《焦點訪談》掃碼消費：要“便捷”更要“邊界”

　　央視網消息(焦點訪談)：一(yī)杯奶茶，錢不多(duō)，但訂單裏卻包含著(zhe)消費者的個人信息和消費軌迹。一(yī)筆訂單不起眼，但如果是一(yī)千杯、一(yī)萬杯奶茶的訂單呢(ne)?對商家來說，這個後面的用戶數據可是一(yī)筆重要的财富。正因爲如此，商家想方設法用各種眼花缭亂的營銷手段獲取用戶數據。掃碼點餐、會員專享、入群領取優惠等。那麽，這些營銷手段裏有沒有對用戶數據的過度采集?采集的數據商家有沒有進行妥善保管呢(ne)?今天我們去上(shàng)海看(kàn)一(yī)看(kàn)。

　　2022年(nián)9月(yuè)的一(yī)天，幾名男子趁夜色偷偷潛入一(yī)家物(wù)流公司的辦公室，爲了不被别人認出，他們不僅把臉捂得嚴嚴實實，甚至還打起了傘。這些人在電腦上(shàng)擺弄了一(yī)番後迅速離去，似乎既沒有盜竊物(wù)品，也沒有搞什麽破壞。然而，不久後上(shàng)海市(shì)公安局闵行分局就(jiù)接到(dào)報警，稱有人遭遇了電信網絡詐騙。

　　上(shàng)海市(shì)公安局闵行分局反詐專班民(mín)警石闵超：“被害人是一(yī)位叫薛某的女士，今年(nián)26歲，平時有一(yī)些網購的習慣，她接到(dào)了一(yī)些冒充客服的網絡詐騙，直接案損2萬多(duō)元。”

　　據了解，詐騙分子之所以能(néng)得手，關鍵就(jiù)是他們精确地掌握了薛女士購物(wù)時留下(xià)的個人信息。那麽，犯罪分子又(yòu)是怎麽搞到(dào)這些信息的呢(ne)?警方後來抓捕了犯罪嫌疑人彭某，據他交代，有人指使他到(dào)物(wù)流企業上(shàng)班，借機盜取用戶信息，并承諾以每條2.5元的價格購買。随後，彭某利用公司管理上(shàng)的漏洞偷偷将木(mù)馬程序植入到(dào)公司電腦中，從而竊取了大量用戶的個人信息。

　　警方偵破的多(duō)起類似案件(jiàn)清晰地表明，竊取、倒賣個人信息，實施電信網絡詐騙已經形成了完整的灰色産業鏈。其中，個人信息洩露是這個鏈條中最重要的一(yī)環。

　　石闵超：“現在的電信網絡詐騙之所以這麽猖獗，主要是犯罪分子拿到(dào)了我們個人信息，精準地對我們制定話術、劇本，對我們實施詐騙。”

　　調查發現，直接竊取個人信息的案件(jiàn)畢竟還是少數，人們碰到(dào)更多(duō)的是在掃碼點餐、停車繳費、房産買賣、商超購物(wù)等場景下(xià)，被商家索取了姓名、位置、手機号碼等個人信息，然後由于各種原因導緻信息洩露。

　　互聯網安全專家張威：“個人信息洩露主要的危害有兩類，一(yī)類是黑(hēi)灰産對個人信息的利用;另外一(yī)塊是企業在用戶信息的濫用上(shàng)面，獲取更多(duō)非正常的商業報酬、商業利益，除此以外，也會通(tōng)過個人信息建立情報體系、樹立行業壁壘。”

　　盡管公衆抱怨聲不斷，那爲什麽企業熱衷于收集消費者個人信息呢(ne)?

　　上(shàng)海交通(tōng)大學數據法律研究中心執行主任、副教授何淵：“因爲現在是數字經濟時代，數據就(jiù)是‘石油’，尤其是大量的數據，具有非常大的價值，是普通(tōng)人難以想象的，非常具有誘惑力。”

　　上(shàng)海市(shì)消保委副秘書長唐健盛：“把這些數據全部整合在一(yī)起，從而形成每個人的畫像，而這個畫像恰恰就(jiù)是最具有商業價值的。”

　　說到(dào)底，數據就(jiù)是打開财富大門的鑰匙。因此，不少用戶的個人信息被商家“過度采、強制要、誘導取、違規用”。針對這些亂象，從6月(yuè)中旬開始，上(shàng)海市(shì)網信辦會同市(shì)場監管局開展了爲期半年(nián)的專項執法行動，重點聚焦餐飲店、停車掃碼、少兒學習培訓、商超購物(wù)、理财小(xiǎo)貸、房産中介、汽車4S店以及租借充電器(qì)等八個消費領域。

　　上(shàng)海市(shì)委網信辦網絡執法監督處副處長吳宏鳴：“通(tōng)過集中整治，提升市(shì)民(mín)個人信息的自(zì)我保護意識，同時規範商家對個人信息保護的行爲，履行好個人信息保護的義務。”

　　通(tōng)過對上(shàng)海29家知名度較高(gāo)的奶茶店、快餐店進行明察暗(àn)訪，發現了幾個比較突出的問題。首先，強制或者超範圍索取信息。這些現象在餐廳、奶茶店、咖啡店非常普遍。比如，用戶明明已經抵達消費場所，仍被告知要通(tōng)過APP或者小(xiǎo)程序掃碼點餐，而在掃碼過程中又(yòu)強制或者以送優惠券、加入會員等理由誘導用戶提供姓名、手機号碼、位置信息等這些超出點餐範圍的需求，否則就(jiù)無法完成點餐。專家表示，這種做法既違反了最小(xiǎo)必要原則，也剝奪了消費者的自(zì)主選擇權，違反了《消費者權益保護法》。

　　門店越多(duō)，産生(shēng)的數據也越多(duō)，有時甚至達到(dào)了驚人的地步。比如，某知名連鎖奶茶品牌每收到(dào)一(yī)筆訂單，就(jiù)會産生(shēng)87條數據，目前已累計産生(shēng)超過100億條。其中，涉及消費者姓名、電話、位置等個人敏感信息的就(jiù)達6.7億條。專家表示，在數字經濟時代，數據通(tōng)常被用于經營管理，這有利于提高(gāo)工(gōng)作效率、提升經濟效益，因此個人信息是可以被采集并使用的。但在采集信息的過程中，必須遵循“合法、正當、必要”三原則才行。

　　據了解，要搭建一(yī)個收集消費者個人信息的技(jì)術平台，門檻很低(dī)，費用也不高(gāo)。在一(yī)些電商平台上(shàng)，有大量開發掃碼點餐小(xiǎo)程序的個人或技(jì)術公司在兜售這種業務。網絡安全專家表示，掃碼點餐存在一(yī)定的風險性，尤其是在小(xiǎo)商家掃描那些來路(lù)不明的二維碼則更無法保障其安全性。

　　那麽，這些被商家用掃碼點餐、誘導提交等手段收集來的信息是否得到(dào)妥善保管了呢(ne)?調查發現，不少企業在保管用戶信息時，存在一(yī)定的隐患。比如，前面提到(dào)的那家知名的奶茶店采集的數據量巨大，根據《網絡安全法》和《數據安全法》，應該按照(zhào)三級标準進行等級保護，但是這家企業卻沒有做這些工(gōng)作。時隔一(yī)個月(yuè)，這家企業整頓得怎麽樣了呢(ne)?

　　某科技(jì)企業總經理朱炎：“後續我們已經聯系了相(xiàng)關的等級保護單位，基本定在12月(yuè)份完成所有的保護工(gōng)作。”

　　至于點一(yī)杯奶茶産生(shēng)的87條信息，記者在後台數據庫上(shàng)看(kàn)到(dào)了。這些信息大多(duō)是企業正常運營所需的生(shēng)産信息，而非個人隐私信息，公衆不必因此恐慌。跟公衆最直接相(xiàng)關的是姓名和手機号碼。記者看(kàn)到(dào)，絕大多(duō)數人留下(xià)的是昵稱或者姓氏，而不是全名;至于手機号碼，記者随機抽取了一(yī)個當天的訂單進行檢查。

　　上(shàng)海市(shì)信息安全測評認證中心創新研究院副院長徐禦：“中間做了掩碼變化，不會把整個個人信息洩露出去，還是符合要求的。”

　　但是很快執法人員發現了一(yī)個完整的手機号碼，商家告知是虛拟手機号。這真的是虛拟号碼嗎?記者立刻撥打了過去，經過确認并非客戶真實手機号。據了解，虛拟号碼是爲了方便商家或外賣小(xiǎo)哥與客戶聯系使用的，可以撥打，但并非真實号碼，并且24小(xiǎo)時後會自(zì)動失效。随後，記者又(yòu)選取了幾天前的訂單再次驗證，結果所有号碼全部失效，并非真實手機号。

　　此外，隐私權政策也是本次檢查的重點内容之一(yī)。所謂隐私權政策，就(jiù)是信息收集方就(jiù)如何收集個人信息所發布的聲明。簡單講，就(jiù)是告訴用戶采集個人信息的目的、用途以及如何保管等。執法人員發現，不少企業要麽沒有隐私權政策，要麽不完善，比如，前面提到(dào)的網紅奶茶店，就(jiù)沒有清晰地告知用戶相(xiàng)關内容。

　　記者調查發現，還有些企業雖然制定了隐私權政策，但過于冗長，用戶體驗非常不友(yǒu)好。比如某咖啡連鎖店的隐私權政策，洋洋灑灑近萬字，這讓消費者如何閱讀?與其說是爲了告知用戶，倒不如說是爲了保護企業自(zì)己。

　　爲了加強個人信息保護，上(shàng)海市(shì)消保委自(zì)7月(yuè)起針對掃碼點餐、停車繳費、少兒培訓和共享充電寶等四種消費場景，分别出台了合規指引、自(zì)律承諾和合規清單。未來，還将針對房産中介、商超購物(wù)等主要消費場景作出相(xiàng)應指引。

　　不僅上(shàng)海，近日北(běi)京市(shì)也發布了掃碼消費服務、違規收集使用、消費者個人信息案例解析及合規指引，整理出六類違規行爲并做出相(xiàng)應規定。國家網信辦8月(yuè)3日發布了《個人信息保護合規審計管理辦法(征求意見稿)》，規定，處理超過100萬人個人信息的處理者，應當每年(nián)至少開展一(yī)次個人信息保護合規審計;其他個人信息處理者應當每二年(nián)至少開展一(yī)次個人信息保護合規審計。

　　數據被稱爲信息時代的“石油”，就(jiù)是指它價值巨大，而包含個人信息的數據更是優質“石油”，是商家争奪的焦點。但是在消費領域，用戶個人信息被商家“過度采、強制要、誘導取、違規用”的現象卻并不少見。商家采集用戶個人信息不是不可以，但應該是采之有界，用之有度，護之有責。如何規範各種消費場景下(xià)商家的信息采集、使用行爲，如何監督引導商家做好對消費者個人信息的保護，應該引起我們足夠的重視。