《焦點訪談》 20230904 掃碼消費:要“便捷”更要“邊界”
央視網(wǎng)消息(焦點訪談):一杯奶茶,錢不多,但訂單里卻包含著消費者的個人信息和消費軌跡。一筆訂單不起眼,但如果是一千杯、一萬杯奶茶的訂單呢?對商家來說,這個后面的用戶數(shù)據(jù)可是一筆重要的財富。正因為如此,商家想方設(shè)法用各種眼花繚亂的營銷手段獲取用戶數(shù)據(jù)。掃碼點餐、會員專享、入群領(lǐng)取優(yōu)惠等。那么,這些營銷手段里有沒有對用戶數(shù)據(jù)的過度采集?采集的數(shù)據(jù)商家有沒有進(jìn)行妥善保管呢?今天我們?nèi)ド虾?匆豢础?/p>
2022年9月的一天,幾名男子趁夜色偷偷潛入一家物流公司的辦公室,為了不被別人認(rèn)出,他們不僅把臉捂得嚴(yán)嚴(yán)實實,甚至還打起了傘。這些人在電腦上擺弄了一番后迅速離去,似乎既沒有盜竊物品,也沒有搞什么破壞。然而,不久后上海市公安局閔行分局就接到報警,稱有人遭遇了電信網(wǎng)絡(luò)詐騙。
上海市公安局閔行分局反詐專班民警石閔超:“被害人是一位叫薛某的女士,今年26歲,平時有一些網(wǎng)購的習(xí)慣,她接到了一些冒充客服的網(wǎng)絡(luò)詐騙,直接案損2萬多元?!?/p>
據(jù)了解,詐騙分子之所以能得手,關(guān)鍵就是他們精確地掌握了薛女士購物時留下的個人信息。那么,犯罪分子又是怎么搞到這些信息的呢?警方后來抓捕了犯罪嫌疑人彭某,據(jù)他交代,有人指使他到物流企業(yè)上班,借機盜取用戶信息,并承諾以每條2.5元的價格購買。隨后,彭某利用公司管理上的漏洞偷偷將木馬程序植入到公司電腦中,從而竊取了大量用戶的個人信息。
警方偵破的多起類似案件清晰地表明,竊取、倒賣個人信息,實施電信網(wǎng)絡(luò)詐騙已經(jīng)形成了完整的灰色產(chǎn)業(yè)鏈。其中,個人信息泄露是這個鏈條中最重要的一環(huán)。
石閔超:“現(xiàn)在的電信網(wǎng)絡(luò)詐騙之所以這么猖獗,主要是犯罪分子拿到了我們個人信息,精準(zhǔn)地對我們制定話術(shù)、劇本,對我們實施詐騙。”
調(diào)查發(fā)現(xiàn),直接竊取個人信息的案件畢竟還是少數(shù),人們碰到更多的是在掃碼點餐、停車?yán)U費、房產(chǎn)買賣、商超購物等場景下,被商家索取了姓名、位置、手機號碼等個人信息,然后由于各種原因?qū)е滦畔⑿孤丁?/p>
互聯(lián)網(wǎng)安全專家張威:“個人信息泄露主要的危害有兩類,一類是黑灰產(chǎn)對個人信息的利用;另外一塊是企業(yè)在用戶信息的濫用上面,獲取更多非正常的商業(yè)報酬、商業(yè)利益,除此以外,也會通過個人信息建立情報體系、樹立行業(yè)壁壘?!?/p>
盡管公眾抱怨聲不斷,那為什么企業(yè)熱衷于收集消費者個人信息呢?
上海交通大學(xué)數(shù)據(jù)法律研究中心執(zhí)行主任、副教授何淵:“因為現(xiàn)在是數(shù)字經(jīng)濟時代,數(shù)據(jù)就是‘石油’,尤其是大量的數(shù)據(jù),具有非常大的價值,是普通人難以想象的,非常具有誘惑力?!?/p>
上海市消保委副秘書長唐健盛:“把這些數(shù)據(jù)全部整合在一起,從而形成每個人的畫像,而這個畫像恰恰就是最具有商業(yè)價值的?!?/p>
說到底,數(shù)據(jù)就是打開財富大門的鑰匙。因此,不少用戶的個人信息被商家“過度采、強制要、誘導(dǎo)取、違規(guī)用”。針對這些亂象,從6月中旬開始,上海市網(wǎng)信辦會同市場監(jiān)管局開展了為期半年的專項執(zhí)法行動,重點聚焦餐飲店、停車掃碼、少兒學(xué)習(xí)培訓(xùn)、商超購物、理財小貸、房產(chǎn)中介、汽車4S店以及租借充電器等八個消費領(lǐng)域。
上海市委網(wǎng)信辦網(wǎng)絡(luò)執(zhí)法監(jiān)督處副處長吳宏鳴:“通過集中整治,提升市民個人信息的自我保護意識,同時規(guī)范商家對個人信息保護的行為,履行好個人信息保護的義務(wù)。”
通過對上海29家知名度較高的奶茶店、快餐店進(jìn)行明察暗訪,發(fā)現(xiàn)了幾個比較突出的問題。首先,強制或者超范圍索取信息。這些現(xiàn)象在餐廳、奶茶店、咖啡店非常普遍。比如,用戶明明已經(jīng)抵達(dá)消費場所,仍被告知要通過APP或者小程序掃碼點餐,而在掃碼過程中又強制或者以送優(yōu)惠券、加入會員等理由誘導(dǎo)用戶提供姓名、手機號碼、位置信息等這些超出點餐范圍的需求,否則就無法完成點餐。專家表示,這種做法既違反了最小必要原則,也剝奪了消費者的自主選擇權(quán),違反了《消費者權(quán)益保護法》。
門店越多,產(chǎn)生的數(shù)據(jù)也越多,有時甚至達(dá)到了驚人的地步。比如,某知名連鎖奶茶品牌每收到一筆訂單,就會產(chǎn)生87條數(shù)據(jù),目前已累計產(chǎn)生超過100億條。其中,涉及消費者姓名、電話、位置等個人敏感信息的就達(dá)6.7億條。專家表示,在數(shù)字經(jīng)濟時代,數(shù)據(jù)通常被用于經(jīng)營管理,這有利于提高工作效率、提升經(jīng)濟效益,因此個人信息是可以被采集并使用的。但在采集信息的過程中,必須遵循“合法、正當(dāng)、必要”三原則才行。
據(jù)了解,要搭建一個收集消費者個人信息的技術(shù)平臺,門檻很低,費用也不高。在一些電商平臺上,有大量開發(fā)掃碼點餐小程序的個人或技術(shù)公司在兜售這種業(yè)務(wù)。網(wǎng)絡(luò)安全專家表示,掃碼點餐存在一定的風(fēng)險性,尤其是在小商家掃描那些來路不明的二維碼則更無法保障其安全性。
那么,這些被商家用掃碼點餐、誘導(dǎo)提交等手段收集來的信息是否得到妥善保管了呢?調(diào)查發(fā)現(xiàn),不少企業(yè)在保管用戶信息時,存在一定的隱患。比如,前面提到的那家知名的奶茶店采集的數(shù)據(jù)量巨大,根據(jù)《網(wǎng)絡(luò)安全法》和《數(shù)據(jù)安全法》,應(yīng)該按照三級標(biāo)準(zhǔn)進(jìn)行等級保護,但是這家企業(yè)卻沒有做這些工作。時隔一個月,這家企業(yè)整頓得怎么樣了呢?
某科技企業(yè)總經(jīng)理朱炎:“后續(xù)我們已經(jīng)聯(lián)系了相關(guān)的等級保護單位,基本定在12月份完成所有的保護工作?!?/p>
至于點一杯奶茶產(chǎn)生的87條信息,記者在后臺數(shù)據(jù)庫上看到了。這些信息大多是企業(yè)正常運營所需的生產(chǎn)信息,而非個人隱私信息,公眾不必因此恐慌。跟公眾最直接相關(guān)的是姓名和手機號碼。記者看到,絕大多數(shù)人留下的是昵稱或者姓氏,而不是全名;至于手機號碼,記者隨機抽取了一個當(dāng)天的訂單進(jìn)行檢查。
上海市信息安全測評認(rèn)證中心創(chuàng)新研究院副院長徐御:“中間做了掩碼變化,不會把整個個人信息泄露出去,還是符合要求的?!?/p>
但是很快執(zhí)法人員發(fā)現(xiàn)了一個完整的手機號碼,商家告知是虛擬手機號。這真的是虛擬號碼嗎?記者立刻撥打了過去,經(jīng)過確認(rèn)并非客戶真實手機號。據(jù)了解,虛擬號碼是為了方便商家或外賣小哥與客戶聯(lián)系使用的,可以撥打,但并非真實號碼,并且24小時后會自動失效。隨后,記者又選取了幾天前的訂單再次驗證,結(jié)果所有號碼全部失效,并非真實手機號。
此外,隱私權(quán)政策也是本次檢查的重點內(nèi)容之一。所謂隱私權(quán)政策,就是信息收集方就如何收集個人信息所發(fā)布的聲明。簡單講,就是告訴用戶采集個人信息的目的、用途以及如何保管等。執(zhí)法人員發(fā)現(xiàn),不少企業(yè)要么沒有隱私權(quán)政策,要么不完善,比如,前面提到的網(wǎng)紅奶茶店,就沒有清晰地告知用戶相關(guān)內(nèi)容。
記者調(diào)查發(fā)現(xiàn),還有些企業(yè)雖然制定了隱私權(quán)政策,但過于冗長,用戶體驗非常不友好。比如某咖啡連鎖店的隱私權(quán)政策,洋洋灑灑近萬字,這讓消費者如何閱讀?與其說是為了告知用戶,倒不如說是為了保護企業(yè)自己。
為了加強個人信息保護,上海市消保委自7月起針對掃碼點餐、停車?yán)U費、少兒培訓(xùn)和共享充電寶等四種消費場景,分別出臺了合規(guī)指引、自律承諾和合規(guī)清單。未來,還將針對房產(chǎn)中介、商超購物等主要消費場景作出相應(yīng)指引。
不僅上海,近日北京市也發(fā)布了掃碼消費服務(wù)、違規(guī)收集使用、消費者個人信息案例解析及合規(guī)指引,整理出六類違規(guī)行為并做出相應(yīng)規(guī)定。國家網(wǎng)信辦8月3日發(fā)布了《個人信息保護合規(guī)審計管理辦法(征求意見稿)》,規(guī)定,處理超過100萬人個人信息的處理者,應(yīng)當(dāng)每年至少開展一次個人信息保護合規(guī)審計;其他個人信息處理者應(yīng)當(dāng)每二年至少開展一次個人信息保護合規(guī)審計。
數(shù)據(jù)被稱為信息時代的“石油”,就是指它價值巨大,而包含個人信息的數(shù)據(jù)更是優(yōu)質(zhì)“石油”,是商家爭奪的焦點。但是在消費領(lǐng)域,用戶個人信息被商家“過度采、強制要、誘導(dǎo)取、違規(guī)用”的現(xiàn)象卻并不少見。商家采集用戶個人信息不是不可以,但應(yīng)該是采之有界,用之有度,護之有責(zé)。如何規(guī)范各種消費場景下商家的信息采集、使用行為,如何監(jiān)督引導(dǎo)商家做好對消費者個人信息的保護,應(yīng)該引起我們足夠的重視。
版權(quán)聲明:凡注明“來源:中國西藏網(wǎng)”或“中國西藏網(wǎng)文”的所有作品,版權(quán)歸高原(北京)文化傳播有限公司。任何媒體轉(zhuǎn)載、摘編、引用,須注明來源中國西藏網(wǎng)和署著作者名,否則將追究相關(guān)法律責(zé)任。