暗访|谁“偷”了我的信息:星巴克扫码点餐时3次弹窗加会员,“Wagas”霸王要位置
餐馆提供并鼓励使用网上订餐。看似便捷的操作背后,隐藏着大量的“猫腻”。
6月初,该报对上海两大商业区的多家餐馆进行了随机暗访。经过多次扫码测试,这些店铺采用的扫码下单系统普遍吸引了微信官方账号的关注;频繁询问用户姓名和手机号码;频繁诱导或强迫用户准确定位;经常被诱导或强迫注册成为会员等。
其中,星巴克点餐小程序显示,消费者点一杯星巴克咖啡时,至少3次提示注册会员,2次弹窗要求定位授权。以及“Wagas”小程序的二维码,页面会直接弹出要求位置许可。只要它没有被授权,页面就会像失败一样继续加载。
一位长期关注互联网数据安全的不具名专家指出,根据现行法律和相关行为,当消费者拒绝提供不必要的个人信息时,不能使用相关应用,属于“强制”收集行为;当消费者明确拒绝授权时,商家又要求授权,也就是频繁要求授权,这两种情况都是违法的。在选择门店点餐的场景中,强制频繁采集准确定位也构成了对个人信息“最低必要原则”的违反。
一进店就开始“套路很多”
6月9日下午,本报记者来到位于上海静安嘉里中心的simply thai天台餐厅。当我到达商店时,还不是晚上的营业时间。服务人员说,店里不提供纸质菜单,但可以扫描店门口展示的二维码,提前查看菜品,提前点餐。
扫描simplythai天台餐厅排队的二维码后,直接显示官网微信官方账号,消费者很容易被诱导关注微信官方账号。
但是扫码后页面弹出天泰餐厅官方微信号。首先看到的是醒目的绿色提示框“关注微信官方账号”。店员说需要注意才能进行后续操作。
事实上,纸媒记者发现,点击“关注微信官方账号”提示框正下方的“服务”选项,可以直接查看微信官方账号支持的所有服务,包括排队、预订单、自提&外卖等。但与醒目的绿色“关注微信官方账号”提示框相比,灰色的“服务”提示要暗淡很多,很难在第一时间被关注并进入视野。
此外,在饭堂点餐的过程中,纸媒记者使用点餐小程序,每次点击“购物车”查看点餐情况,都会弹出页面要求输入手机号。
纸媒记者在测试中还发现,一旦拒绝授权订餐小程序定位信息,就无法手动输入收货地址,进行销售下单。
Shake Shack,位于上海静安嘉里中心。
汉堡品牌“shake shack”在静安嘉里中心也有门店。纸媒记者在当天的暗访中发现,订单确认页面显示需要填写取餐人的姓名和电话,但并未标注为必填或可选。记者经过多次测试发现,只要填写姓名一栏,就可以不用实名下单。
即使你在排队、点餐上经得起“考验”,没有授权任何个人隐私信息,“摇摇小屋”还是有“套路”诱导你注册成为会员,让你防不胜防:在“摇摇小屋”小程序上完成支付后,页面跳转生成取餐号。如果此时关闭小程序,再重新输入,将看不到订单和取餐号。点击小程序首页底部的“订购”一栏,会弹出会员注册页面。
非会员无法查看历史订单记录,如果在支付Shake Shack订单小程序后退出并重新进入,将被诱导注册为会员。当确认页面支付不成功时,小程序页面会自动跳转显示所有历史订单。
记者询问值班店长,对方在记者手机上点击操作后表示,“未授权,看不到(订单)”。这是否意味着会员资格是强制性的?对方说:“应该是吧。”
该工作人员还表示,到目前为止,没有遇到相关反馈或投诉。“在这种情况下,其他人只要点击注册就行了。”
矛盾的是,记者反复测试后还发现,再次登录小程序,在支付页面没有完成支付时,小程序页面会自动跳转显示该笔的记录以及之前的所有订单。当记者支付订单,关闭小程序后进入,仍然会出现无法查看订单,要求注册会员的情况。
星巴克多次提示添加会员,“Wagas”霸主想要一个位置。
上海人有多喜欢喝咖啡,看看上海街头的咖啡品牌就知道了。但是你在咖啡店点一杯咖啡的时候,也要小心个人隐私信息,包括你的手机号,因为它们随时可能进入商家的口袋。
记者在星巴克使用点餐小程序的过程中,被提示授权手机号,三次提示注册会员,两次在弹窗中询问位置。
论文记者在暗访一家餐厅时,选择了星巴克恒山广场店,发现点单小程序的过程就像过了关卡——扫描前台二维码,页面首先跳转到一张“扫码入会,领券立减”的全屏活动海报,无法直接关闭。记者点击下方“接收”按钮,页面直接跳转至“微信用户一键登录”页面,查看并同意相关隐私政策和绑定协议。点击“登录”后,页面下方弹出窗口要求手机号授权,显示可以使用微信手机号或其他手机号一键绑定,快速注册成为会员。
一番操作之后,小程序跳转到了用餐菜单的入口。
之后,纸媒记者询问店员得知,加盟活动海报的左上角有一个容易被忽视的小图标。点击它直接进入主页订购。
和其他餐饮店一样,在浏览购买和支付的过程中,该报记者三次提示注册会员,两次要求定位授权。
不过,虽然弹窗提示“我们无法获取您当前的位置为您提供订餐服务”,但该报记者选择不授权,但仍可正常支付订单。
记者扫描轻食连锁品牌wagas Vogos的点餐小程序后,如果定位未授权,系统会继续加载并再次弹出要求定位,无法点餐。
与星巴克不同的是,“Wagas”更加霸道:纸媒记者扫描“Wagas”小程序的二维码,页面会直接弹出要求位置许可。只要没有被授权,页面就像失败一样一直加载,这个弹窗反复出现,无法订购。
一位长期关注互联网数据安全的不愿透露姓名的专家对本报表示,从记者的暗访情况来看,上述餐厅的相关行为已经违法。
其解释是,根据《个人信息保护法》、《App非法收集使用个人信息的认定办法》等现行法律及相关行为,当消费者拒绝提供不必要的个人信息且无法使用相关应用时,属于“强制”收集行为;当消费者明确拒绝授权,再次被要求授权时,这是一种“频繁”的询问行为。
至于位置收集行为,该不愿透露姓名的专家表示,商店用户可以通过手动输入地址来选择商店,位置不是必须的。因此,强制和频繁地收集精确定位信息违反了最低必要性原则。
“消费者不提供手机号、姓名、所在地就不能点餐?答案显然是否定的。”中伦律师事务所律师刘新宇认为,在订餐小程序中设置吸引关注微信官方账号、频繁诱导或强行索要用户精确位置和手机号码等行为,违反了《消费者权益保护法》第九条、《个人信息保护法》第六条和《App非法收集、使用个人信息的认定办法》第三条,侵犯了消费者的自主选择权和收集个人信息的“最小必要”原则。
据该报此前暗访发现,不少餐饮品牌频繁诱导、强制索要用户隐私信息。6月16日,上海市网信办、市市场监管局执法人员分成两组,对星巴克、简泰天泰餐厅、shake shack门店进行突击检查,并要求涉事企业参与约谈。
市网信办工作人员明确表示,星巴克扫码点餐小程序频繁诱导索要手机号、准确位置信息、频繁弹窗提示加入会员;“摇摇小屋”小程序诱导用户索要姓名、手机号、性别,并强制诱导注册会员;天泰餐厅诱导关注微信官方账号,频繁诱导索要手机号、精准定位等行为,涉嫌违反《个人信息保护法》相关要求,要求涉事门店向其总公司反馈,并要求相关企业参与约谈。
责任编辑:汤宇兵图片编辑:朱伟辉校对:刘威