央視網消息（焦點訪談）：一杯奶茶，錢不多，但訂單里卻包含著消費者的個人信息和消費軌跡。一筆訂單不起眼，但如果是一千杯、一萬杯奶茶的訂單呢？對商家來說，這個后面的用戶數(shù)據(jù)可是一筆重要的財富。正因為如此，商家想方設法用各種眼花繚亂的營銷手段獲取用戶數(shù)據(jù)。掃碼點餐、會員專享、入群領取優(yōu)惠等。那么，這些營銷手段里有沒有對用戶數(shù)據(jù)的過度采集？采集的數(shù)據(jù)商家有沒有進行妥善保管呢？今天我們去上?？匆豢础?/p>

2022年9月的一天，幾名男子趁夜色偷偷潛入一家物流公司的辦公室，為了不被別人認出，他們不僅把臉捂得嚴嚴實實，甚至還打起了傘。這些人在電腦上擺弄了一番后迅速離去，似乎既沒有盜竊物品，也沒有搞什么破壞。然而，不久后上海市公安局閔行分局就接到報警，稱有人遭遇了電信網絡詐騙。

上海市公安局閔行分局反詐專班民警石閔超：“被害人是一位叫薛某的女士，今年26歲，平時有一些網購的習慣，她接到了一些冒充客服的網絡詐騙，直接案損2萬多元?！?/p>

據(jù)了解，詐騙分子之所以能得手，關鍵就是他們精確地掌握了薛女士購物時留下的個人信息。那么，犯罪分子又是怎么搞到這些信息的呢？警方后來抓捕了犯罪嫌疑人彭某，據(jù)他交代，有人指使他到物流企業(yè)上班，借機盜取用戶信息，并承諾以每條2.5元的價格購買。隨后，彭某利用公司管理上的漏洞偷偷將木馬程序植入到公司電腦中，從而竊取了大量用戶的個人信息。

警方偵破的多起類似案件清晰地表明，竊取、倒賣個人信息，實施電信網絡詐騙已經形成了完整的灰色產業(yè)鏈。其中，個人信息泄露是這個鏈條中最重要的一環(huán)。

石閔超：“現(xiàn)在的電信網絡詐騙之所以這么猖獗，主要是犯罪分子拿到了我們個人信息，精準地對我們制定話術、劇本，對我們實施詐騙?！?/p>

調查發(fā)現(xiàn)，直接竊取個人信息的案件畢竟還是少數(shù)，人們碰到更多的是在掃碼點餐、停車繳費、房產買賣、商超購物等場景下，被商家索取了姓名、位置、手機號碼等個人信息，然后由于各種原因導致信息泄露。

互聯(lián)網安全專家張威：“個人信息泄露主要的危害有兩類，一類是黑灰產對個人信息的利用；另外一塊是企業(yè)在用戶信息的濫用上面，獲取更多非正常的商業(yè)報酬、商業(yè)利益，除此以外，也會通過個人信息建立情報體系、樹立行業(yè)壁壘?！?/p>

盡管公眾抱怨聲不斷，那為什么企業(yè)熱衷于收集消費者個人信息呢？

上海交通大學數(shù)據(jù)法律研究中心執(zhí)行主任、副教授何淵：“因為現(xiàn)在是數(shù)字經濟時代，數(shù)據(jù)就是‘石油’，尤其是大量的數(shù)據(jù)，具有非常大的價值，是普通人難以想象的，非常具有誘惑力?！?/p>

上海市消保委副秘書長唐健盛：“把這些數(shù)據(jù)全部整合在一起，從而形成每個人的畫像，而這個畫像恰恰就是最具有商業(yè)價值的?！?/p>

說到底，數(shù)據(jù)就是打開財富大門的鑰匙。因此，不少用戶的個人信息被商家“過度采、強制要、誘導取、違規(guī)用”。針對這些亂象，從6月中旬開始，上海市網信辦會同市場監(jiān)管局開展了為期半年的專項執(zhí)法行動，重點聚焦餐飲店、停車掃碼、少兒學習培訓、商超購物、理財小貸、房產中介、汽車4S店以及租借充電器等八個消費領域。

上海市委網信辦網絡執(zhí)法監(jiān)督處副處長吳宏鳴：“通過集中整治，提升市民個人信息的自我保護意識，同時規(guī)范商家對個人信息保護的行為，履行好個人信息保護的義務?！?/p>

通過對上海29家知名度較高的奶茶店、快餐店進行明察暗訪，發(fā)現(xiàn)了幾個比較突出的問題。首先，強制或者超范圍索取信息。這些現(xiàn)象在餐廳、奶茶店、咖啡店非常普遍。比如，用戶明明已經抵達消費場所，仍被告知要通過APP或者小程序掃碼點餐，而在掃碼過程中又強制或者以送優(yōu)惠券、加入會員等理由誘導用戶提供姓名、手機號碼、位置信息等這些超出點餐范圍的需求，否則就無法完成點餐。專家表示，這種做法既違反了最小必要原則，也剝奪了消費者的自主選擇權，違反了《消費者權益保護法》。

門店越多，產生的數(shù)據(jù)也越多，有時甚至達到了驚人的地步。比如，某知名連鎖奶茶品牌每收到一筆訂單，就會產生87條數(shù)據(jù)，目前已累計產生超過100億條。其中，涉及消費者姓名、電話、位置等個人敏感信息的就達6.7億條。專家表示，在數(shù)字經濟時代，數(shù)據(jù)通常被用于經營管理，這有利于提高工作效率、提升經濟效益，因此個人信息是可以被采集并使用的。但在采集信息的過程中，必須遵循“合法、正當、必要”三原則才行。

據(jù)了解，要搭建一個收集消費者個人信息的技術平臺，門檻很低，費用也不高。在一些電商平臺上，有大量開發(fā)掃碼點餐小程序的個人或技術公司在兜售這種業(yè)務。網絡安全專家表示，掃碼點餐存在一定的風險性，尤其是在小商家掃描那些來路不明的二維碼則更無法保障其安全性。

那么，這些被商家用掃碼點餐、誘導提交等手段收集來的信息是否得到妥善保管了呢？調查發(fā)現(xiàn)，不少企業(yè)在保管用戶信息時，存在一定的隱患。比如，前面提到的那家知名的奶茶店采集的數(shù)據(jù)量巨大，根據(jù)《網絡安全法》和《數(shù)據(jù)安全法》，應該按照三級標準進行等級保護，但是這家企業(yè)卻沒有做這些工作。時隔一個月，這家企業(yè)整頓得怎么樣了呢？

某科技企業(yè)總經理朱炎：“后續(xù)我們已經聯(lián)系了相關的等級保護單位，基本定在12月份完成所有的保護工作?！?/p>

至于點一杯奶茶產生的87條信息，記者在后臺數(shù)據(jù)庫上看到了。這些信息大多是企業(yè)正常運營所需的生產信息，而非個人隱私信息，公眾不必因此恐慌。跟公眾最直接相關的是姓名和手機號碼。記者看到，絕大多數(shù)人留下的是昵稱或者姓氏，而不是全名；至于手機號碼，記者隨機抽取了一個當天的訂單進行檢查。

上海市信息安全測評認證中心創(chuàng)新研究院副院長徐御：“中間做了掩碼變化，不會把整個個人信息泄露出去，還是符合要求的?！?/p>

但是很快執(zhí)法人員發(fā)現(xiàn)了一個完整的手機號碼，商家告知是虛擬手機號。這真的是虛擬號碼嗎？記者立刻撥打了過去，經過確認并非客戶真實手機號。據(jù)了解，虛擬號碼是為了方便商家或外賣小哥與客戶聯(lián)系使用的，可以撥打，但并非真實號碼，并且24小時后會自動失效。隨后，記者又選取了幾天前的訂單再次驗證，結果所有號碼全部失效，并非真實手機號。

此外，隱私權政策也是本次檢查的重點內容之一。所謂隱私權政策，就是信息收集方就如何收集個人信息所發(fā)布的聲明。簡單講，就是告訴用戶采集個人信息的目的、用途以及如何保管等。執(zhí)法人員發(fā)現(xiàn)，不少企業(yè)要么沒有隱私權政策，要么不完善，比如，前面提到的網紅奶茶店，就沒有清晰地告知用戶相關內容。

記者調查發(fā)現(xiàn)，還有些企業(yè)雖然制定了隱私權政策，但過于冗長，用戶體驗非常不友好。比如某咖啡連鎖店的隱私權政策，洋洋灑灑近萬字，這讓消費者如何閱讀？與其說是為了告知用戶，倒不如說是為了保護企業(yè)自己。

為了加強個人信息保護，上海市消保委自7月起針對掃碼點餐、停車繳費、少兒培訓和共享充電寶等四種消費場景，分別出臺了合規(guī)指引、自律承諾和合規(guī)清單。未來，還將針對房產中介、商超購物等主要消費場景作出相應指引。

不僅上海，近日北京市也發(fā)布了掃碼消費服務、違規(guī)收集使用、消費者個人信息案例解析及合規(guī)指引，整理出六類違規(guī)行為并做出相應規(guī)定。國家網信辦8月3日發(fā)布了《個人信息保護合規(guī)審計管理辦法（征求意見稿）》，規(guī)定，處理超過100萬人個人信息的處理者，應當每年至少開展一次個人信息保護合規(guī)審計；其他個人信息處理者應當每二年至少開展一次個人信息保護合規(guī)審計。

數(shù)據(jù)被稱為信息時代的“石油”，就是指它價值巨大，而包含個人信息的數(shù)據(jù)更是優(yōu)質“石油”，是商家爭奪的焦點。但是在消費領域，用戶個人信息被商家“過度采、強制要、誘導取、違規(guī)用”的現(xiàn)象卻并不少見。商家采集用戶個人信息不是不可以，但應該是采之有界，用之有度，護之有責。如何規(guī)范各種消費場景下商家的信息采集、使用行為，如何監(jiān)督引導商家做好對消費者個人信息的保護，應該引起我們足夠的重視。