1月11日中午,李女士和朋友相約在“PUTIEN(陸家嘴中心)店”就餐。看到桌面上張貼的點餐碼,她熟練地掏出手機,打開了微信??蓜倰咄甓S碼,一則“關(guān)注公眾號”的提醒就彈了出來?;叵肫鹗謾C里五花八門的餐廳公眾號,李女士不由得嘆了口氣,隨后便按下了“關(guān)注”按鈕,開始選擇菜品。
逢年過節(jié),手機里接收的除了親友祝福,還有來自形形色色公眾號的“問候”,李女士不勝其擾,每過一段時間便要清理一波無用的公眾號。更讓她擔(dān)憂的是,掃碼點餐背后還暗藏著信息收割的陷阱。
去年4月起,上海市消保委就多次呼吁過“餐廳應(yīng)該不收集或者盡可能少收集消費者的信息”,騰訊公司也向開發(fā)者推送了關(guān)于自查掃碼點餐強制關(guān)注公眾號”問題的通知。據(jù)悉,騰訊已于今年1月17日起對此類問題進行核查,違規(guī)的公眾號將被限制二維碼打開公眾號能力。
1個月過去了,餐廳自查的整改情況如何?記者去滬上多家餐廳開展了調(diào)查走訪。
強制關(guān)注已取消,個人信息仍是“香餑餑”
記者走訪了幾家商場,掃描了佬肥貓、新白鹿、避風(fēng)塘、百春原、湯小罐、小滿手工粉等近20家餐廳的點餐碼,觀察商戶收集個人信息情況??傮w來看,走訪的所有餐廳在掃碼點餐時都無需關(guān)注公眾號,使用小程序即可實現(xiàn)點餐功能,其中有不少使用的是來自同一第三方開發(fā)的點餐系統(tǒng)。此外,大部分餐廳也提供了除掃碼點餐外的紙質(zhì)菜單。
不過,記者留意到,即便不強制消費者關(guān)注公號,但用各種環(huán)節(jié)套取消費者信息的情況仍舊存在。
在北外灘來福士的“米桃江南蘇錫菜”餐廳,記者用手機“掃一掃”桌上的點餐碼,立刻跳出了“儲值1000送100”的提示。記者并不想充值,可如果不翻過這個廣告,就沒法點餐,且頁面上只有一個“點我授權(quán)”的選項。不得已,記者只能點了“點我授權(quán)”,結(jié)果就被要求提供微信昵稱、頭像。還好,這個環(huán)節(jié)有“拒絕”選項,記者選擇“拒絕”后,發(fā)現(xiàn)也能進入點菜頁面,并完成點餐。但奇怪的是,在結(jié)賬頁面,該小程序又申請獲取點餐人的手機號碼,如果取消,就不能結(jié)賬。也就是說,從點餐到結(jié)賬,這個小程序總共三次索取記者的個人信息,且最后仍成功獲取了記者的手機號碼。
付賬時被索取手機號。
微信昵稱、頭像、地理位置等個人信息,在商戶眼中仍舊是“香餑餑”。百春原(世紀(jì)百聯(lián)店)、湯小罐(世紀(jì)百聯(lián)店)、南翔小籠饅頭(世紀(jì)百聯(lián)店)在掃碼點餐前仍舊要求消費者授權(quán)提供微信昵稱、頭像等,而佬肥貓則要求獲取位置信息。此外,記者試圖注銷曾在一餐飲店授權(quán)給“一店一購”小程序的個人信息,也遲遲未找到注銷入口。
幾家商戶申請獲取用戶昵稱、頭像。
更值得注意的是,過度收集個人信息的問題不僅局限在餐飲領(lǐng)域。在12345市民服務(wù)熱線,不少市民反映,開具電子發(fā)票、選擇配送服務(wù)等其他事務(wù)上,“索要個人信息”已然成了商家統(tǒng)一的操作。2月初,杜先生前往金橋路600號泡溫泉,進門取號時被要求關(guān)注公眾號并提供手機號碼。“這不是強制收集用戶信息嗎?為什么不能提供非掃碼的方式呢?”
屢禁不止的背后:“為了后續(xù)營銷”
餐廳等服務(wù)企業(yè)能不能提供不索取個人信息的小程序、APP呢?答案是肯定的。
記者了解到,這類服務(wù)企業(yè)使用的點餐結(jié)賬信息服務(wù)大多來自第三方軟件服務(wù)商,相關(guān)服務(wù)商會提供對應(yīng)的模塊,包括推送廣告、是否索取個人信息、索取哪些個人信息等?!斑@些模塊不是固定不變的,而是根據(jù)客戶需求可以增刪。只要客戶表示不需要這些服務(wù),完全可以滿足他們的需求。”某點餐服務(wù)軟件商的工程師說。
但他承認(rèn),大部分服務(wù)企業(yè)都會或多或少地收集用戶數(shù)據(jù),“都是為了后續(xù)營銷”。他舉例說,如果要求用戶關(guān)注公眾號,那么意味著餐飲企業(yè)能夠提供豐富的推送內(nèi)容,包括產(chǎn)品信息、優(yōu)惠信息等;如果獲得了用戶的手機號碼,那么可以通過短信的形式發(fā)送廣告,“現(xiàn)在都講究精準(zhǔn)營銷、私域流量,通過一次消費來積累自己的客戶群體,已經(jīng)成為慣例?!?/p>
常見的掃碼點餐系統(tǒng)大多基于開源代碼,開發(fā)難度并不高,這大大增加了消費者信息泄露的風(fēng)險。通常情況下,消費者提供的個人信息會被存儲在系統(tǒng)后臺,并接入商戶自己的系統(tǒng)??捎捎谑袌錾系谌杰浖?wù)商數(shù)量眾多,服務(wù)水平良莠不齊,所以不能保證相關(guān)數(shù)據(jù)是否被妥善保管或是否會被“二次售賣”。
技術(shù)人員表示,通過技術(shù)手段來改變過度索取消費者信息的現(xiàn)象并不難,關(guān)鍵是要明確商戶能否索要用戶信息,以及一旦違法索取用戶信息、泄露用戶信息后,需承擔(dān)怎樣的法律責(zé)任,“只有充分認(rèn)識到個人信息保護的重要性,才能從源頭上杜絕過度索取個人信息?!?/p>
“過度收集”涉嫌違法
對于零售企業(yè)通過二維碼點餐、結(jié)算時索取個人信息的行為,上海市消保委和相關(guān)法律人士均表示反對。
上海市消保委副秘書長唐健盛指出,掃碼點餐能提高餐廳的服務(wù)效率,但“只要能知道是哪張桌子點菜、在點什么菜就可以了。至于坐在這張桌子前的是張三還是李四,以及他們的手機號碼、微信用戶名等信息,餐廳其實沒有必要了解,餐廳應(yīng)該不收集或者盡可能少收集消費者的信息?!?/p>
上海市消保委公益律師、上海海若律師事務(wù)所合伙人律師陸珊菁指出,商家為掃碼點餐設(shè)置“同意獲取個人信息”“同意獲取用戶位置信息”“同意第三方獲取信息”等條件,是一種“形式上自愿、實質(zhì)上強制”的交易行為?!断M者權(quán)益保護法》第二十六條規(guī)定,經(jīng)營者不得以格式條款、通知、聲明、店堂告示等方式,作出排除或者限制消費者權(quán)利、減輕或者免除經(jīng)營者責(zé)任、加重消費者責(zé)任等對消費者不公平、不合理的規(guī)定,不得利用格式條款并借助技術(shù)手段強制交易。若商家強制要求消費者掃碼點餐,消費者有權(quán)拒絕,或向市場監(jiān)管部門投訴。同時,商家要保障消費者的個人信息,如若消費者發(fā)現(xiàn)個人隱私信息受到侵犯,應(yīng)及時通過法律途徑維權(quán)。
北京觀韜中茂(上海)律師事務(wù)所葛志浩律師認(rèn)為,餐飲消費的本質(zhì)是消費者向商家購買餐飲服務(wù)的行為,這一關(guān)系的建立,并不以消費者提供個人信息為必要前提。因此,餐廳要求消費者通過APP或者微信小程序的方式進行下單或者買單,進而對消費者的個人信息進行收集,這一做法明顯超出了必要限度,除客戶的自愿行為之外,通常來說,此類行為應(yīng)歸類為《個人信息保護法》中所禁止的“過度收集”行為。
與此同時,依據(jù)《個人信息保護法》的相關(guān)規(guī)定,商家收集消費者個人信息的,還必須遵循一系列規(guī)則,包括將收集行為的目的、信息處理的規(guī)則以及信息處理的方式等向消費者進行明確的告知;消費者若不同意收集行為的,商家還應(yīng)當(dāng)配合進行撤回收集行為,已經(jīng)收集并使用的,應(yīng)當(dāng)根據(jù)消費者的要求進行及時、有效的清除,等等。不過目前來看,大部分商家并沒有提供或告知這類服務(wù)。
至于商家收集個人信息用于“智能推送”的“自動化決策”行為,《個人信息保護法》同樣作出了規(guī)定,賦予消費者可自由選擇或拒絕被“智能推送”的權(quán)利。