1月29日，上海市网信办通报称，已依法对一批未有效履行消费者个人信息保护责任、存在严重问题的知名企业予以行政处罚。澎湃新闻了解到，作为火锅界“顶流”的某知名火锅连锁品牌赫然在列。

据上海市网信办通报，上述知名火锅连锁品牌违法违规行为集中体现在两个环节：在收集个人信息环节，其外送微信小程序仍在强制索取精准位置信息；在存储个人信息环节，其创设近30年来形成的1.5亿条会员个人信息以及18万条公司员工信息未加密存储，“多年来一直处于‘裸奔’状态”。

“这是对消费者最直接的风险，一旦信息发生了泄露，可能会造成无法挽回的损失。”上海市网信办相关负责人指出。

据上海市网信办介绍，上述知名火锅连锁品牌违法违规行为的查实是在2023年10月底至11月。为切实巩固“亮剑浦江”个人信息权益保护专项执法行动成效，上海市网信办其间启动了“回头看”执法检查，该火锅品牌系执法检查对象之一。

在对外发布的通报中，上海市网信办称，该火锅品牌1.5亿条会员个人信息及18万条员工信息未采取相应的加密措施。

澎湃新闻进一步获悉，1.5亿条会员个人信息涉及的对象为该火锅品牌创设近30年来收集的中国大陆地区会员，主要为会员的手机号码、邮箱号码等。而18万条的员工个人信息甚至包括姓名、身份证号码、手机号码、家庭地址等在内的比较敏感的个人信息。

对上述个人信息未加密、处于“裸奔”状态的隐患，据不愿透露姓名的业内专家分析，未加密的个人信息存在被“内鬼”等盗取的危险。而通过“内鬼”泄露而收集到的这些真实手机号码，能偷窥到会员的消费习惯。如果结合在“暗网”售卖的其他数据源，就能更精准地对用户进行画像。

上海市网信办相关人员补充说，泄露的个人信息还有可能被用于电信诈骗，“通过对个人信息的分析研判，电诈涉案人员可以判断出你是否属于容易上当的特殊人群”。

除了巨量的会员信息与员工信息存在泄露风险外，该火锅品牌“超级管理员”的设置也极不合理，进一步加剧了信息泄露的风险。

因为拥有最高权限和不受限制的完全访问权，所谓的“超级管理员”在设置时一般严控数量。澎湃新闻从上海市网信办了解到，在检查上述火锅品牌时，技术人员发现其会员运营管理平台的“超级管理员”账号竟然高达20余个。

“企业运营系统设置的‘超级管理员’一般都在1~2名，且是专人专责管理。该火锅品牌明显存在操作权限分配不合理。”参与检查的技术人员告诉澎湃新闻，此举更是加剧了会员个人信息泄露风险，“会员个人信息泄露的概率一下子就会变成1:20以上”。

对为何设置如此之多的“超级管理员”，该火锅品牌称是为了系统测试需要。

至于18万条的员工个人信息，据介绍，该火锅品牌的人事系统部分账号同样可以查到包括身份证号码、家庭地址等在内的个人敏感信息。

此外，澎湃新闻了解到，在收集个人信息环节，该火锅品牌外送微信小程序在填写收货地址信息时，还强制用户同意打开位置权限获取精准位置信息，否则无法添加收货地址，存在强制索取非必要权限问题。目前，这一违法违规行为已完成整改。

上述知名火锅品牌作为实力超群的业界顶流，在个人信息保护方面尚且存在如此严重的问题，其他企业做得如何可想而知。

实际上，在此之前，某知名奶茶品牌就曾因类似情况上过热搜。2023年3月，上海市消保委对包括“CoCo”“茶百道”“7分甜”等在内上海29家知名度较高的奶茶店、快餐店进行暗访，后经上海市网信办调查发现，某网红知名连锁奶茶品牌每收到一笔订单，就可产生87条数据，截至当月其累计产生的数据超100亿条。其中，涉及消费者姓名、电话、收货地址经度纬度等敏感个人信息的达6.7亿条。

点一杯奶茶产生87条数据，反映出餐饮企业与所委托的技术开发企业，采取的是“消费者信息采集最大化”原则，对于其各类隐私数据可谓无所不采。对此，如果企业自身不具备合规意识，主管部门不加以有效监管，餐饮行业将成为消费者隐私安全泄露的重灾区。

“企业收集的信息量越大，收集信息内容越敏感，企业相应要承担的法律责任就应该越严格。”上海市网信办相关负责人强调。该负责人同时表示，此次上海市网信办通过发布包括上述火锅品牌在内的典型案例，希望对行业和相关企业能起到“以案示警、以案为戒、以案促改”的警示教育意义，有助于各企业固强补弱，提高保护消费者个人信息的合规意识，切实履行个人信息保护的义务和法律责任。

同时，为了避免被餐饮企业过度收集信息，上海市网信办还提醒消费者，在日常点餐中可积极落实其提出的“六不”建议，做到“隐私政策不告知不继续”“非必要个人信息不提供”“一键要号码不允许”“‘被’会员诱关注不冲动”“定向推营销广告不接受”