建部公布5起房地产中介行业侵犯公民个人信息违法违规典型案例

2024年1月22日，住房城乡建设部办公厅发布关于房地产中介行业侵犯公民个人信息违法违规典型案例的通报。全文如下：

各省、自治区住房城乡建设厅，直辖市住房城乡建设（管）委，新疆生产建设兵团住房城乡建设局：

个人信息保护是房地产行业消费者权益保护的重要内容。住房城乡建设部、市场监管总局《关于规范房地产经纪服务的意见》（建房规〔2023〕2号），对加强房地产经纪服务中的个人信息保护作出明确规定。但仍有少数房地产中介机构及从业人员利用职务上的便利非法收集、使用、买卖公民个人信息，侵犯公民个人信息合法权益。为进一步加强房地产中介行业公民个人信息保护，发挥负面典型的警示教育作用，现将5起房地产中介行业侵犯公民个人信息违法违规典型案例通报如下。

01、上海德佑房地产经纪有限公司员工非法对外出售公司内部业主信息

上海德佑房地产经纪有限公司员工陈某、祝某某、马某合谋对外出售公司掌握的房屋业主信息来获利。三人通过马某的员工账号和权限访问公司大数据信息平台，查询并导出挂牌房屋的业主信息，将信息对外出售获取好处费。至案发，陈某从祝某某处获取好处费20万元，陈某给予马某好处费6万元。仅2021年4月，陈某对外发送信息共计12716条。2021年11月，司法机关以侵犯公民个人信息罪判处陈某有期徒刑三年六个月，并处罚金人民币十万元；判处祝某某有期徒刑三年，并处罚金人民币八万元；判处马某有期徒刑一年十个月，并处罚金人民币五万元。

02、房地产经纪从业人员沈某某采取购买、收受、交换等方式非法获取公民个人信息

2017年至2019年，沈某某先后在无锡畅盛房地产经纪有限公司、无锡沪联房地产经纪有限公司、无锡链铺网络科技有限公司、无锡大玩家房地产营销策划有限公司等从事房产销售相关业务。期间，沈某某采用购买、收受、交换等方式，从周某某等人非法获取多个楼盘业主的公民个人信息，包括小区名称、门牌号、业主姓名、联系电话等，共计78100余条，并提供给他人共计8600余条。2020年12月，司法机关以侵犯公民个人信息罪判处沈某某有期徒刑三年，并处罚金人民币二万元。

03、中山市裕丰房地产咨询有限公司员工非法购买公民个人信息

2019年9月，中山市裕丰房地产咨询有限公司西区翠景分公司员工黄某，为谋取利益，在添加谭某某微信号后，通过微信转账的方式向谭某某购买大量中山市相关楼盘小区住户的公民个人信息，包括公民姓名、住址、联系电话、房产面积等，共计53590条。2020年6月，司法机关以侵犯公民个人信息罪判处黄某有期徒刑三年，并处罚金人民币五千元。

04、柯某利用“房利帮”网站非法获取、出售业主房源信息

2016年1月起，柯某开始运营“房利帮”网站并开发同名手机APP，以对外售卖二手房租售房源信息为主营业务。运营期间，柯某对网站会员上传真实业主房源信息进行现金激励，吸引掌握该类信息的房地产中介人员注册会员并向网站提供信息，有偿获取了大量包含房屋门牌号码及业主姓名、电话等非公开内容的业主房源信息，共计30余万条，以会员套餐方式出售获利达人民币150余万元。2019年12月，司法机关以侵犯公民个人信息罪判处柯某有期徒刑三年，缓刑四年，并处罚金人民币160万元。

05、湖南省湘西自治州宜居房产经纪服务有限公司蔡某某私自留存业主信息开展业务

湖南省湘西自治州宜居房产经纪服务有限公司负责人蔡某某在某售楼部从事房地产销售期间，利用职务之便，未经售楼部及业主同意，复印了1095条小区业主姓名、门牌号、房产面积、联系电话等资料。后蔡某某成立湘西自治州宜居房产经纪服务有限公司，利用这些业主信息资料开展房屋中介业务，用于在日常经营活动中给业主打电话，询问房屋是否需要出售、出租等。2022年3月，司法机关以侵犯公民个人信息罪判处蔡某某有期徒刑一年，缓刑一年，并处罚金人民币一千元。

全国住房城乡建设工作会议提出，要重拳整治房地产市场秩序，纠治房地产中介等方面乱象，切实维护人民群众合法权益。各级住房城乡建设部门要深入学习贯彻全国住房城乡建设工作会议精神，认真落实建房规〔2023〕2号文件要求，举一反三，加强房地产中介行业管理，会同有关部门加大房地产行业侵犯公民个人信息违法违规行为查处力度，促进房地产市场平稳健康发展。

上海网信部门处罚一批未尽消费者个人信息保护义务单位  五大类问题值得关注

1.5亿条会员个人信息未加密处理存在泄露风险、企业内部数据访问权限设置不合规导致用户信息可能被“一锅端”、存储个人信息的网络系统存在可能被入侵攻击的高危漏洞......

近期，上海市网信办在“亮剑浦江”消费领域个人信息权益保护专项执法行动“回头看”检查阶段发现，部分企业虽然已被约谈要求整改或接受过普法培训，仍然存在对消费者个人信息收集存储不合规、制度规范不健全、管理措施不到位、安全防护不严密等问题，属于明知故犯、心存侥幸。上海市网信办依法对一批未有效履行消费者个人信息保护责任、存在严重问题的知名企业予以行政处罚，这是地方网信办在全国范围内首次依据《个人信息保护法》自主办理的系列行政处罚案件。现将部分典型案例通报如下↓

01.在收集环节强制要、过度取个人信息问题依然存在

经过前期的普法培训、广泛宣传和重点整治，大部分被检查企业在个人信息收集环节能够落实合规要求，但仍有个别企业屡教不改。如某餐饮企业的外送微信小程序在收货地址填写环节，强制用户同意打开精准位置权限，否则无法添加收货地址，属于对消费者非必要个人信息强制索权。

02.在存储环节大量个人信息未加密处于“裸奔”状态

此类问题在执法检查中比较普遍，具有较大的数据泄露风险隐患。如某火锅餐饮连锁企业存储的手机号码、邮箱号码等1.5亿条会员个人信息以及包括身份证号码在内的18万条本公司员工个人信息，某停车扫码SaaS平台存储的8000条包括手机号码在内的车主信息、196万条车牌信息，某大型商超购物企业存储的39万条家庭卡用户的手机号码、身份证号码等个人信息，某房产中介企业收集的200万条用户数据中的20万条客户手机号码等个人信息，以及某少儿培训机构存储的4万条学生姓名、监护人手机号码等个人信息，均未按规定采取加密、去标识化等安全保护措施。

03.在使用传输环节企业随意授权放权管理不到位

检查发现，不少企业在个人信息的使用和传输环节内控制度不严格，存在诸多薄弱问题。如企业内部操作权限设置不合理，在没有授权审批流程的情况下，相关工作人员可以导出包括手机号码在内的用户个人信息，容易导致数据被滥用；有房产中介企业经纪人在查看后台客源信息时，可以看到跨区域的用户手机号码等个人信息。

04.在管理制度上企业关于个人信息保护措施明显缺失

检查发现，这批被处罚的企业普遍存在个人信息保护制度不完善的问题，大多未制定个人信息数据分类分级管理、数据访问权限管理、安全应急预案等制度，部分未按照法律规定确定个人信息保护责任人，建立数据资产管理、数据安全人员管理、数据合作方管理等制度。

05.在安全防护上网络信息系统存在安全漏洞

经技术检测发现，这批被处罚的企业存储使用大量消费者个人信息的网络信息系统都不同程度存在安全漏洞，如一家房产中介企业的网络安全高危漏洞达到7个，还有中低危漏洞8个，易被不法分子利用，存在大量数据被泄漏或被窃取等安全风险。

 “亮剑浦江”专项行动期间，上海市区两级网信、市场监管部门已累计检查企业6043家，依法对520余家企业进行约谈，查处各类个人信息保护案件50余件。在现场检查及后续执法工作中，相关企业能够正视自身问题，按照监管部门要求落实主体责任，及时对暴露出的问题进行有效整改，确保消费者个人信息能被合规收集使用和有效保护。

个人信息受法律保护，关乎人民群众切身利益，任何组织和个人不得侵害。下一步，上海市网信办将深入贯彻落实《个人信息保护法》等法律法规要求，持续加强个人信息保护工作，督促企业切实履行好主体责任，对问题严重、屡教不改的企业坚决予以依法查处。

内蒙古14家机构因未履行个人信息保护义务受到处罚

近期，内蒙古赤峰市喀喇沁旗公安机关多次接到辖区居民被装修推销电话骚扰的警情。

报警者反映，推销人员对其个人及住房情况非常了解，怀疑其个人信息已遭泄露，担心财产和人身安全。

为维护人民群众合法权益，内蒙古赤峰市喀喇沁旗公安局迅速出警，通过缜密侦察，捣毁张某为首的以“信息共享”为名侵犯公民个人信息的犯罪团伙，共抓获犯罪嫌疑人18名，查获公民个人信息100余万条，扣押涉案电脑、手机等物品68件。

经查，该犯罪团伙依托涉案的售楼企业、装修公司，通过“买卖、交换”等非法途径获取特定自然人信息，以“数据分筛、介绍客户、品牌融推”等所谓的“信息共享”方式传播扩散，并以此为目标客户进行“精准”业务推销，严重干扰居民正常生活秩序，对公民个人信息安全构成威胁。

经法院审判，犯罪团伙中张某因犯侵犯公民个人信息罪，被处有期徒刑六个月，并处罚金人民币六万元。

未构成犯罪的温某、王某、马某等16人，根据《中华人民共和国网络安全法》第四十四条、第六十四条第二款之规定，依各违法情节，分别处2千到一万元不等罚款。

公安机关同时开展一案双查，14家相关企业因未全面履行《中华人民共和国个人信息保护法》规定的个人信息保护义务，依据该法第六十六条第一款之规定，喀喇沁旗公安网安部门依法责令相关企业进行改正并给予行政警告，对相关责任人员总计罚款6.8万元。

误导消费者“入会”索要手机号餐饮连锁企业“半天妖烤鱼”被严肃约谈

根据网民举报并经核实，餐饮连锁企业“半天妖烤鱼”在消费者扫码点餐过程中，微信小程序存在误导消费者认为必须先注册会员才能点餐、索取非必要的手机号且首次使用未主动弹窗告知消费者收集使用个人信息规则等违法违规行为。

2月2日下午，上海市网信办依法约谈“半天妖烤鱼”运营企业上海半天妖餐饮管理有限公司负责人，要求企业立即整改，对照问题举一反三自查自纠，切实把个人信息保护置于企业运营的重要位置。企业负责人表示，将认真落实网信部门要求，开展全面自查整改，以实际行动维护消费者个人信息权益。

去年在“亮剑浦江”消费领域个人信息权益保护专项行动中，上海市网信办会同市场监管部门围绕“扫码点餐”场景下企业过度收集消费者个人信息问题开展了集中整治。55000余家全国连锁餐饮门店已完成自查整改，但仍有个别企业置若罔闻、心存侥幸，怠于履行个人信息保护义务。

 “扫码点餐”等小微消费场景不能成为个人信息保护死角，消费者在到店点餐非注册会员情况下无需提供任何个人消息。部分餐饮企业在点餐小程序中设置强制或诱导消费者关注公众号、注册会员，以及收集消费者非必要个人信息等行为，违反了《个人信息保护法》规定的“合法、正当、必要和诚信原则”，侵犯了消费者的知情权与自主选择权。本市餐饮经营者要按照网信部门指导市消保委会同市餐饮烹饪行业协会制定发布的《上海市网络点餐服务消费者个人信息保护合规指引》要求，在收集、使用、保管消费者个人信息的各个环节提高合规意识和保护水平。全国连锁门店超过100家的大型餐饮企业尤其要做出行业表率。

下一步，上海市网信办将会同有关部门持续开展消费场景下个人信息被“过度采、强制要、诱导取、违规用”问题的巡查复查工作，持续发力，巩固成效，遏制乱象。对于明目张胆、屡教不改、阳奉阴违的企业，将依法予以严惩并进行媒体曝光，坚决维护人民群众个人信息合法权益。

罚款10万！衡阳市网信办对某科技公司泄露个人信息作出行政处罚

近期，北京某科技公司对其在衡阳所开发应用的网站数据库存在未授权访问的漏洞，泄露了公民个人信息。衡阳市网信办依据《中华人民共和国数据安全法》对该科技公司予以行政处罚。

经调查核实，该科技公司于2023年1月开发了一家网站，存储了包含用户姓名、手机号、电子邮箱等在内的大量个人信息。该科技公司在开展数据处理活动时，未建立健全全流程数据安全管理制度，未组织开展数据安全教育培训，未采取相应的措施保障数据安全。同时，在开展数据处理活动时未加强风险监测，造成个人信息泄露等问题，该网站存在未履行数据安全保护义务的违法行为。针对以上违法情况，衡阳市网信办依据《中华人民共和国数据安全法》第四十五条有关规定，对该科技公司作出责令改正，给予警告，并处人民币10万元罚款的行政处罚。

数据安全关乎人民群众切身利益，关乎国家安全和社会稳定。开展数据处理活动的企业应当依照法律法规的规定，完善相关管理制度，保障数据安全。一旦发现数据安全缺陷、漏洞等风险时，企业应当立即采取补救措施；发生数据安全事件时，应当立即采取处置措施，按照规定及时向网信部门报告。下一步，衡阳市网信办将深入贯彻落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律要求，切实履行属地管理责任，持续加强网络安全、数据安全和个人信息保护工作，督促企业切实履行好主体责任，对问题严重、屡教不改的企业坚决予以依法查处。

成都创信华通信息技术有限公司

END