觀(guān)點(diǎn)：誰(shuí)“偷”了我的信息：一杯網(wǎng)紅奶茶產(chǎn)生87條數據背后

你能想象，一杯網(wǎng)紅奶茶會(huì )產(chǎn)生87條數據！

(資料圖片)

今年3月上海市消保委對包括“CoCo”“沈大成”“茶百道”“7分甜”“蜜雪冰城”等在內上海29家知名度較高的奶茶店、快餐店進(jìn)行暗訪(fǎng)。事后，經(jīng)上海市網(wǎng)信辦調查發(fā)現，某網(wǎng)紅知名連鎖奶茶品牌每收到一筆訂單，就可產(chǎn)生87條數據。截至今年3月其累計產(chǎn)生的數據超100億條。其中，涉及消費者姓名、電話(huà)、收貨地址經(jīng)度緯度等敏感個(gè)人信息的達6.7億條。

這些數據是誰(shuí)在搭建技術(shù)平臺進(jìn)行搜集？餐飲店收集的個(gè)人信息最終可能流向了哪里？澎湃新聞為此進(jìn)行了調查。

“下單必填手機號”定制開(kāi)發(fā)只要一個(gè)月

由于開(kāi)發(fā)技術(shù)門(mén)檻不高，各大電商平臺、二手線(xiàn)上交易平臺及搜索網(wǎng)站上，存在大量開(kāi)發(fā)掃碼點(diǎn)餐小程序的個(gè)人買(mǎi)家或技術(shù)公司。服務(wù)權限不同，小程序系統的訂閱價(jià)格差異較大，但所有受訪(fǎng)者均表示，可以實(shí)現部分用戶(hù)個(gè)人信息的采集。

淘寶一家可搭建點(diǎn)餐小程序的店鋪客服告訴澎湃新聞，目前只能收集用戶(hù)的下單地址和手機號，僅一天左右時(shí)間就可搭建完成，價(jià)格為80元一年，160元可永久使用。

該客服稱(chēng)，任何帶有強制性功能的小程序都會(huì )被封號，“像必須綁定手機號才能下單這種，就屬于強制性的，只要被檢測，就會(huì )被封?！?/p>

另一家淘寶店鋪提供的點(diǎn)餐小程序價(jià)格為三年300元，續費為99元/年，可收集用戶(hù)姓名、電話(huà)和收貨地址，但無(wú)法實(shí)現強制關(guān)注微信公眾號等功能。

一家名為“杰里科技”的企業(yè)服務(wù)商專(zhuān)門(mén)從事APP、小程序、系統等軟件的定制開(kāi)發(fā)。其官網(wǎng)介紹，開(kāi)發(fā)的餐飲小程序可提供定位、在線(xiàn)點(diǎn)餐預定、排號查號、菜品管理等各類(lèi)功能。

工作人員廖先生介紹，常規模板系統就可實(shí)現顧客姓名、手機號和定位信息的獲取。若對個(gè)別功能有特殊處理要求，如要求點(diǎn)餐時(shí)強制成為會(huì )員、不授權定位就不能點(diǎn)單、下單必須填寫(xiě)名字手機號等功能，需要單獨定制開(kāi)發(fā)。

“具體價(jià)格要按照實(shí)施工作量評估?！绷蜗壬Q(chēng)，定制開(kāi)發(fā)需要一個(gè)月左右，常規模板系統只需一周。

提供網(wǎng)證甚至能收集身份證號、人臉

對于用戶(hù)個(gè)人信息儲存安全問(wèn)題，前述淘寶賣(mài)家稱(chēng)，沒(méi)有人會(huì )攻擊存儲服務(wù)器，絕對安全。還有賣(mài)家表示，不放心可以簽訂保密協(xié)議，“所有數據只有我和你能看，我保證不會(huì )泄露客戶(hù)任何數據?！?/p>

澎湃新聞?dòng)浾咴凇跋挑~(yú)”隨機聯(lián)系上一位賣(mài)家，自稱(chēng)可提供智能收銀系統、點(diǎn)餐掃碼系統等，適用于甜品咖啡、蛋糕烘焙、茶飲等零售餐飲業(yè)，可包開(kāi)發(fā)、搭建、認證和基礎運營(yíng)。

按對方要求添加微信好友后，該賣(mài)家迅速發(fā)來(lái)多家咖啡店、炸雞店的成品點(diǎn)單小程序，并迅速建群，拉入其他工作人員提供咨詢(xún)跟進(jìn)服務(wù)。

其中一工作人員在了解澎湃新聞?dòng)浾叩摹靶枨蟆焙笳f(shuō)，目前有基礎版和高級版兩種服務(wù)系統，對應價(jià)格為2699/年和8150/年，后者可開(kāi)通更多精準營(yíng)銷(xiāo)推送服務(wù)，如定向給微信用戶(hù)發(fā)送優(yōu)惠券或推送商家活動(dòng)信息等。

該工作人員表示，獲取用戶(hù)的頭像、姓名、手機號、定位信息以及收貨地址，是基礎服務(wù)功能，“很容易操作”，一些蛋糕烘培店鋪還會(huì )要求獲取性別、年齡等信息。如果提供相關(guān)網(wǎng)證，后臺系統還可設置獲取用戶(hù)的身份證號、人臉等敏感個(gè)人信息?！安贿^(guò)，餐飲零售行業(yè)很難申請到網(wǎng)證，一般是科技公司才能拿到?！?/p>

該工作人員稱(chēng)，大部分消費者已形成授權習慣，一般不會(huì )對小程序的授權要求感到反感。商家可以通過(guò)設置無(wú)門(mén)檻消費券、提供儲值優(yōu)惠等方式，誘導用戶(hù)留下個(gè)人信息，“只要他想用優(yōu)惠券，就必須填?！?/p>

該工作人員還發(fā)給記者一個(gè)模版系統賬戶(hù)。登錄點(diǎn)擊“用戶(hù)管理”一欄，就能看到用戶(hù)的手機號、收貨地址等信息。點(diǎn)擊用戶(hù)頭像，還能查看該用戶(hù)軌跡，包括每次登錄小程序的精確時(shí)間及IP定位地址。

該工作人員表示，所有用戶(hù)信息均以區塊鏈的方式上傳、存儲于服務(wù)器中，可在后臺直接導出，且每個(gè)賬戶(hù)獨立操作，登錄需要驗證，保證信息安全不會(huì )外泄。此外，如果停用系統服務(wù)超過(guò)一個(gè)月，該賬戶(hù)和所有數據都會(huì )被清空。

餐飲企業(yè)收集的信息流向四類(lèi)供應商，或存在額外風(fēng)險

餐飲店收集的個(gè)人信息最終可能流向哪里？

中倫律師事務(wù)所律師劉新宇此前對市場(chǎng)上部分餐飲企業(yè)的《隱私政策》進(jìn)行調研后發(fā)現，餐飲企業(yè)可能會(huì )將用戶(hù)個(gè)人信息提供給四類(lèi)供應商：第三方技術(shù)服務(wù)提供商、數據分析服務(wù)提供商、支付服務(wù)提供商或者第三方合作平臺。而這些途徑均存在信息流出的風(fēng)險。

他舉例稱(chēng)，如一些提供推送服務(wù)、Bug監測服務(wù)的技術(shù)服務(wù)商，往往具有較強的信息技術(shù)服務(wù)能力，其使用餐飲企業(yè)提供的個(gè)人信息識別出個(gè)人信息主體身份的能力也往往更強，“一定程度提升了個(gè)人信息主體身份暴露的風(fēng)險”。

劉新宇表示，隨著(zhù)互聯(lián)網(wǎng)以及大數據技術(shù)的不斷發(fā)展成熟，數據已然成為了數字經(jīng)濟時(shí)代的“石油”。對餐飲企業(yè)而言，收集用戶(hù)隱私信息，便于更精確地定位、營(yíng)銷(xiāo)對象，既能夠幫助其節約獲客成本，還能夠顯著(zhù)提高其營(yíng)銷(xiāo)活動(dòng)的成功率。與第三方數據機構開(kāi)展合作后，這些經(jīng)過(guò)加工處理的個(gè)人信息還可提供給各券商、行研機構用于市場(chǎng)調研，商業(yè)價(jià)值之大，難以估量。

他認為，消費者不該為了追求便捷，形成隨意授權習慣，應當保持警惕?！坝绕涫蔷珳识ㄎ恍畔?，一旦被利用或泄露，消費者很有可能會(huì )暴露在極大的風(fēng)險之中，甚至威脅到人身安全。兒童、獨居女性等重點(diǎn)人群尤其需要注意?！眲⑿掠钫f(shuō)。

法條抽象實(shí)際損失難量化加劇維權難

圍繞網(wǎng)絡(luò )信息安全，我國已相繼出臺了《網(wǎng)絡(luò )安全法》《數據安全法》《個(gè)人信息保護法》等多個(gè)法律文件，明確了公民個(gè)人信息的內涵、外延，對收集個(gè)人信息、非法獲取、出售個(gè)人信息等都進(jìn)行了相應的規定，但在這些法律框架之下，餐飲行業(yè)違規處理個(gè)人信息亂象叢生，屢禁不止。

究其原因，長(cháng)寧區法院互聯(lián)網(wǎng)審判庭負責人祁曉棟認為，一方面，公民個(gè)人很難有效防范信息泄露的發(fā)生；另一方面，個(gè)人信息保護法等相關(guān)法條較為抽象，在實(shí)務(wù)中具體適用較為困難。同時(shí)，相關(guān)救濟途徑尚不便利，消費者維權難度較大。

祁曉棟解釋稱(chēng)，相關(guān)主體收集網(wǎng)絡(luò )使用者的相關(guān)信息，隱蔽性強、技術(shù)壁壘高，用戶(hù)很難察覺(jué)應用程序的運行方式與背后處理鏈條，對信息何時(shí)被收集、收集后如何使用及轉移均不知情。

在法條方面，《個(gè)人信息保護法》第四十五條和《民法典》第一千零三十七條均明確了個(gè)人信息的查閱、復制權。但囿于相關(guān)法條的抽象性，實(shí)務(wù)中有關(guān)查閱復制權的基礎性問(wèn)題，如個(gè)人信息查閱復制權和知情權保護的客體如何區分、查閱復制的信息范圍及時(shí)間跨度如何認定等問(wèn)題，仍存在諸多爭議。同時(shí)，由于許多非法信息處理行為在被發(fā)現查處時(shí)，尚未造成個(gè)人的實(shí)際財產(chǎn)損失，或即便存在損失亦難量化為具體金額，而主張精神損害賠償又受到嚴格限制，造成了個(gè)人維權難的困境。

劉新宇同樣認為，目前《個(gè)人信息保護法》從宏觀(guān)層面對餐飲企業(yè)處理個(gè)人信息提出了合規要求，但部分規則較為抽象，其中‘最小必要’的判斷標準、算法公開(kāi)透明的判斷標準等焦點(diǎn)問(wèn)題也缺少配套法規進(jìn)行進(jìn)一步解釋?zhuān)狈Φ湫桶咐?，導致餐飲企業(yè)無(wú)法對相關(guān)合規要求進(jìn)行響應，不同執法部門(mén)也對同一規則的理解存在偏差，進(jìn)而難以推動(dòng)相應執法工作的開(kāi)展。

“目前國家也正在加大力度培養信息技術(shù)能力與法律能力兼備的儲備人才，可以預見(jiàn)在不久的將來(lái)，這一問(wèn)題可以得到有效解決?！眲⑿掠畋硎?。

記者獲悉，6月16日下午，在國家網(wǎng)信辦網(wǎng)絡(luò )執法與監督局全面支持和指導下，上海市網(wǎng)信辦、市市場(chǎng)監管局聯(lián)合市教委、市商務(wù)委、市通管局等多個(gè)行業(yè)主管部門(mén)，啟動(dòng)“亮劍浦江·消費領(lǐng)域個(gè)人信息權益保護專(zhuān)項執法行動(dòng)”，將聚焦餐飲店、停車(chē)掃碼、少兒學(xué)習培訓等八類(lèi)重點(diǎn)消費領(lǐng)域，對個(gè)人信息領(lǐng)域的“過(guò)度采、強制要、誘導取、違規用”等違法行為開(kāi)展集中整治，為期半年。

（澎湃新聞）

標簽：