信息化觀察網(wǎng)

本文來自微信公眾號(hào)“安全學(xué)習(xí)那些事兒”。

2023年9月5日，焦點(diǎn)訪談報(bào)道一杯奶茶，錢不多，但訂單里卻包含著消費(fèi)者的個(gè)人信息和消費(fèi)軌跡。一筆訂單不起眼，但如果是一千杯、一萬杯奶茶的訂單呢?對(duì)商家來說，這后面的用戶數(shù)據(jù)可是一筆重要的財(cái)富。正因?yàn)槿绱?，商家想方設(shè)法用各種眼花繚亂的營銷手段獲取用戶數(shù)據(jù)。掃碼點(diǎn)餐、會(huì)員專享、入群領(lǐng)取優(yōu)惠……那么，這些營銷手段里有沒有對(duì)用戶數(shù)據(jù)的過度采集?采集的數(shù)據(jù)商家有沒有進(jìn)行妥善保管呢?

2022年9月的一天，幾名男子趁夜色偷偷潛入一家物流公司的辦公室。為了不被別人認(rèn)出，他們不僅把臉捂得嚴(yán)嚴(yán)實(shí)實(shí)，甚至還打起了傘。這些人在電腦上擺弄了一番后迅速離去，似乎既沒有盜竊物品，也沒有搞什么破壞。然而，不久后上海市公安局閔行分局就接到報(bào)警，稱有人遭遇了電信網(wǎng)絡(luò)詐騙。上海市公安局閔行分局反詐專班民警石閔超：被害人是一位叫薛某的女士，今年26歲，平時(shí)有一些網(wǎng)購習(xí)慣，她接到了一些冒充客服的網(wǎng)絡(luò)詐騙，直接案損2萬多元。

據(jù)了解，詐騙分子之所以能得手，關(guān)鍵就是他們精確地掌握了薛女士購物時(shí)留下的個(gè)人信息。那么，犯罪分子又是怎么搞到這些信息的呢?警方后來抓捕了犯罪嫌疑人彭某，據(jù)他交代，有人指使他到物流企業(yè)上班，借機(jī)盜取用戶信息，并承諾以每條2.5元的價(jià)格購買。隨后，彭某利用公司管理上的漏洞偷偷將木馬程序植入到公司電腦中，從而竊取了大量用戶的個(gè)人信息。警方偵破的多起類似案件清晰地表明，竊取、倒賣個(gè)人信息、實(shí)施電信網(wǎng)絡(luò)詐騙已經(jīng)形成完整的灰色產(chǎn)業(yè)鏈。其中，個(gè)人信息泄露是這個(gè)鏈條中最重要的一環(huán)。

上海市公安局閔行分局反詐專班民警石閔超：現(xiàn)在的電信網(wǎng)絡(luò)詐騙之所以這么猖獗，主要是犯罪分子拿到了我們個(gè)人信息，精準(zhǔn)地對(duì)我們制定話術(shù)、劇本，對(duì)我們實(shí)施詐騙。

調(diào)查發(fā)現(xiàn)，直接竊取個(gè)人信息的案件畢竟還是少數(shù)，人們碰到更多的是在掃碼點(diǎn)餐、停車?yán)U費(fèi)、房產(chǎn)買賣、商超購物等場景下，被商家索取了姓名、位置、手機(jī)號(hào)碼等個(gè)人信息，然后由于各種原因?qū)е滦畔⑿孤丁?/p>

互聯(lián)網(wǎng)安全專家張威：個(gè)人信息泄露主要的危害有兩類，一類是黑灰產(chǎn)對(duì)個(gè)人信息的利用;另外一塊是企業(yè)在用戶信息的濫用上面，獲取更多非正常的商業(yè)報(bào)酬、商業(yè)利益;除此以外，也會(huì)通過個(gè)人信息建立情報(bào)體系、樹立行業(yè)壁壘。

盡管消費(fèi)者抱怨聲不斷，那為什么企業(yè)仍熱衷于收集消費(fèi)者個(gè)人信息呢?

上海交通大學(xué)數(shù)據(jù)法律研究中心執(zhí)行主任副教授何淵：因?yàn)楝F(xiàn)在是數(shù)字經(jīng)濟(jì)時(shí)代，數(shù)據(jù)就是石油，尤其是大量的數(shù)據(jù)，具有非常大的價(jià)值，是普通人難以想象的，非常具有誘惑力。

上海市消保委副秘書長唐健盛：把這些數(shù)據(jù)全部整合在一起，從而形成每個(gè)人的畫像，而這個(gè)畫像恰恰就是最具有商業(yè)價(jià)值的事。

說到底，數(shù)據(jù)就是打開財(cái)富大門的鑰匙。因此，不少用戶的個(gè)人信息被商家“過度采、強(qiáng)制要、誘導(dǎo)取、違規(guī)用”。針對(duì)這些亂象，從6月中旬開始，上海市網(wǎng)信辦會(huì)同市場監(jiān)管局開展了為期半年的專項(xiàng)執(zhí)法行動(dòng)，重點(diǎn)聚焦餐飲店、停車掃碼、少兒學(xué)習(xí)培訓(xùn)、商超購物、理財(cái)小貸、房產(chǎn)中介、汽車4S店以及租借充電器等八個(gè)消費(fèi)領(lǐng)域。

上海市委網(wǎng)信辦網(wǎng)絡(luò)執(zhí)法監(jiān)督處副處長吳宏鳴：通過集中整治，提升市民個(gè)人信息的自我保護(hù)意識(shí)，同時(shí)規(guī)范商家對(duì)個(gè)人信息保護(hù)的行為，履行好個(gè)人信息保護(hù)的義務(wù)。

通過對(duì)上海29家知名度較高的奶茶店、快餐店進(jìn)行明察暗訪，發(fā)現(xiàn)了幾個(gè)比較突出的問題。首先，強(qiáng)制或者超范圍索取信息。這些現(xiàn)象在餐廳、奶茶店、咖啡店非常普遍。用戶明明已經(jīng)抵達(dá)消費(fèi)場所，仍被告知要通過App或者小程序掃碼點(diǎn)餐，而在掃碼過程中又強(qiáng)制或者以送優(yōu)惠券、加入會(huì)員等理由誘導(dǎo)用戶提供姓名、手機(jī)號(hào)碼、位置信息等超出點(diǎn)餐范圍的需求，否則就無法完成點(diǎn)餐。專家表示，這種做法既違反了最小必要原則，也剝奪了消費(fèi)者的自主選擇權(quán)，違反了《消費(fèi)者權(quán)益保護(hù)法》。

門店越多，產(chǎn)生的數(shù)據(jù)也越多，有時(shí)甚至達(dá)到驚人的地步。比如，某知名連鎖奶茶品牌每收到一筆訂單，就會(huì)產(chǎn)生87條數(shù)據(jù)，目前已累計(jì)產(chǎn)生超過100億條。其中，涉及消費(fèi)者姓名、電話、位置等敏感個(gè)人信息的達(dá)6.7億條。專家表示，在數(shù)字經(jīng)濟(jì)時(shí)代，數(shù)據(jù)通常被用于經(jīng)營管理，這有利于提高工作效率、提升經(jīng)濟(jì)效益，個(gè)人信息是可以被采集并使用的。但在采集信息的過程中，必須遵循“合法、正當(dāng)、必要”三原則才行。

據(jù)了解，要搭建一個(gè)收集消費(fèi)者個(gè)人信息的技術(shù)平臺(tái)，門檻很低，費(fèi)用也不高。在一些電商平臺(tái)上，有大量開發(fā)掃碼點(diǎn)餐小程序的個(gè)人或技術(shù)公司在兜售這種業(yè)務(wù)。網(wǎng)絡(luò)安全專家表示，掃碼點(diǎn)餐存在一定的風(fēng)險(xiǎn)性，尤其是在小商家掃描那些來路不明的二維碼則更無法保障其安全性。

那么，這些被商家用掃碼點(diǎn)餐、誘導(dǎo)提交等手段收集來的信息是否得到妥善保管了呢?調(diào)查發(fā)現(xiàn)，不少企業(yè)在保管用戶信息時(shí)，存在一定的隱患。比如，前面提到的那家知名的奶茶店采集的數(shù)據(jù)量巨大。根據(jù)《網(wǎng)絡(luò)安全法》和《數(shù)據(jù)保護(hù)法》，應(yīng)該按照三級(jí)標(biāo)準(zhǔn)進(jìn)行等級(jí)保護(hù)，但是這家企業(yè)卻沒有做這些工作。時(shí)隔一個(gè)月，這家企業(yè)整頓得怎么樣了呢?

某科技企業(yè)總經(jīng)理朱炎：后續(xù)我們已經(jīng)聯(lián)系了相關(guān)的等級(jí)保護(hù)單位，基本定在12月份完成所有的保護(hù)工作。

至于點(diǎn)一杯奶茶產(chǎn)生的87條信息，記者在后臺(tái)數(shù)據(jù)庫上看到了。這些信息大多是企業(yè)正常運(yùn)營所需的生產(chǎn)信息，而非個(gè)人隱私信息，公眾不必因此恐慌。跟公眾最直接相關(guān)的是姓名和手機(jī)號(hào)碼。記者看到，絕大多數(shù)人留下的是昵稱或者姓氏，而不是全名;至于手機(jī)號(hào)碼，記者隨機(jī)抽取了一個(gè)當(dāng)天的訂單進(jìn)行檢查。據(jù)了解，手機(jī)號(hào)碼已進(jìn)行掩碼處理，中間的號(hào)碼進(jìn)行了去除、去標(biāo)識(shí)。

執(zhí)法人員發(fā)現(xiàn)了一個(gè)完整的手機(jī)號(hào)碼，商家告知是虛擬手機(jī)號(hào)。這真的是虛擬號(hào)碼嗎?記者立刻撥打了過去，經(jīng)過確認(rèn)并非客戶真實(shí)手機(jī)號(hào)。據(jù)了解，虛擬號(hào)碼是為了方便商家或外賣小哥與客戶聯(lián)系使用的，可以撥打，但并非真實(shí)號(hào)碼，并且24小時(shí)后會(huì)自動(dòng)失效。隨后，記者又選取了幾天前的訂單再次驗(yàn)證，結(jié)果所有號(hào)碼全部失效，并非真實(shí)手機(jī)號(hào)。

此外，隱私權(quán)政策也是本次檢查的重點(diǎn)內(nèi)容之一。所謂隱私權(quán)政策，就是信息收集方就如何收集個(gè)人信息所發(fā)布的聲明。簡單講，就是告訴用戶采集個(gè)人信息的目的、用途以及如何保管等。執(zhí)法人員發(fā)現(xiàn)，不少企業(yè)要么沒有隱私權(quán)政策，要么不完善，比如，前面提到的網(wǎng)紅奶茶店，就沒有清晰地告知用戶相關(guān)內(nèi)容。

記者調(diào)查發(fā)現(xiàn)，還有些企業(yè)雖然制定了隱私權(quán)政策，但過于冗長，用戶體驗(yàn)非常不友好。比如某咖啡連鎖店的隱私權(quán)政策，洋洋灑灑近萬字，這讓消費(fèi)者如何閱讀?與其說是為了告知用戶，倒不如說是為了保護(hù)企業(yè)自己。

為了加強(qiáng)個(gè)人信息保護(hù)，上海市消保委自7月起針對(duì)掃碼點(diǎn)餐、停車?yán)U費(fèi)、少兒培訓(xùn)和共享充電寶等四種消費(fèi)場景，分別出臺(tái)了合規(guī)指引、自律承諾和合規(guī)清單。未來，還將針對(duì)房產(chǎn)中介、商超購物等主要消費(fèi)場景作出相應(yīng)指引。

不僅上海，近日北京市也發(fā)布了掃碼消費(fèi)服務(wù)違規(guī)收集使用消費(fèi)者個(gè)人信息案例解析及合規(guī)指引，整理出六類違規(guī)行為并作出相應(yīng)規(guī)定。國家網(wǎng)信辦8月3日發(fā)布的《個(gè)人信息保護(hù)合規(guī)審計(jì)管理辦法(征求意見稿)》規(guī)定，處理超過100萬人個(gè)人信息的處理者，應(yīng)當(dāng)每年至少開展一次個(gè)人信息保護(hù)合規(guī)審計(jì);其他個(gè)人信息處理者應(yīng)當(dāng)每兩年至少開展一次個(gè)人信息保護(hù)合規(guī)審計(jì)。

數(shù)據(jù)被稱為信息時(shí)代的“石油”，就是指它價(jià)值巨大，而包含個(gè)人信息的數(shù)據(jù)更是優(yōu)質(zhì)“石油”，是商家爭奪的焦點(diǎn)。但是在消費(fèi)領(lǐng)域，用戶個(gè)人信息被商家“過度采、強(qiáng)制要、誘導(dǎo)取、違規(guī)用”的現(xiàn)象卻并不少見。商家采集用戶個(gè)人信息不是不可以，但應(yīng)該是采之有界，用之有度，護(hù)之有責(zé)。如何規(guī)范各種消費(fèi)場景下商家的信息采集、使用行為，如何監(jiān)督引導(dǎo)商家做好對(duì)消費(fèi)者個(gè)人信息的保護(hù)，應(yīng)該引起我們足夠的重視。