“扫码点餐”要求授权手机号,个人信息安全怎么保障?

澎湃新闻  |  2023-03-21

城市里,餐厅“扫码点餐”已随处可见。这既方便消费者,也降低商家的人工成本,但随之而来还有这个现象——食客在“扫码点餐”中被强制授权、不当索取以及超范围收集使用个人信息。这引起部分消费者的疑虑和担忧。

今年“3·15”国际消费者权益日前夕,上海市消保委对29家知名度较高的奶茶店和快餐店进行了暗访,发现部分餐饮企业运营的微信小程序存在对到店点餐的消费者强制索取手机号、用户位置精准信息等行为。

上海市消保委还调查发现,有65%的消费者不愿意在扫码点餐时向商家提供手机号码。有56%的消费者对扫码点餐强制获取位置信息表示担忧。

在数字化时代,个人信息数据已是重要资产。通过收集个人数据,企业可以更好了解消费者需求,提供更好服务。但违规滥用个人数据的情况,也不时存在。比如,个人信息被泄露或非法转卖,可能会被用于恶意营销、诈骗等等,甚至危及个人财产安全、人身安全。

针对以上问题,上海市网信办会同市市场监督管理局、市消保委依法对相关餐饮企业开展联合约谈,责令限期整改,并开展普法教育。同时,上海市网信办也在开展科普——当餐饮企业存在以下行为将涉嫌违法违规收集使用个人信息:

在顶层设计上,中国已出台《网络安全法》《个人信息保护法》《APP违法违规收集使用个人信息行为认定方法》等多项法律法规,对个人信息和数据安全予以保护。其中,包括了个人信息收集须遵循的“最小化”“透明度”“知情同意”等法律原则。

然而,在我们城市生活的神经末梢,在越来越多的“互联网+服务”场景中,尚有不少违背上述原则的行为,导致个人信息保护不力。而这背后的原因较为复杂。

综合来看,以“扫码点餐”场景为例,其信息安全隐患主要源于以下四方面“不到位”:

首先,个人信息和数据收集方式、标准不到位。众多的餐饮企业倾向于尽可能多收集个人信息,包括姓名、手机号码、微信账号等,但收集的信息却没有清晰的目的和用途,但现行法规尚缺乏针对扫码点餐等数字生活场景的标准指引和配套可操作实施细则,较易导致数据收集边界模糊不清、执行过于粗放等问题。

其次,商家和用户利益的平衡不到位。在扫码点餐过程中,商家可以通过搜集消费者个人数据来开展精准营销、广告推荐,提高自身经济效益和竞争力。这容易导致商家忽略对消费者隐私和权益的尊重,过度攫取信息。如果消费者面对的是强势商家,很可能在扫码之外没有其他可供选择的点餐渠道,只能选择适应。且消费者信息权益受损后的维权途径十分有限,这使消费者的个人信息安全变得更加脆弱。

第三,个人信息和数据安全保护不到位。许多餐饮企业将扫码点餐小程序的开发和运营委托给第三方技术公司,但欠缺对它的监督能力,导致大量经由扫码点餐收集的消费者个人数据、位置信息等事实上为第三方公司所获取和处置。政府部门的监管又较难直接触达第三方,即便对餐厅采集信息有所监管,但消费者依旧面临复杂的数据泄露风险。

第四,消费者对个人信息安全的认知不到位。智能手机等数字设备越来越普及,但大多数消费者未能充分了解“轻轻一扫”背后的安全隐患,缺乏相应知识来分辨具体的侵权陷阱,容易受到误导,令个人信息权益受损。

因此,从政府层面加强对扫码点餐这一数字生活场景及相关餐饮企业、第三方技术公司的监管,应当成为保护个人信息安全的关键环节。这需要制定适宜该场景的数据安全标准,要求企业在搜集、使用和存储个人信息时遵循相关规定。

尤为重要的是,应将监管贯穿于扫码点餐的事前、事中和事后全过程,协调落实数据加密、权限控制、监测预警、安全审计、合规治理、损害救济等工作,鼓励企业采用数据去标识化、数据脱敏等技术,将消费者个人信息的搜集、使用和存储最小化,保障消费者合法权益。

扫码点餐等常见的数字场景让城市生活更便利,但风险也不应忽视。值得注意的是,解决数据安全隐患是一个系统性工作,不仅需要对场景末端,比如扫码点餐中的餐厅方、小程序方进行数据安全方面的引导、监管,还应对现象背后的个人数据非法交易链条进行排查。

除了监管,也有必要提供更多的渠道,让消费者和企业共同参与个人信息保护,协同规范数据权属关系、用户知情同意方式,完善个人信息收集、传输、存储等数据管理标准,以达到“技术向善”。

责任编辑:杨海琴