调查|谁“偷”了我的信息: 一杯网红奶茶产生87条数据背后
可想而知,一杯网络名人奶茶会产生87个数据!
今年3月,上海市消保委对上海29家知名奶茶店、快餐店进行了暗访,包括CoCo、沈大成、茶饮100、七分钟甜、蜜汁冰雪城等。事后,据上海市网信办调查,网络名人中某知名连锁奶茶品牌,每接单一次就能产生87条数据。截至今年3月,其累计数据已经超过100亿。其中,消费者姓名、电话号码、收货地址经纬度等敏感个人信息6.7亿条。
谁在搭建一个收集这些数据的技术平台?餐厅收集的个人信息最终可能流向哪里?该报(www.thepaper.cn)进行了调查。
“订餐需要手机号”的定制开发只需要一个月。
由于开发技术门槛较低,在各大电商平台、二手网络交易平台、搜索网站上,都有大量个人买家或技术公司开发扫码订餐小程序。小程序系统的订阅价格因服务权限不同差别很大,但所有受访者都表示可以收集部分用户的个人信息。
淘宝一家可以搭建订餐小程序的店铺客服告诉本报,目前只收集用户的订餐地址和手机号,大概一天就可以完成。价格是80元一年,160元可以永久使用。
客服说任何带有强制功能的小程序都会被屏蔽。“比如强制绑定手机号才能下单。只要被检测到,就会被屏蔽。”
另一家淘宝店提供的订餐小程序,三年300元,续费99元/年。可以收集用户的姓名、电话、收货地址,但无法实现强制关注微信微信官方账号的功能。
一家名为“杰瑞科技”的企业服务提供商,专门从事APP、小程序、系统等软件的定制开发。据官网介绍,开发的餐饮小程序可以提供各种功能,如定位、在线点餐、编号、食物管理等。
工作人员廖先生介绍,常规的模板系统可以实现客户姓名、手机号码、定位信息的获取。如对个别功能有特殊要求,如点餐时强制要求会员资格、不得擅自点餐、下单时需要填写姓名和手机号等,则需要单独定制开发。
“具体价格要根据实施工作量来评估。”廖先生说,定制化开发需要一个月左右,常规模板系统只需要一周。
提供网上证明甚至可以采集身份证号和人脸。
关于用户个人信息存储的安全性,前述淘宝卖家表示,没有人会攻击存储服务器,绝对安全。也有卖家表示,不放心可以签保密协议。“所有数据只能由你我读取,我保证不泄露任何客户数据。”
纸媒记者在“咸鱼”随机联系了一个卖家,声称可以提供智能收银系统、订餐扫码系统等。,适用于甜品咖啡、蛋糕烘焙、茶饮等零售和餐饮行业,可以包含开发、建设、认证、基本运营。
卖家按照对方要求添加微信好友后,很快发来多个咖啡店、炸鸡店的成品订购小程序,并迅速建群,拉进其他工作人员提供咨询和后续服务。
其中一名工作人员在了解了论文记者的“需求”后表示,服务系统有基础版和高级版两种,对应价格分别为2699/年和8150/年。后者可以提供更精准的营销推送服务,比如向微信用户发送优惠券,或者推送商家活动信息。
该工作人员表示,获取用户头像、姓名、手机号、位置信息、收货地址是基本服务功能,“操作简单”,一些蛋糕烘焙店还会询问性别、年龄等信息。如果提供相关入网证明,后台系统还可以设置获取用户身份证号、人脸等敏感个人信息。“但是餐饮零售行业很难申请到线上的证书,一般都是科技公司才有的。”
该工作人员表示,大部分消费者已经形成了一种授权习惯,一般不会对小程序的授权要求感到反感。商家可以通过设置无门槛优惠券、提供储值优惠等方式诱导用户留下个人信息。“只要他想用优惠券,就必须填。”
该工作人员还给记者发了一个模板系统账号。登录后点击“用户管理”一栏,可以看到用户的手机号、送货地址等信息。点击用户头像,还可以查看用户的轨迹,包括每次登录小程序的确切时间和IP地址。
该工作人员表示,所有用户信息都是以区块链的形式上传存储在服务器中,后台可以直接导出,每个账号独立操作,登录需要验证,保证信息安全不会泄露。另外,如果停止系统服务超过一个月,账户和所有数据都会被清空空。
餐饮企业收集的信息流向四类供应商,或存在额外风险。
餐厅收集的个人信息最终可能流向哪里?
中伦律师事务所律师刘新宇此前调查了市场上部分餐饮企业的隐私政策,发现餐饮企业可能会将用户的个人信息提供给四类供应商:第三方技术服务商、数据分析服务商、支付服务商或第三方合作平台。而这些渠道都存在信息外流的风险。
他举例说,一些提供推送服务、Bug监控服务的技术服务提供商往往具有较强的信息技术服务能力,利用餐饮企业提供的个人信息识别个人信息主体身份的能力往往更强。一定程度上提高了个人信息主体的暴露风险。”
刘新宇表示,随着互联网和大数据技术的不断发展和成熟,数据已经成为数字经济时代的“石油”。对于餐饮企业来说,收集用户隐私信息便于更精准的定位和营销,不仅可以帮助其节省获客成本,还可以显著提高其营销活动的成功率。与第三方数据机构合作后,这些经过处理的个人信息还可以提供给各类券商和研究机构进行市场调研,其商业价值不可估量。
他认为,消费者不应该为了追求方便而形成随意授权的习惯,应该提高警惕。“尤其是精准的定位信息,一旦被使用或泄露,消费者很可能会暴露在极大的风险中,甚至威胁到人身安全。儿童和独居妇女等重点群体需要特别关注。”刘新宇说。
抽象法律法规的实际损失难以量化,加剧了维权难度
围绕网络信息安全,我国先后出台了《网络安全法》、《数据安全法》、《个人信息保护法》等一批法律文件,明确了公民个人信息的内涵和外延,对个人信息的收集、非法获取和出售等行为做出了相应规定。但在这些法律框架下,餐饮行业违规处理了个人信息。
究其原因,长宁区法院互联网审判庭庭长齐晓东认为,一方面,公民个人难以有效防止信息泄露;另一方面,《个人信息保护法》等相关法律比较抽象,实践中很难适用。同时,相关救济渠道不便捷,消费者维权困难。
齐晓东解释说,相关主体收集网络用户的相关信息,隐蔽性强,技术壁垒高。用户很难感知到应用的运行模式和背后的处理链条,也不知道信息是什么时候收集的,收集后是如何使用和转移的。
在法律法规方面,《个人信息保护法》第45条和《民法典》第1037条都明确了个人信息的查阅权和复制权。但由于相关法律规定的抽象性,实践中关于查阅复制权的基本问题仍存在诸多争议,如如何区分个人信息查阅复制权和知情权的客体,如何确定信息查阅复制的范围和时间跨度等。同时,由于许多违法信息处理行为在被发现和查处时并未造成个人实际财产损失,或者即使有损失也难以量化到具体数额,精神损害赔偿请求权受到严格限制,导致个人维权困难。
刘新宇也认为,现行个人信息保护法从宏观角度对餐饮企业处理个人信息提出了合规要求,但部分规则较为抽象,其中’最小必要’的判断标准、公开透明算法的判断标准等关键问题也缺乏配套法律法规的进一步说明和典型案例,导致餐饮企业无法对相关合规要求做出回应,不同执法部门对同一规则的理解不同,导致相应执法工作难以推进。
“目前国家也在加大力度培养兼具信息技术能力和法律能力的后备人才。可以预见,这个问题在不久的将来可以得到有效解决。”刘新宇说。
记者获悉,6月16日下午,在国家网信办网络执法监察局的全力支持和指导下,上海市网信办、市市场监管局、市教委、市商务委、市通信管理局等行业主管部门开展了“消费领域个人信息权益保护专项执法行动”,将重点针对餐饮、停车扫码、儿童学习培训等八大重点消费领域,
责任编辑:崔烜图片编辑:陈飞燕校对:丁晓