点餐必须扫码、强制索取信息……扫码消费“边界”在哪儿?

一杯奶茶也许不贵,但订单里却包含着消费者的个人信息和消费轨迹。对商家来说,成千上万笔订单背后的用户数据堪称一笔重要的“财富”。

扫码点餐、会员专享、入群领取优惠……这些眼花缭乱的营销手段有没有对用户数据的过度采集?采集的数据商家有没有进行妥善保管呢?

大量个人数据如同“石油”

被商家“过度采、强制要、诱导取、违规用”

相比直接窃取个人信息的案件,人们碰到更多的是在扫码点餐、停车缴费、商超购物等场景下,被商家索取姓名、位置、手机号码等个人信息,然后由于各种原因导致信息泄露。

互联网安全专家表示,个人信息泄露主要的危害有两类:一类是黑灰产对个人信息的利用;另一类是企业滥用用户信息,获取更多非正常的商业报酬、商业利益。除此以外,还会通过个人信息建立情报体系、树立行业壁垒。

图片

尽管消费者抱怨声不断,为什么企业仍热衷于收集消费者个人信息呢?

专家表示,在数字经济时代,数据就像石油。尤其是大量数据,具有非常大的价值。把这些数据全部整合在一起,形成每个人的画像,就是最具有商业价值的事。

一句话概括:数据就是打开财富大门的钥匙。因此,不少用户的个人信息被商家“过度采、强制要、诱导取、违规用”。

针对这些乱象,从6月中旬起,上海市网信办会同市场监管局开展了为期半年的专项执法行动,重点聚焦餐饮店、停车扫码、少儿学习培训、商超购物、理财小贷、房产中介、汽车4S店以及租借充电器等八个消费领域。
强制索取信息、信息保管、隐私权政策

为执法焦点

通过对上海29家知名度较高的奶茶店、快餐店明察暗访中,执法小组发现了几个比较突出的问题。

首先就是强制或者超范围索取信息。这种现象在餐厅、奶茶店、咖啡店非常普遍。用户已经抵达消费场所,仍被告知要通过App或者小程序扫码点餐,而在扫码过程中又强制或者以送优惠券、加入会员等理由诱导用户提供姓名、手机号码、位置信息等超出点餐范围的需求,否则就无法完成点餐。

专家表示,这种做法既违反了最小必要原则,也剥夺了消费者的自主选择权,违反了消费者权益保护法。

图片

门店越多,产生的数据也越多,有时甚至达到惊人的地步。比如,某知名连锁奶茶品牌每收到一笔订单,就会产生87条数据,目前已累计产生超过100亿条。其中,涉及消费者姓名、电话、位置等敏感个人信息的达6.7亿条。

专家表示,在数字经济时代,数据通常被用于经营管理,这有利于提高工作效率、提升经济效益。个人信息是可以被采集使用,但在采集信息的过程中,必须遵循“合法、正当、必要”三原则。

图片

据了解,要搭建一个收集消费者个人信息的技术平台,门槛很低,费用也不高。网络安全专家表示,扫码点餐存在一定的风险性,尤其是在小商家扫描那些来路不明的二维码。

那么,这些被商家用扫码点餐、诱导提交等手段收集来的信息是否得到了妥善保管呢?

调查发现,不少企业在保管用户信息时,存在一定的隐患。比如,采集数据量巨大的某知名奶茶店,根据网络安全法和数据保护法,应该按照三级标准进行等级保护,但是这家企业却没有做这些工作。

图片

此外,隐私权政策也是本次检查的重点内容之一。所谓隐私权政策,就是信息收集方就如何收集个人信息所发布的声明。简单讲,就是告诉用户采集个人信息的目的、用途以及如何保管等。

执法人员发现,不少企业要么没有隐私权政策,要么不完善。还有些企业虽然制定了隐私权政策,但过于冗长,用户体验非常不友好。有的隐私权政策洋洋洒洒近万字,与其说是为了告知用户,倒不如说是为了保护企业自己。

图片

多地出台合规指引

加强个人信息保护

为了加强个人信息保护,上海市消保委自7月起针对扫码点餐、停车缴费、少儿培训和共享充电宝等四种消费场景,分别出台了合规指引、自律承诺和合规清单。未来,还将针对房产中介、商超购物等主要消费场景作出相应指引。

近日,北京市也发布了扫码消费服务违规收集使用消费者个人信息案例解析及合规指引,整理出六类违规行为并作出相应规定。

国家网信办8月3日发布的《个人信息保护合规审计管理办法(征求意见稿)》规定,处理超过100万人个人信息的处理者,应当每年至少开展一次个人信息保护合规审计;其他个人信息处理者应当每两年至少开展一次个人信息保护合规审计。

图片

数据被称为信息时代的“石油”,而包含个人信息的数据更是优质“石油”,是商家争夺的焦点商家采集用户个人信息不是不可以,但应该采之有界,用之有度,护之有责如何规范各种消费场景下商家的信息采集、使用行为,如何监督引导商家做好对消费者个人信息的保护,应该引起我们足够的重视。

来源:央视新闻微信公众号(ID:cctvnewscenter)综合《焦点访谈》