餐飲店提供并鼓勵使用線上點餐,看似便捷的操作背後,藏有不少“存在某種問題或陰謀”。
6月上旬,澎湃新聞随機暗訪上海兩大商圈的多家餐飲店,經多次掃碼測試,這些店鋪采用的掃碼點餐系統普遍存在誘導關注公衆号;頻繁索要使用者姓名、手機号碼;頻繁誘導或強制索要使用者精準定位;頻繁誘導或強制要求注冊成為會員等情況。
其中,星巴克點餐小程式顯示,點杯星巴克咖啡,消費者至少被彈窗提示注冊會員3次,彈窗索要定位授權2次。而“Wagas(沃歌斯)”的小程式二維碼,頁面會直接彈窗索要位置權限。隻要不授權,該頁面就像發生故障般不斷加載。
長期關注網際網路資料安全的不具名專家指出,根據現行法律及相關行為認定,當消費者拒絕提供非必要的個人資訊,就無法使用相關應用,即為“強制”收集行為;當消費者明确拒絕授權後,商家再次索取,即為“頻繁”索要行為,兩者均構成違法。而在選擇門店點餐這一場景下,強制、頻繁收集精準定位,同樣構成違反個人資訊的“最小必要原則”。
進店取号開始就“套路重重”
6月9日下午,澎湃新聞記者來到位于上海靜安嘉裡中心的simply thai天泰餐廳。到店時未到晚市營業時間,服務人員稱門店不提供紙制菜單,可掃描店門口展示的排隊取号二維碼,提前檢視菜品,還能提前預點餐。
掃描simplythai天泰餐廳的排隊點餐二維碼後,直接顯示其官網公衆号,消費者容易被誘導關注公衆号。
但掃碼後,頁面彈出的卻是天泰餐廳官方微信号。最先映入眼簾的,是醒目的“關注公衆号”綠色提示框。店員稱,需要關注才能進行後續的操作。
實際上,澎湃新聞記者發現,隻要點選“關注公衆号”提示框正下方的“服務”選項,就可直接檢視公衆号支援的所有服務,包括排隊、堂食預點、自提&外賣等。隻不過相較于醒目的綠色“關注公衆号”提示框,灰色的“服務”提示暗淡了很多,很難第一時間被關注且進入檢視。
此外,堂食點單過程中,澎湃新聞記者使用點餐小程式,每次點選“購物車”檢視點菜情況,頁面均會彈窗索要手機号。
在測試過程中,澎湃新聞記者還發現,一旦拒絕授權給點餐小程式定位資訊,就無法手動輸入收貨位址,無法進行外賣點單。
位于上海靜安嘉裡中心的Shake Shack。
漢堡品牌“shake shack”在靜安嘉裡中心同樣有門店。澎湃新聞記者在當天的暗訪中發現,訂單确認頁面顯示要求填寫取餐人姓名和電話,但未标注是必填還是選填。記者多次測試後發現,隻要填寫姓名一欄,無需用真名,就能下單。
即使在排隊、點單環節經受住“考驗”,未授權任何個人隐私資訊,“shake shack” 照樣有“套路”誘導你注冊成為會員,讓你防不勝防:在“shake shack”小程式上完成支付後,頁面跳轉生成取餐号。如果此時關閉小程式,随後再進入,便無法看到訂單情況,也看不到取餐号。而點選小程式首頁下方的“訂單”等欄目,均會跳轉出現會員注冊頁面。
非會員在Shake Shack點單小程式付款後,若退出後再次進入,則無法檢視曆史訂單記錄,并被誘導注冊會員。在确認頁面未付款成功時,小程式頁面則會自動跳轉顯示所有曆史訂單。
記者就此詢問門店值班管理人員,對方在記者手機上點選操作後表示,“不授權的,看不到(訂單)”。這是否意味着系統強制要求成為會員?對方稱,“應該是的”。
該從業人員還表示,到目前為止,沒有遇到過相關回報或投訴,“碰到這種情況,别人都是點一下,注冊一下就好了。”
吊詭的是,記者随後多次測試還發現,當再次登入小程式點單,并在支付頁面不完成支付時,小程式頁面竟會自動跳轉顯示該筆及此前的所有訂單記錄。而當記者支付該筆訂單,關閉小程式後再進入,仍會出現無法檢視訂單,要求注冊會員的情況。
星巴克屢次提示加會員,“Wagas”霸王要位置
上海人有多喜歡喝咖啡,看看上海街頭的咖啡品牌就能窺見一斑。但是到咖啡店點杯咖啡,你也得當心包括手機号在内的個人隐私資訊,因為它們随時可能會進入商家的口袋。
記者在星巴克使用點餐小程式過程中,被提示授權手機号碼,提示注冊會員3次,彈窗索取定位2次。
在暗訪餐飲店掃碼點餐期間,澎湃新聞記者選擇了星巴克衡山坊店,發現小程式點單過程猶如闖關——掃描前台二維碼,頁面先跳轉出現“掃碼入會 領券立減”整屏活動海報,無法直接關閉。記者點選下方“領取”按鈕,頁面直接跳轉進入“微信使用者一鍵登入”頁,勾選同意相關隐私政策和綁定協定,點選“登入”後,頁面下方又彈窗索要手機号授權,顯示可用微信手機号一鍵綁定或者其他手機号快速注冊成為會員。
一番操作下來,小程式這才跳轉出現堂食點單入口。
此後,澎湃新聞記者詢問店員才獲知,在入會活動海報的左上角,有個極容易被忽略的小圖示,點選它就可直達首頁進行點單。
與其他餐飲店相同,澎湃新聞記者在浏覽加購及付款的過程中,星巴克小程式彈窗提示注冊會員3次,彈窗索要定位授權共2次。
不過,雖然彈窗提示稱,“我們無法獲得你的目前位置為你提供點單服務”,但澎湃新聞記者選擇不授權,依舊可以正常付款下單。
記者在輕食連鎖品牌wagas沃歌斯掃描點餐小程式後,若不授權定位,系統會不斷加載再次彈窗索要定位,無法點餐。
和星巴克不同,“Wagas(沃歌斯)”就顯得更霸道了:澎湃新聞記者掃描“Wagas(沃歌斯)”小程式二維碼,頁面會直接彈窗索要位置權限。隻要不授權,該頁面就像發生故障般不斷加載,重複出現這一彈窗,無法點餐。
長期關注網際網路資料安全的不具名專家告訴澎湃新聞,從記者實地暗訪情況來看,前述多家餐飲店鋪的相關行為均已違法。
其解釋,根據《個人資訊保護法》《App違法違規收集使用個人資訊行為認定方法》等現行法律及相關行為認定,當消費者拒絕提供非必要的個人資訊導緻無法使用相關應用,即為“強制”收集行為;當消費者明确拒絕授權後又被再次索取,即為“頻繁”索要行為。
而對于定位收集行為,這位不具名專家表示,到店使用者可以通過手動輸入位址等方式來選擇門店,定位并非必要。是以,強制、頻繁收集精準定位資訊的行為,均違反了“最小必要原則”。
“消費者不提供手機号碼、姓名和定位,就不能點餐了嗎?答案顯然是否定的。”中倫律師事務所律師劉新宇認為,點單小程式中設定誘導關注公衆号、頻繁誘導索取或強制索取使用者精準定位、手機号等行為,違反了《消費者保護法》第9條、《個人資訊保護法》第6條和《App違法違規收集使用個人資訊行為認定方法》第3條等相關規定,侵犯了消費者自主選擇權,違反收集個人資訊的“最小必要”原則。
就澎湃新聞此前暗訪發現多家餐飲品牌“掃碼點餐”小程式頻繁誘導、強制索取使用者隐私資訊等情況,6月16日,上海市網信辦、市市場監管局執法人員兵分兩路,對星巴克、simply thai天泰餐廳和“shake shack”涉事門店開展突擊檢查,并要求涉事企業參加約談。
市網信辦從業人員明确表示,星巴克掃碼點餐小程式頻繁誘導索取手機号、精準位置資訊和頻繁彈窗提示加入會員;“shake shack”小程式誘導索取使用者姓名、手機号、性别,強制誘導注冊會員;天泰餐廳誘導關注公衆号,頻繁誘導索要手機号、精準定位等行為,涉嫌違反《個人資訊保護法》的有關要求,要求涉事門店向其總公司回報,要求相關企業參加約談。