澎湃新聞記者 馮茵倫 實習生 唐巧稚
你能想象,一杯網紅奶茶會産生87條資料!
今年3月上海市消保委對包括“CoCo”“沈大成”“茶百道”“7分甜”“蜜雪冰城”等在内上海29家知名度較高的奶茶店、快餐店進行暗訪。事後,經上海市網信辦調查發現,某網紅知名連鎖奶茶品牌每收到一筆訂單,就可産生87條資料。截至今年3月其累計産生的資料超100億條。其中,涉及消費者姓名、電話、收貨位址經度緯度等敏感個人資訊的達6.7億條。
這些資料是誰在搭建技術平台進行搜集?餐飲店收集的個人資訊最終可能流向了哪裡?澎湃新聞為此進行了調查。
“下單必填手機号”定制開發隻要一個月
由于開發技術門檻不高,各大電商平台、二手線上交易平台及搜尋網站上,存在大量開發掃碼點餐小程式的個人買家或技術公司。服務權限不同,小程式系統的訂閱價格差異較大,但所有受訪者均表示,可以實作部分使用者個人資訊的采集。
淘寶一家可搭建點餐小程式的店鋪客服告訴澎湃新聞,目前隻能收集使用者的下單位址和手機号,僅一天左右時間就可搭建完成,價格為80元一年,160元可永久使用。
該客服稱,任何帶有強制性功能的小程式都會被封号,“像必須綁定手機号才能下單這種,就屬于強制性的,隻要被檢測,就會被封。”
另一家淘寶店鋪提供的點餐小程式價格為三年300元,續費為99元/年,可收集使用者姓名、電話和收貨位址,但無法實作強制關注微信公衆号等功能。
一家名為“傑裡科技”的企業服務商專門從事APP、小程式、系統等軟體的定制開發。其官網介紹,開發的餐飲小程式可提供定位、線上點餐預定、排号查号、菜品管理等各類功能。
從業人員廖先生介紹,正常模闆系統就可實作顧客姓名、手機号和定位資訊的擷取。若對個别功能有特殊處理要求,如要求點餐時強制成為會員、不授權定位就不能點單、下單必須填寫名字手機号等功能,需要單獨定制開發。
“具體價格要按照實施工作量評估。”廖先生稱,定制開發需要一個月左右,正常模闆系統隻需一周。
提供網證甚至
能收集身份證号、人臉
對于使用者個人資訊儲存安全問題,前述淘寶賣家稱,沒有人會攻擊存儲伺服器,絕對安全。還有賣家表示,不放心可以簽訂保密協定,“所有資料隻有我和你能看,我保證不會洩露客戶任何資料。”
澎湃新聞記者在“鹹魚”随機聯系上一位賣家,自稱可提供智能收銀系統、點餐掃碼系統等,适用于甜品咖啡、蛋糕烘焙、茶飲等零售餐飲業,可包開發、搭建、認證和基礎營運。
按對方要求添加微信好友後,該賣家迅速發來多家咖啡店、炸雞店的成品點單小程式,并迅速建群,拉入其他從業人員提供咨詢跟進服務。
其中一從業人員在了解澎湃新聞記者的“需求”後說,目前有基礎版和進階版兩種服務系統,對應價格為2699/年和8150/年,後者可開通更多精準營銷推送服務,如定向給微信使用者發送優惠券或推送商家活動資訊等。
該從業人員表示,擷取使用者的頭像、姓名、手機号、定位資訊以及收貨位址,是基礎服務功能,“很容易操作”,一些蛋糕烘培店鋪還會要求擷取性别、年齡等資訊。如果提供相關網證,背景系統還可設定擷取使用者的身份證号、人臉等敏感個人資訊。“不過,餐飲零售行業很難申請到網證,一般是科技公司才能拿到。”
該從業人員稱,大部分消費者已形成授權習慣,一般不會對小程式的授權要求感到反感。商家可以通過設定無門檻消費券、提供儲值優惠等方式,誘導使用者留下個人資訊,“隻要他想用優惠券,就必須填。”
該從業人員還發給記者一個模版系統賬戶。登入點選“使用者管理”一欄,就能看到使用者的手機号、收貨位址等資訊。點選使用者頭像,還能檢視該使用者軌迹,包括每次登入小程式的精确時間及IP定位位址。
該從業人員表示,所有使用者資訊均以區塊鍊的方式上傳、存儲于伺服器中,可在背景直接導出,且每個賬戶獨立操作,登入需要驗證,保證資訊安全不會外洩。此外,如果停用系統服務超過一個月,該賬戶和所有資料都會被清空。
餐飲企業收集的資訊流向四類供應商
餐飲店收集的個人資訊最終可能流向哪裡?
中倫律師事務所律師劉新宇此前對市場上部分餐飲企業的《隐私政策》進行調研後發現,餐飲企業可能會将使用者個人資訊提供給四類供應商:第三方技術服務提供商、資料分析服務提供商、支付服務提供商或者第三方合作平台。而這些途徑均存在資訊流出的風險。
他舉例稱,如一些提供推送服務、Bug監測服務的技術服務商,往往具有較強的資訊技術服務能力,其使用餐飲企業提供的個人資訊識别出個人資訊主體身份的能力也往往更強,“一定程度提升了個人資訊主體身份暴露的風險”。
劉新宇表示,随着網際網路以及大資料技術的不斷發展成熟,資料已然成為了數字經濟時代的“石油”。對餐飲企業而言,收集使用者隐私資訊,便于更精确地定位、營銷對象,既能夠幫助其節約獲客成本,還能夠顯著提高其營銷活動的成功率。與第三方資料機構開展合作後,這些經過加工處理的個人資訊還可提供給各券商、行研機構用于市場調研,商業價值之大,難以估量。
他認為,消費者不該為了追求便捷,形成随意授權習慣,應當保持警惕。“尤其是精準定位資訊,一旦被利用或洩露,消費者很有可能會暴露在極大的風險之中,甚至威脅到人身安全。兒童、獨居女性等重點人群尤其需要注意。”劉新宇說。
法條抽象實際損失難量化
加劇維權難
圍繞網絡資訊安全,大陸已相繼出台了《網絡安全法》《資料安全法》《個人資訊保護法》等多個法律檔案,明确了公民個人資訊的内涵、外延,對收集個人資訊、非法擷取、出售個人資訊等都進行了相應的規定,但在這些法律架構之下,餐飲行業違規處理個人資訊亂象叢生,屢禁不止。
究其原因,長甯區法院網際網路審判庭負責人祁曉棟認為,一方面,公民個人很難有效防範資訊洩露的發生;另一方面,個人資訊保護法等相關法條較為抽象,在實務中具體适用較為困難。同時,相關救濟途徑尚不便利,消費者維權難度較大。
祁曉棟解釋稱,相關主體收集網絡使用者的相關資訊,隐蔽性強、技術壁壘高,使用者很難察覺應用程式的運作方式與背後處理鍊條,對資訊何時被收集、收集後如何使用及轉移均不知情。
在法條方面,《個人資訊保護法》第四十五條和《民法典》第一千零三十七條均明确了個人資訊的查閱、複制權。但囿于相關法條的抽象性,實務中有關查閱複制權的基礎性問題,如個人資訊查閱複制權和知情權保護的客體如何區分、查閱複制的資訊範圍及時間跨度如何認定等問題,仍存在諸多争議。同時,由于許多非法資訊處理行為在被發現查處時,尚未造成個人的實際财産損失,或即便存在損失亦難量化為具體金額,而主張精神損害賠償又受到嚴格限制,造成了個人維權難的困境。
劉新宇同樣認為,目前《個人資訊保護法》從宏觀層面對餐飲企業處理個人資訊提出了合規要求,但部分規則較為抽象,其中‘最小必要’的判斷标準、算法公開透明的判斷标準等焦點問題也缺少配套法規進行進一步解釋,缺乏典型案例,導緻餐飲企業無法對相關合規要求進行響應,不同執法部門也對同一規則的了解存在偏差,進而難以推動相應執法工作的開展。
“目前國家也正在加大力度培養資訊技術能力與法律能力兼備的儲備人才,可以預見在不久的将來,這一問題可以得到有效解決。”劉新宇表示。
記者獲悉,6月16日下午,在國家網信辦網絡執法與監督局全面支援和指導下,上海市網信辦、市市場監管局聯合市教委、市商務委、市通管局等多個行業主管部門,啟動“亮劍浦江·消費領域個人資訊權益保護專項執法行動”,将聚焦餐飲店、停車掃碼、少兒學習教育訓練等八類重點消費領域,對個人資訊領域的“過度采、強制要、誘導取、違規用”等違法行為開展集中整治,為期半年。
發現個人資訊洩露,
歡迎掃碼舉報!
針對市民生活中頻頻可見的個人資訊違規行為,上海市網信辦、市市場監管局将聯合多個部門共同“亮劍”。
6月16日,“亮劍浦江·消費領域個人資訊權益保護專項執法行動”舉行啟動儀式。在國家網信辦網絡執法與監督局全面支援和指導下,上海市網信辦、市市場監管局聯合市教委、市商務委、市通管局等多個行業主管部門,将聚焦餐飲店、停車掃碼、少兒學習教育訓練等八類重點消費領域,對個人資訊領域的“過度采、強制要、誘導取、違規用”等違法行為開展集中整治,為期半年。
專項行動将在上海市網際網路違法和不良資訊舉報中心官網(http://www.shjbzx.cn)開設舉報入口,也歡迎廣大消費者通過郵箱([email protected])或者撥打電話(12315、12345)據實提供線索。
作為此次專項行動的獨家媒體支援機關,澎湃新聞旗下澎湃品質觀投訴平台(https://tousu.thepaper.cn)将開設入口,廣泛收集重點消費場景下侵害個人資訊權益的各類線索。
●線索征集聚焦八大重點消費領域:
餐飲店、停車掃碼、少兒學習教育訓練、網絡理财小貸、房産中介、租借充電器、商超購物、汽車4S店
本期編輯 鄒姗