在外賣服務(wù)場景下的消費者個人隱私保護的實踐與探索

□ 文|劉 菁 李 杰 閆豐雅

0 引言

隨著近年來信息技術(shù)和商業(yè)、生活的日益融合，數(shù)據(jù)已成為數(shù)字經(jīng)濟時代的核心有形資產(chǎn)之一?；ヂ?lián)網(wǎng)與大數(shù)據(jù)領(lǐng)域的新技術(shù)研發(fā)、新產(chǎn)業(yè)應(yīng)用，不斷催生著新的經(jīng)濟增長點，解決著越來越多的社會治理問題。但同時，由技術(shù)引發(fā)的公民個人隱私泄露問題也不斷出現(xiàn)，行業(yè)面臨嚴(yán)峻的監(jiān)管合規(guī)及安全挑戰(zhàn)。

近年來，我國與歐盟、美國相繼頒布數(shù)據(jù)隱私保護法律法規(guī)。2021年我國陸續(xù)頒布《中華人民共和國數(shù)據(jù)安全法》和《中華人民共和國個人信息保護法》，對規(guī)范數(shù)據(jù)處理及保障個人信息權(quán)益等提出了明確的要求。2022年國務(wù)院頒布的《“十四五”數(shù)字經(jīng)濟發(fā)展規(guī)劃》也明確著力強化數(shù)字經(jīng)濟安全體系，有效防范各類風(fēng)險?？梢?，數(shù)據(jù)安全在數(shù)字經(jīng)濟的發(fā)展中發(fā)揮著牽一發(fā)而動全身的關(guān)鍵作用，只有筑牢數(shù)據(jù)安全基石，才能護航數(shù)字經(jīng)濟高質(zhì)量發(fā)展。

隨著數(shù)字經(jīng)濟的快速發(fā)展和普及，消費者在各消費場景中對個人隱私保護的意識也在不斷加強。本文重點闡述分析外賣行業(yè)個人隱私泄露的高頻場景及其治理舉措。以餓了么平臺“消費者個人隱私保護專項”下的“隱私面單”這一消費者個人用戶隱私數(shù)據(jù)保護方案為例，解讀外賣場景下的用戶隱私數(shù)據(jù)保護的新模式，分析業(yè)務(wù)全鏈路的難點與可行性。

1 外賣服務(wù)平臺“隱私面單”及其落地難點

1.1 隱私面單概述

即時配送行業(yè)與廣義物流行業(yè)具有類似的業(yè)務(wù)場景和龐大規(guī)模，也同樣暴露出消費者個人隱私信息在配送環(huán)節(jié)“裸奔”的問題，由個人隱私泄漏造成的客訴輿情近年來逐漸發(fā)生，敲響了個人信息安全保護的警鐘。

為此，外賣服務(wù)平臺也站在長遠(yuǎn)發(fā)展和社會價值的視角，圍繞消費者個人隱私保護進行了大量探索。目前外賣服務(wù)平臺與多家三方生態(tài)服務(wù)商品牌商共同推出了“隱私面單”，成為外賣服務(wù)場景下在個人隱私保護治理中的一個重要落地場景。

顧名思義，“隱私面單”是指通過技術(shù)化處理，對消費者姓名、真實手機號進行脫敏，配送地址根據(jù)不同業(yè)務(wù)場景及配送方式進行隱藏，使消費者的個人信息不直接展示在外賣面單上，配送人員通過其他方式獲取用戶的信息完成配送服務(wù)。而在醫(yī)藥零售業(yè)務(wù)場景，針對用戶購買商品涉及個人隱私（如暴露心理、生理等重大隱私藥名名稱），平臺也根據(jù)藥品類目進行了按需隱藏，同樣基于“隱私面單”保障了消費者的隱私和個人信息。

近年來，不論是快遞行業(yè)還是外賣行業(yè)，相關(guān)企業(yè)都開始在“隱私面單”的普及上發(fā)力。截至目前，外賣服務(wù)平臺的“隱私面單”普及率較高，但仍然有繼續(xù)發(fā)力空間。以本文涉及平臺“消費者個人隱私保護專項”下的“隱私面單”這一消費者個人用戶隱私數(shù)據(jù)保護方案為例，消費者姓名及真實手機號脫敏已全量覆蓋，配送地址隱藏覆蓋近90%（商家自配送服務(wù)還未覆蓋），醫(yī)藥類隱私面單在自有平臺已完成全量上線，仍在探索與第三方生態(tài)服務(wù)商品牌商合作實現(xiàn)全量覆蓋。

1.2 “隱私面單”業(yè)務(wù)難點

從物流行業(yè)整體來看，盡管隱私面單近年來被密切關(guān)注，但覆蓋率和推廣率卻仍然不高。央廣網(wǎng)于2021年10月30日發(fā)布一篇標(biāo)題為《快遞“隱私面單”推廣四年 普及率為何不升反降？》，闡述了快遞行業(yè)的隱私面單無法推廣普及的難點。如增加配送、取貨時間成本，需要賣家、平臺、快遞企業(yè)多方信息互通等。

不過，外賣行業(yè)的履約時效相比快遞更短，并且以點對點派送入戶為主，一定程度上減少了騎手查看訂單地址、消費者取餐的時間成本。同時，外賣訂單大部分由互聯(lián)網(wǎng)平臺自運營的即時物流配送平臺（如蜂鳥即配）配送，平臺對于隱私面單的改造和標(biāo)準(zhǔn)要求在一定程度上可以達(dá)到統(tǒng)一，內(nèi)部更加容易協(xié)調(diào)內(nèi)外部資源。

因此，相較快遞行業(yè)，外賣行業(yè)主要面臨的問題是業(yè)務(wù)鏈路更長、牽涉范圍更廣。

本文將一份外賣訂單的整體業(yè)務(wù)鏈路梳理如如圖1所示：

圖1

第一階段：C端消費者在外賣服務(wù)平臺App小程序下單，下單時系統(tǒng)會默認(rèn)勾選“號碼保護”，勾選后將啟用虛擬小號代替手機號碼，完成在平臺下單動作。

第二階段：平臺提供服務(wù)和數(shù)據(jù)給開放平臺，包括訂單服務(wù)、商品服務(wù)、店鋪服務(wù)、商戶服務(wù)、消息服務(wù)等等。服務(wù)商或品牌商可在外賣服務(wù)平臺商家開放平臺申請所需業(yè)務(wù)場景的接口，完成業(yè)務(wù)系統(tǒng)的開發(fā)。

第三階段：服務(wù)商根據(jù)從開放平臺的接口后，完成系統(tǒng)研發(fā)，提供不同場景的業(yè)務(wù)服務(wù)給商家，例如打印機，商戶代運營，ERP系統(tǒng)，SAAS系統(tǒng)，聚合訂單等等。品牌商也同樣根據(jù)開放平臺的接口，自研系統(tǒng)供自有品牌使用。

第四階段：商戶使用服務(wù)商提供的系統(tǒng)開展業(yè)務(wù)并完成訂單處理和餐品出餐，騎手到店領(lǐng)取外賣。

第五階段：騎手拿到外賣配送至消費者側(cè)。

在整個業(yè)務(wù)鏈路中，需要考慮三個問題：

一是配送前，騎手如何快速高效定位配送訂單。實際場景中，消費者點單后，騎手去店家取單，但面單地址等有效信息被隱藏，騎手無法高效找到訂單，在履約時效和履約準(zhǔn)確度無法保障，必然會帶來用戶投訴配送超時、送錯單等投訴，反而增加騎手的履約工作壓力，這也不是平臺所希望的。

二是配送中，騎手如何準(zhǔn)確判斷并送達(dá)訂單地址。在繁忙的配送任務(wù)中，即便是依賴系統(tǒng)提供的地址，騎手如何能用簡單快捷的方式準(zhǔn)確判斷訂單歸屬，地址的隱藏是否影響配送的效率，是否能保障騎手的準(zhǔn)確送達(dá)。

三是配送后或緊急情況時，商家與騎手如何與消費者進行售后溝通或緊急情況溝通。實際場景中，商家和騎手在沒有用戶真實信息情況下，用戶發(fā)起售后時商家和騎手如何提供服務(wù)保障用戶服務(wù)體驗；或當(dāng)遇到特殊或緊急的情況時，商家和騎手通過什么方式觸達(dá)用戶進行溝通。

面對以上問題，平臺如何在保證騎手配送、商家履約、平臺業(yè)務(wù)運營的情況下保護消費者個人隱私安全？這需要在平臺綜合評估分析，多策并舉完成隱私面單這一課題。

2 外賣服務(wù)平臺“隱私面單”保障策略

業(yè)務(wù)的連續(xù)可用是平臺必須保證的業(yè)務(wù)底線，如果在隱私面單中無法顯示用戶信息，那么必須通過另一種方式去告知騎手配送的地址及聯(lián)系方式。通過一系列探索和嘗試，目前外賣服務(wù)平臺除用戶姓名脫敏外，還通過“取單號”“專快訂單地址隱藏““一對一虛擬小號”三管齊下，保障在用戶隱私得到保護的同時，保證騎手與商家履約鏈路暢通。

2.1 “取單號”

取單號解決履約配送前騎手如何快速高效定位配送訂單。舉例實際場景中，騎手到商家取貨時，騎手App端與隱私面單中將生成一個“取單號”，該號碼在面單上顯著標(biāo)志，且一單一號，因此騎手在到店后不需要花大量的時間去核對訂單上用戶信息，只確保餐品上的取單號與App端一致即可快速準(zhǔn)確的完成取餐送餐的過程。

2.2 ?？煊唵蔚刂冯[藏

專快訂單地址隱藏解決履約配送中騎手準(zhǔn)確判斷并送達(dá)訂單，但針對商家自配送服務(wù)還在尋求更好的解決方案。實際場景中，因為對于用戶地址的保護，業(yè)務(wù)場景則更加復(fù)雜。入駐外賣平臺的商家大部分會使用外賣服務(wù)平臺自有物流系統(tǒng)，但是也有部分商家使用自配送的方式，或者采用第三方物流。

對于外賣服務(wù)平臺自有物流系統(tǒng)配送的訂單，外賣服務(wù)平臺將用戶面單地址信息隱藏，將原來明文地址更換為統(tǒng)一的文案“【隱私保護】顧客地址已隱藏，您可登錄外賣服務(wù)平臺商家端或騎手端查看”。而騎手統(tǒng)一通過騎手端App查看用戶地址，進行履約配送。當(dāng)訂單完成一段時間后，騎手端App的用戶地址也將隱藏。

而對于商家自配送的訂單，商家通常會采用自行配送，或第三方配送公司配送。由于配送公司的規(guī)模和質(zhì)量各不相同，平臺無法做統(tǒng)一的管理，此時門店工作人員則需要面單明文顯示地址才能進行配送。為保障業(yè)務(wù)不受影響，對于自配送訂單，平臺會在面單中顯示用戶地址。此類商家自配送服務(wù)還需與行業(yè)共同探討尋求更好的解決方案。

目前，以本文涉及平臺“消費者個人隱私保護專項”下的“隱私面單”這一消費者個人用戶隱私數(shù)據(jù)保護方案為例，訂單中蜂鳥配送訂單占比顯著高于自配送訂單和三方配送訂單，因此隱私面單中的地址隱藏覆蓋率較高，但并未達(dá)到全面覆蓋。后續(xù)持續(xù)探索，希望實現(xiàn)全面覆蓋。

2.3 “一對一虛擬小號”

為解決配送后或緊急情況時商家與騎手與消費者售后或緊急溝通研發(fā)“一對一虛擬小號“。實際場景中，為了保護用戶手機號碼，外賣平臺采用“一對一”的虛擬小號來代替用戶真實手機號碼?！耙粚σ弧保碇?dāng)訂單生成時，騎手與用戶之間建立了一對一的關(guān)系，僅該訂單的騎手可以撥打用戶生成的虛擬小號進行聯(lián)系。相應(yīng)的，在用戶聯(lián)系騎手時，也將生成一個騎手虛擬小號，僅該訂單的用戶可以使用。這就形成了騎手與用戶之間的雙向一對一關(guān)聯(lián)。通過虛擬小號，騎手和用戶可以直接建立手機通話的連接。

綜上，當(dāng)用戶選擇匿名保護時（默認(rèn)勾選），不論任何類型訂單，用戶姓名、真實手機號都將脫敏，大部分訂單用戶地址也將隱藏。

3 外賣服務(wù)平臺“隱私面單”保障策略與應(yīng)急機制

3.1 外賣服務(wù)平臺“隱私面單”的保障策略

解決方案具備后，外賣服務(wù)平臺全面啟動隱私面單。在餐飲外賣場景，外賣服務(wù)平臺及多家三方生態(tài)服務(wù)商品牌商共同治理完成了外賣服務(wù)平臺隱私面單的覆蓋如圖2所示，包括消費者姓名脫敏（如張三脫敏后張＊＊）、用戶真實手機號脫敏并啟用虛擬小號保護，配送地址根據(jù)不同業(yè)務(wù)場景及配送方式進行隱藏。至今，消費者姓名及真實手機號脫敏已全量覆蓋，配送地址隱藏覆蓋近90%。

圖2 實際改造后的隱私面單

另外，在醫(yī)藥零售業(yè)務(wù)場景，針對用戶購買商品用戶購買商品涉及個人隱私（如暴露心理、生理等重大隱私藥名名稱）也進行了用戶隱私保護探索實踐，根據(jù)藥品類目進行了按需隱藏，并推出了消費者隱私面單功能，保障消費者的隱私和個人信息，持續(xù)探索并計劃實現(xiàn)大面積覆蓋推廣。

3.2 外賣服務(wù)平臺“隱私面單”的應(yīng)急機制

對于每日千萬級別單量的復(fù)雜業(yè)務(wù)場景而言，時刻可能出現(xiàn)特殊情況。為此，外賣服務(wù)平臺建立了一系列應(yīng)急響應(yīng)標(biāo)準(zhǔn)化流程，設(shè)有應(yīng)急小組以保障特殊情況的應(yīng)急策略。

例如，因疫情管控需居家隔離等特殊情況，原本由消費者取貨的生鮮訂單，不得不由社區(qū)志愿者代勞。志愿者的訂單分發(fā)流程，由以往的騎手配送到家變成了三方聚合配送，志愿者僅能依賴面單上的地址去定位訂單的歸屬，隱私信息隱藏給他們的工作帶來巨大困難。

面對這種緊急情況，外賣服務(wù)平臺應(yīng)急小組也會根據(jù)實際配送場景進行隱私面單的降級，面單中用戶姓名、真實手機號碼保持隱藏，但展示地址信息，志愿者通過面單上的地址配送到樓，用戶再通過餐品、姓名定位到自己的訂單。

4 外賣服務(wù)平臺黑灰產(chǎn)防范機制

在外賣服務(wù)平臺的用戶隱私保護專項工作中，隱私面單既得到了覆蓋，同時平臺也從根源避免了對第三方生態(tài)商的數(shù)據(jù)共享，杜絕了一些不法分子從事黑灰產(chǎn)，售賣用戶的個人隱私數(shù)據(jù)借機牟利。

改造前，外賣服務(wù)平臺開放平臺開放接口數(shù)據(jù)，服務(wù)商和品牌商通過接口的調(diào)用獲取訂單詳情，再為商戶提供服務(wù)如圖3所示。

圖3

改造后，外賣服務(wù)平臺開放平臺的接口數(shù)據(jù)為脫敏數(shù)據(jù)，服務(wù)商和品牌商只能獲取脫敏后的用戶數(shù)據(jù)。當(dāng)遇到運力不足時，由平臺統(tǒng)一判斷，商家自主選擇是否降級。降級成功的訂單再提供用戶地址信息。以此杜絕個別三方服務(wù)商、品牌商通過獲取用戶數(shù)據(jù)非法牟利如圖4所示。

圖4

5 外賣服務(wù)平臺“隱私面單”覆蓋效果

此次外賣服務(wù)平臺“隱私面單”覆蓋后有較好的效果與影響。一是從消費者從外賣平臺下單到送達(dá)全鏈路流程的信息保護層面，絕大部分消費者得到了全面保障。消費者的個人信息在下單到送達(dá)的任何一個環(huán)節(jié)都大幅減少了真實信息的透出，一定程度上減少了履約環(huán)節(jié)中主動或被動等信息泄漏帶來惡性事件等風(fēng)險問題。二是從消費者的體驗方面得到了較好的改善。根據(jù)外賣服務(wù)平臺相關(guān)調(diào)研顯示，平臺此次隱私面單的覆蓋，給消費者帶來了良好的消費體感，收到大量消費者好評，很多消費者表示丟外賣時不用再撕小票或者涂抹自己的隱私信息了。

6 結(jié)束語

面向未來，外賣服務(wù)平臺需在個人信息保護工作上持續(xù)發(fā)力，依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護法》及相關(guān)文件精神，做好法律法規(guī)及政策解讀與理解。進一步從規(guī)范化、法治化、精細(xì)化出發(fā)，提高本地生活全員合規(guī)意識，持續(xù)切實規(guī)范做好個人信息保護專項治理工作，不斷健全個人信息保護體系，提高數(shù)據(jù)安全防護和保障能力，真正為用戶提供給用戶一個安心、放心的網(wǎng)絡(luò)交易環(huán)境，助推數(shù)字經(jīng)濟發(fā)展，為我國數(shù)字化轉(zhuǎn)型和數(shù)字經(jīng)濟健康發(fā)展提供更有力、有效的行動。