點個餐，“我”卻被賣了

姜浩峰

老陳最近遭遇了“狂轟濫炸”。一天之內(nèi)接到十來通莫名其妙的電話。

“不勝其擾！”通過微信語音通話，老陳向《新民周刊》記者慨嘆道，“先是接到電話，要送我免費法律咨詢，要我提供勞動爭議和工商保險糾紛案源。聊了幾分鐘我發(fā)覺苗頭不對，暗含不少坑，就主動按掉手機通話鍵。沒想到幾分鐘后，又有人加我微信，鬧半天還是那人追將上來！我只能立即把這位剛加的好友給刪了。過半小時，又來電話了。這次是個溫柔女聲，要送我10萬元醫(yī)療保險和100萬元人身損害保險。我這次反應(yīng)快，告訴伊，這保險我轉(zhuǎn)送伊全家！哪知道她還木知木覺似的，不肯收，非?？蜌獾貓猿忠o我。”掛斷電話后不久，老陳又收到了一條看上去與贈送保險有關(guān)的短信，還附有網(wǎng)絡(luò)鏈接。好在他已經(jīng)警覺，沒有點開網(wǎng)址……

老陳自己也講不清這幫人是如何知曉他的手機號碼，甚至更多個人信息的，卻總感覺這些電話屬于“精準(zhǔn)投放”。記者與他一起梳理，果然發(fā)現(xiàn)一些蛛絲馬跡。剛退休的他最近幫人寫過勞動仲裁文書，為此經(jīng)常瀏覽一些相關(guān)專業(yè)的網(wǎng)站，在需要閱讀更多內(nèi)容時，進行了實名注冊并留下手機號。不久前，他曾去私人診療機構(gòu)就醫(yī)，也在醫(yī)院的就醫(yī)應(yīng)用軟件（App）上進行過實名認(rèn)證。哪怕還沒有找到證據(jù)鏈，老陳大約明白了——自己的個人信息被人賣了。難怪最近高峰期一天能接到十來個騷擾電話。

3月14日，消費者在“CoCo”七浦路店掃碼點餐。攝影/吳軼君

如今，隨著電子支付領(lǐng)域的擴大，以及許多工作需要通過聯(lián)網(wǎng)開展，人們的手機號碼等個人信息頻頻出示，有的一天要出示許多趟，甚至買個零嘴，喝個奶茶就不知不覺出示了個人信息。這樣的個人信息流露，是否存在安全隱患？類似老陳這樣接到騷擾電話，如若不慎，會遭遇怎樣的損失呢？

從立法和監(jiān)管的方面看，已經(jīng)有了哪些行動，又有哪些需要彌補之處？

記者注意到，3月8日，中國消費者協(xié)會（以下簡稱“中消協(xié)”）發(fā)布的《2022年個人信息保護領(lǐng)域消費者權(quán)益保護報告》（以下簡稱“中消協(xié)《報告》”）指出，當(dāng)前侵害消費者個人信息權(quán)益問題仍需引起社會各方高度重視，強化消費者個人信息保護亟待立法、司法、行政、社會等層面綜合施策。

“近段日子，我們對29家知名度較高的奶茶店和快餐店進行了暗訪。原因是有不少消費者向我們反映，有些掃碼點餐的小程序會索要消費者的手機號。”上海市消費者權(quán)益保護委員會（以下簡稱“上海市消保委”）副秘書長唐健盛對記者表示，“消費者問，自己已經(jīng)到店取餐了，有的甚至是堂食，商家非要拿走自己的手機號，派啥用場？”

不查不打緊，一查嚇一跳！查將下來，發(fā)現(xiàn)“CoCo”、“沈大成”、“茶百道”、“7分甜”、“蜜雪冰城”、“望湘園”、“吉祥餛飩”和“書亦燒仙草”等8個品牌的小程序會索要消費者的手機號。其中，“CoCo”和“沈大成”的問題最為突出。如果消費者拒絕提供手機號，那點餐程序就進行不下去了。而其余6家，在消費者拒絕提供手機號后，倒也還能點餐。

記者做了一個小調(diào)查——是否知道點餐程序索要手機號時可以拒絕？10位不同年齡、不同性別的消費者，只有兩名40余歲中年人——一位男士、一位女士稱，自己嘗試過拒絕提供手機號。其他8人，無論年長逾六旬者，還是20歲不到的小年輕，都從未嘗試過拒絕提供手機號。而拒絕提供手機號之后，如果點餐程序進行不下去，則那兩名中年人也稱，只得無奈提供……

可見，對商家通過小程序等索要手機號，許多消費者所表露出的，唯有見怪不怪的無奈！向上海市消保委投訴的消費者們，則堅持認(rèn)為這一怪現(xiàn)狀決不可接受?！叭绻峭赓u點餐，需要留實名地址、電話，這我能理解。但我這可是到店點餐啊，憑什么還要我提供手機號？”一名投訴者憤憤地說，“按照他們的邏輯，那如果我沒帶手機，難道就無法消費嘍？”

可見，對商家通過小程序等索要手機號，許多消費者所表露出的，唯有見怪不怪的無奈！

一切界面設(shè)計都朝向有利于留下手機號、位置信息的方向。對于不希望留下這些信息的，則怎么麻煩怎么來。

“上海市消保委對消費者調(diào)查發(fā)現(xiàn)，有65%的消費者不愿意在掃碼點餐時向商家提供手機號碼?！碧平∈⒄f。但許多時候，已經(jīng)到達門店了，有的人為了趕路趕時間，有的人似乎為了嘗一口該品牌的產(chǎn)品，還有的人僅僅為了怕麻煩，也就屈從強制索要手機號等個人信息的小程序了。

上海市消保委工作人員在“沈大成”門店暗訪時發(fā)現(xiàn)，進入掃碼點餐小程序后，立刻轉(zhuǎn)到登錄頁面。其不僅要求消費者提供微信號昵稱、頭像，還必須提供手機號，否則就無法繼續(xù)點單。在沈大成，若選擇堂食，倒是不需要提供位置信息；但若選擇到店自提，則仍必須提供位置信息。“漢堡王”的表現(xiàn)略好——也僅僅是略好而已。在“漢堡王”，如果消費者掃碼點餐時拒絕提供位置信息，雖仍可點餐，但小程序里有個彈窗會頻頻跳出來“提示”，對消費者正常點餐進行干擾。對于并非眼疾手快的消費者來說，撳除彈窗都相當(dāng)不容易，有的人也不知道過一會這彈窗會自動消失。于是，不少人又無奈地順著彈窗的意思，透露了個人位置信息。最為離譜的是“一點點”，竟然點杯奶茶還必須提供位置信息才能點單?！斑@樣的做法實在太霸道。”唐健盛說，“從我們上海市消保委來說，我們認(rèn)為，到店點餐的話，如果消費者拒絕提供位置信息，商家也應(yīng)該向消費者提供手動選擇門店的途徑。上海市消保委的調(diào)查也顯示，有56%的消費者對掃碼點餐強制獲取位置信息表示擔(dān)憂?！?/p>

看樣子，喝杯奶茶，消費者不知不覺竟也嘗到了一絲無奈與苦澀的滋味——奶茶，不僅有點甜??！

商家為什么會有強制索取手機號碼、位置信息的沖動呢？《新民周刊》記者也聯(lián)系到一些經(jīng)營者?！澳泓c個外賣，不是照樣要透露手機號碼嗎？對于我們商鋪來說，要這手機號碼、位置信息能派什么用場呢？還不是為了大家方便！”有經(jīng)營者嘆苦經(jīng)，“比如買奶茶有先來后到，制作奶茶需要時間，生意好的時候，消費者勢必要排隊，有時候要等十幾二十分鐘。有的消費者就會在點單完了之后，再在‘銷品茂’其他店、附近鋪子兜兜逛逛。等我這里奶茶做差不多了，就會手機提醒。消費者就來取餐。這不是挺好的嗎？”對于強制索要位置信息，有商家表示，這是小程序設(shè)計者為了消費者能夠盡快點單成功而設(shè)?！敖o消費者省事了，為什么不領(lǐng)情呢？”

專家認(rèn)為，這些商戶、經(jīng)營者所言，狡辯之詞居多！畢竟，微信小程序也可以生成一個點餐碼，可以了解進度，不需要獲取用戶手機。所以商家還是為了減低成本，或是不知法而索要不必要的個人信息。“上海市消保委認(rèn)為，如果消費者拒絕提供位置等相關(guān)信息，商家也應(yīng)該向消費者提供手動選擇門店的途徑。”唐健盛說。而事實上，記者通過使用相關(guān)App發(fā)現(xiàn)，除了類似“漢堡王”這樣彈窗干擾，或者類似“一點點”這樣完全不給消費者選擇權(quán)的商家以外，還有一些App在制作上是頗費了一番功夫的——想要選擇不留手機號或者位置信息，需要在屏幕上找尋好一會，還因為觸點存心設(shè)計得小而又小，往往點錯重來，對于手指頭粗一些的人來說，或許絕大多數(shù)情況下都無法點開取消位置信息的觸點?？傊磺薪缑嬖O(shè)計都朝向有利于留下手機號、位置信息的方向。對于不希望留下這些信息的，則怎么麻煩怎么來。由此誘導(dǎo)或者驅(qū)使消費者留下更多個人信息。

今年1月18日，在國新辦舉行的2022年工業(yè)和信息化發(fā)展情況新聞發(fā)布會上，工業(yè)和信息化部信息通信管理局局長趙志國介紹，截至去年底，我國各類高質(zhì)量App在架數(shù)量已超過了258萬款。

記者比對發(fā)現(xiàn)，相較于2020年國內(nèi)App市場超過345萬款應(yīng)用來說，目前國內(nèi)App的總量經(jīng)歷了大浪淘沙的過程，趨于穩(wěn)定，而高質(zhì)量App的數(shù)量穩(wěn)中有增。

回看過去幾年，以餐飲為代表的消費類App得到不錯的發(fā)展，確實給商家和顧客帶來了雙贏。這一點不容否認(rèn)。譬如有的餐飲企業(yè)認(rèn)為，掃碼點餐能夠節(jié)省服務(wù)員與食客交流的時間，如果再加上機器人上菜，則在人工方面就節(jié)省了不小的成本；另外，在菜單維護和修改上，也能給餐廳節(jié)省不小的開支。就消費者來說，確實有不少人認(rèn)同掃碼點餐信息全面、結(jié)算清晰。但記者也注意到，即使在京滬穗這樣的大都市，仍有部分人士未必習(xí)慣或者方便用手機支付，譬如一些老人和孩子。從商家來說，是否該保留紙幣結(jié)算通路，這本不該是個問題——如果商家不收紙幣，那就涉嫌違反《中華人民共和國人民銀行法》第十六條——“中華人民共和國的法定貨幣是人民幣。以人民幣支付中華人民共和國境內(nèi)的一切公共的和私人的債務(wù)，任何單位和個人不得拒收?！痹摲ǖ谌l則規(guī)定了，“中國人民銀行有權(quán)對金融機構(gòu)以及其他單位和個人”依法檢查監(jiān)督。光明網(wǎng)2021年8月就曾報道過，當(dāng)年4月，常州某便利店因拒絕公眾使用人民幣現(xiàn)金購買商品，被中國人民銀行常州市中心支行處以單位警告，并處1000元罰款，對其法定代表人給予警告，并處500元罰款。

換言之，掃碼點餐只不過是一種電子點餐、支付形式而已。商家甚至沒有理由拒收紙幣、強制顧客必須使用掃碼點餐，更遑論在掃碼點餐時，要求消費者必須授權(quán)手機號碼。早在2021年的“網(wǎng)劍行動”中，上海市市場監(jiān)管局就曾經(jīng)手過一個典型案例——根據(jù)公告，上海九翊餐飲管理有限公司在其管理的“望蓉城”餐廳內(nèi)提供掃碼點餐服務(wù)，要求消費者必須授權(quán)手機號碼才能完成掃碼點餐，且未告知消費者收集手機號碼的目的、方式和范圍。當(dāng)時媒體報道：“經(jīng)核實，收集手機號碼并非完成掃碼點餐功能的必要環(huán)節(jié)。另外，當(dāng)事人將收集到的5893條消費者個人信息，在其使用的餐飲管理軟件相應(yīng)模塊中供查閱、下載和使用，未采取技術(shù)措施和其他必要措施確保消費者個人信息安全。當(dāng)事人違反了《消費者權(quán)益保護法》第二十九條第一款的規(guī)定。上海普陀區(qū)市場監(jiān)管局依法對當(dāng)事人處以警告，并處罰款5萬元。”

“一點點”奶茶要求消費者提供位置信息才能點單。攝影/吳軼君

唐健盛告訴記者：“對于餐飲企業(yè)等商家來說，其實只要知道什么時間、哪桌、點了什么菜、是否付款等信息即可。而對于給商家提供服務(wù)的企業(yè)來說，只要知道是哪個商家、付款金額是多少，以及是否付款即可。也就是說，根據(jù)用戶信息采集最小原則，理論上，商家和服務(wù)企業(yè)不該接觸到那么多用戶信息，更不得過度收集個人信息。”唐健盛還指出，“ 《消費者權(quán)益保護法》也規(guī)定，經(jīng)營者收集、使用消費者個人信息應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則”。

記者從上海市網(wǎng)信辦了解到，自2021年8月20日，十三屆全國人大常委會第三十次會議表決通過《中華人民共和國個人信息保護法》，并于當(dāng)年11月1日施行以來，公眾總體上對個人信息保護的意識逐年提升。而上海市網(wǎng)信辦也依據(jù)《個人信息保護法》《App違法違規(guī)收集使用個人信息行為認(rèn)定方法》等法律法規(guī)，每年開展App個人信息安全治理專項工作，2022年要求本地應(yīng)用商店下架違法違規(guī)處理個人信息的“私人加密鎖”“世界街景高清地圖”“圖文放大神器”等55款A(yù)pp，主要問題集中在強制索要用戶非必要權(quán)限、未經(jīng)用戶單獨同意向第三方共享精確位置信息等。

在2023年“315國際消費者權(quán)益日”到來之前，上海市消保委會同上海市網(wǎng)信辦、上海市市場監(jiān)管局對近期暗訪中出現(xiàn)嚴(yán)重問題的企業(yè)進行了約談，根據(jù)各自職責(zé)指導(dǎo)企業(yè)進行問題整改，并開展相關(guān)普法教育。上海市消保委建議消費者重視保護個人信息，如果遇到個人信息被過度收集或不當(dāng)使用，可以撥打12345向網(wǎng)信、市場監(jiān)管等部門舉報，亦可向上海市消保委投訴或反映。由此看來，那些違法違規(guī)的商家，如果拒不整改，或者說屢教而整改不到位，則必將吞下苦果！

值得注意的是，中消協(xié)《報告》認(rèn)為，我國對個人信息保護的立法構(gòu)建經(jīng)歷了由刑事規(guī)制到民事規(guī)制、由原則性規(guī)定到具體規(guī)則的發(fā)展過程，目前，已形成以《民法典》為基礎(chǔ)，以《個人信息保護法》為核心，以《消費者權(quán)益保護法》《網(wǎng)絡(luò)安全法》《電子商務(wù)法》《數(shù)據(jù)安全法》為重要組成部分的個人信息保護法律體系。

從國家層面來說，近年，網(wǎng)信、公安、文旅、工信、市場監(jiān)管等部門通過開展“凈網(wǎng)行動”、“清朗行動”、國家網(wǎng)絡(luò)安全宣傳周、App安全認(rèn)證等行動與活動，嚴(yán)厲打擊了侵害消費者個人信息權(quán)益的行為，為營造良好消費環(huán)境作出了貢獻。但中消協(xié)《報告》也提及，當(dāng)前侵害消費者個人信息權(quán)益問題仍需引起社會各方高度重視，其問題主要表現(xiàn)在違反處理的必要性原則、違反個人信息處理質(zhì)量原則、違反“告知—同意”規(guī)則、侵害個人信息權(quán)益的損害賠償范圍有待確定等方面。

在唐健盛看來，隨著消費迭代，要求消費者和商家完全不使用App是不可能的，也是跟不上時代發(fā)展潮流的。但諸如索取到店點餐者位置信息、手機號碼等情況，必須得是在“告知—同意”等等原則的基礎(chǔ)上進行的，消費者該有選擇權(quán)。

我們的生活已經(jīng)須臾離不開快遞小哥了嗎？攝影/吳軼君

從個人防護環(huán)節(jié)看，對于個人信息泄露一定要引起重視，不能讓不法之徒鉆了法律空子。

亦有業(yè)內(nèi)專家告訴記者，從個人防護環(huán)節(jié)看，對于個人信息泄露一定要引起重視，不能讓不法之徒鉆了法律空子。在操作層面，除了投訴等之外，還可以通過后臺想辦法解除與相關(guān)App的綁定等，來做到徹底防范。而對于提供App平臺的企業(yè)來說，未來如何做好業(yè)內(nèi)的監(jiān)管工作，定期銷毀相關(guān)數(shù)據(jù)，令違法違規(guī)App無處生存，是題中之義。

相關(guān)專家亦表示，最為令人擔(dān)心的是有人通過獲取個人信息泄露的大數(shù)據(jù)，來進行不可告人的勾當(dāng)。譬如一些公司的“內(nèi)鬼”將攜帶諸多個人信息的大數(shù)據(jù)販賣出去，甚至販賣到暗網(wǎng)等獲取好處。而消費者在毫不知情的情況下，個人信息被賣。哪怕并非個人信息被賣，而是相關(guān)掌握個人信息的企業(yè)遭遇黑客攻擊等情況，都可能會造成被泄露給商家的數(shù)據(jù)整體外泄。這就有可能造成嚴(yán)重后果。

今年2月，美國在線雜貨配送初創(chuàng)公司W(wǎng)eee！發(fā)布了一個簡短聲明稱，該公司自2021年7月12日至2022年7月12的用戶數(shù)據(jù)被黑客盜取。主要包括1130萬份訂單信息，以及110萬個客戶賬戶信息。哪怕Weee！在聲明中號稱，這些泄露信息不包括客戶付款信息，因此問題不大，可實際情況并非如此?！皠倓偫瞎珕栁?，知不知道有一筆515美元的電話轉(zhuǎn)賬？確認(rèn)轉(zhuǎn)賬時間點是在昨天下午4點，我們都沒有做任何消費的時候，信用卡被盜刷了！那個時間剛好就是我昨天收到一個貨運公司電話語音說，包裹的地址資訊不足，請到頁面完成地址填寫?！钡搅?月下旬，有身在美國、使用過Weee！的朋友就在社交媒體上發(fā)帖講述自己的遭遇。其還表示，在懷疑Weee！信息泄露可能引起各種情況的時候，各種情況實際已經(jīng)發(fā)生。盡管此人根據(jù)自身的信用卡合同，找銀行“報銷”了這筆損失，但無論如何，損失無非是找人承擔(dān)了而已，并非損失沒有發(fā)生。

以國內(nèi)來說，如果相關(guān)餐飲等企業(yè)哪怕是只圖自己結(jié)算方便，而每每違法違規(guī)強制索取消費者信息，一旦遇到信息泄露等損失，該誰來承擔(dān)后果？難道不該是這些餐飲企業(yè)嗎？

如今，中消協(xié)《報告》從強化消費者權(quán)益保護角度提出了四點建議，強調(diào)立法、司法、行政、社會層面的綜合施策。

就立法方面來說，《報告》建議再次啟動《消費者權(quán)益保護法》修訂，完善消費者個人信息保護法律制度。中消協(xié)指出，《消費者權(quán)益保護法》距離上次修訂至今已近10年，隨著近年來數(shù)字經(jīng)濟的興起，作為規(guī)制個人信息集中收集與大數(shù)據(jù)產(chǎn)品集中應(yīng)用的消費市場的《消費者權(quán)益保護法》也應(yīng)當(dāng)及時做出修訂，以回應(yīng)黨的二十大對“加快建設(shè)網(wǎng)絡(luò)強國、數(shù)字中國，加強個人信息保護”的要求。

就司法方面來說，中消協(xié)認(rèn)為，應(yīng)該總結(jié)經(jīng)驗，針對責(zé)任界定、損害賠償?shù)葼幾h問題及時出臺配套司法解釋，對法律的適用進行統(tǒng)一指導(dǎo)，推廣公益訴訟保護方式，鼓勵可以提起消費者個人信息保護訴訟的主體，積極提起公益訴訟，從而在更大的規(guī)模上規(guī)范消費者個人信息處理行為，提高司法保護水平。

中消協(xié)還認(rèn)為，應(yīng)加強行政治理，懲治侵害消費者個人信息權(quán)益的違法行為。執(zhí)法部門要處理好消費者個人信息保護與合理利用的關(guān)系，提高執(zhí)法能力，利用科技手段創(chuàng)新監(jiān)管方式、加大監(jiān)管力度、提高執(zhí)法效率，并通過構(gòu)建綠色溝通渠道，加強部門之間的協(xié)同配合。

在社會層面看，中消協(xié)《報告》建議強化社會共治，積極發(fā)揮消協(xié)組織作用，持續(xù)加強消費教育，提升消費者的自我保護能力，督促行業(yè)企業(yè)自律自治，共建消費者個人信息保護社會共治體系。

個人信息與恐怖暗網(wǎng)之間，或許只有一指之隔。當(dāng)個人信息通過手機端泄露之后，也許麻煩就會在某一時刻找上門。防范于未然，則不僅僅是監(jiān)管部門的責(zé)任，更該是公民們大家所需要引起警覺的。截至記者發(fā)稿，老陳正在尋找自身手機上所裝App是否有漏洞，以及如何堵住信息泄露的漏洞，以期解決近來頻頻接到各種稀奇古怪電話的糟心事。