2022年9月的一天,几名男子趁夜色偷偷潜入一家物流公司的办公室。为了不被别人认出,他们不仅把脸捂得严严实实,甚至还打起了伞。这些人在电脑上摆弄了一番后迅速离去,似乎既没有盗窃物品,也没有搞什么破坏。然而,不久后上海市公安局闵行分局就接到报警,称有人遭遇了电信网络诈骗。
上海市公安局闵行分局反诈专班民警 石闵超:被害人是一位叫薛某的女士,今年26岁,平时有一些网购习惯,她接到了一些冒充客服的网络诈骗,直接案损2万多元。
据了解,诈骗分子之所以能得手,关键就是他们精确地掌握了薛女士购物时留下的个人信息。那么,犯罪分子又是怎么搞到这些信息的呢?警方后来抓捕了犯罪嫌疑人彭某,据他交代,有人指使他到物流企业上班,借机盗取用户信息,并承诺以每条2.5元的价格购买。随后,彭某利用公司管理上的漏洞偷偷将木马程序植入到公司电脑中,从而窃取了大量用户的个人信息。
警方侦破的多起类似案件清晰地表明,窃取、倒卖个人信息、实施电信网络诈骗已经形成完整的灰色产业链。其中,个人信息泄露是这个链条中最重要的一环。
上海市公安局闵行分局反诈专班民警 石闵超:现在的电信网络诈骗之所以这么猖獗,主要是犯罪分子拿到了我们个人信息,精准地对我们制定话术、剧本,对我们实施诈骗。
调查发现,直接窃取《彩票网大全下载》个人信息的案件毕竟还是少数,人们碰到更多的是在扫码点餐、停车缴费、房产买卖、商超购物等场景下,被商家索取了姓名、位置、手机号码等个人信息,然后由于各种原因导致信息泄露。
互联网安全专家 张威:个人信息泄露主要的危害有两类,一类是黑灰产对个人信息的利用;另外一块是企业在用户信息的滥用上面,获取更多非正常的商业报酬、商业利益;除此以外,也会通过个人信息建立情报体系、树立行业壁垒。
尽管消费者抱怨声不断,那为什么企业仍热衷于收集消费者个人信息呢?
上海交通大学数据法律研究中心执行主任 副教授 何渊:因为现在是数字经济时代,数据就是石油,尤其是大量的数据,具有非常大的价值,是普通人难以想象的,非常具有诱惑力。
上海市消保委副秘书长 唐健盛:把这些数据全部整合在一起,从而形成每个人的画像,而这个画像恰恰就是最具有商业价值的事。
说到底,数据就是打开财富大门的钥匙。因此,不少用户的个人信息被商家“过度采、强制要、诱导取、违规用”。针对这些乱象,从6月中旬开始,上海市网信办会同市场监管局开展了为期半年的专项执法行动,重点聚焦餐饮店、停车扫码、少儿学习培训、商超购物、理财小贷、房产中介、汽车4S店以及租借充电器等八个消费领域。
上海市委网信办网络执法监督处副处长 吴宏鸣:通过集中整治,提升市民个人信息的自我保护意识,同时规范商家对个人信息保护的行为,履行好个人信息保护的义务。
通过对上海29家知名度较高的奶茶店、快餐店进行明察暗访,发现了几个比较突出的问题。首先,强制或者超范围索取信息。这些现象在餐厅、奶茶店、咖啡店非常普遍。用户明明已经抵达消费场所,仍被告知要通过App或者小程序扫码点餐,而在扫码过程中又强制或者以送优惠券、加入会员等理由诱导用户提供姓名、手机号码、位置信息等超出点餐范围的需求,否则就无法完成点餐。专家表示,这种做法既违反了最小必要原则,也剥夺了消费者的自主选择权,违反了《消费者权益保护法》。
门店越多,产生的数据也越多,有时甚至达到惊人的地步。比如,某知名连锁奶茶品牌每收到一笔订单,就会产生87条数据,目前已累计产生超过100亿条。其中,涉及消费者姓名、电话、位置等敏感个人信息的达6.7亿条。专家表示,在数字经济时代,数据通常被用于经营管理,这有利于提高工作效率、提升经济效益,个人信息是可以被采集并使用的。但在采集信息的过程中,必须遵循“合法、正当、必要”三原则才行。
据了解,要搭建一个收集消费者个人信息的技术平台,门槛很低,费用也不高。在一些电商平台上,有大量开发扫码点餐小程序的个人或技术公司在兜售这种业务。网络安全专家表示,扫码点餐存在一定的风险性,尤其是在小商家扫描那些来路不明的二维码则更无法保障其安全性。
那么,这些被商家用扫码点餐、诱导提交等手段收集来的信息是否得到妥善保管了呢?调查发现,不少企业在保管用户信息时,存在一定的隐患。比如,前面提到的那家知名的奶茶店采集的数据量巨大。根据《网络安全法》和《数据保护法》,应该按照三级标准进行等级保护,但是这家企业却没有做这些工作。时隔一个月,这家企业整顿得怎么样了呢?
某科技企业总经理 朱炎:后续我们已经联系了相关的等级保护单位,基本定在12月份完成所有的保护工作。
至于点一杯奶茶产生的87条信息,记者在后台数据库上看到了。这些信息大多是企业正常运营所需的生产信息,而非个人隐私信息,公众不必因此恐慌。跟公众最直接相关的是姓名和手机号码。记者看到,绝大多数人留下的是昵称或者姓氏,而不是全名;至于手机号码,记者随机抽取了一个当天的订单进行检查。据了解,手机号码已进行掩码处理,中间的号码进行了去除、去标识。
执法人员发现了一个完整的手机号码,商家告知是虚拟手机号。这真的是虚拟号码吗?记者立刻拨打了过去,经过确认并非客户真实手机号。据了解,虚拟号码是为了方便商家或外卖小哥与客户联系使用的,可以拨打,但并非真实号码,并且24小时后会自动失效。随后,记者又选取了几天前的订单再次验证,结果所有号码全部失效,并非真实手机号。
此外,隐私权政策也是本次检查的重点内容之一。所谓隐私权政策,就是信息收集方就如何收集个人信息所发布的声明。简单讲,就是告诉用户采集个人信息的目的、用途以及如何保管等。执法人员发现,不少企业要么没有隐私权政策,要么不完善,比如,前面提到的网红奶茶店,就没有清晰地告知用户相关内容。
记者调查发现,还有些企业虽然制定了隐私权政策,但过于冗长,用户体验非常不友好。比如某咖啡连锁店的隐私权政策,洋洋洒洒近万字,这让消费者如何阅读?与其说是为了告知用户,倒不如说是为了保护企业自己。
为了加强个人信息保护,上海市消保委自7月起针对扫码点餐、停车缴费、少儿培训和共享充电宝等四种消费场景,分别出台了合规指引、自律承诺和合规清单。未来,还将针对房产中介、商超购物等主要消费场景作出相应指引。
不仅上海,近日北京市也发布了扫码消费服务违规收集使用消费者个人信息案例解析及合规指引,整理出六类违规行为并作出相应规定。国家网信办8月3日发布的《个人信息保护合规审计管理办法(征求意见稿)》规定,处理超过100万人个人信息的处理者,应当每年至少开展一次个人信息保护合规审计;其他个人信息处理者应当每两年至少开展一次个人信息保护合规审计。
数据被称为信息时代的“石油”,就是指它价值巨大,而包含个人信息的数据更是优质“石油”,是商家争夺的焦点。但是在消费领域,用户个人信息被商家“过度采、强制要、诱导取、违规用”的现象却并不少见。商家采集用户个人信息不是不可以,但应该是采之有界,用之有度,护之有责。如何规范各种消费场景下商家的信息采集、使用行为,如何监督引导商家做好对消费者个人信息的保护,应该引起我们足够的重视。
编辑丨宁柯 俞翔
摄像丨张敏 刘永波 朱志远
剪辑丨郑昱