左图为某餐饮店餐桌上张贴的点餐码。

右图为消费者通过小程序支付账单时仍被索取手机号等信息。均 栗思 摄

1月11日中午,李女士和朋友相约在“PUTIEN(陆家嘴中心)店”就餐。看到桌面上张贴的点餐码,她熟练地掏出手机,打开微信扫码,一条“关注公众号”的提醒就弹了出来。回想起手机微信里五花八门的餐厅公众号,李女士不由得叹了口气,虽无奈但还是按下了“关注”按钮,开始选择菜品。

逢年过节,手机里接收的除了亲友祝福,还有来自形形色色公众号的“问候”,李女士不胜其扰。更让她担忧的是,扫码点餐背后还暗藏着信息收割的陷阱。

去年4月起,上海市消保委就多次呼吁“餐厅应该不收集或者尽可能少收集消费者的信息”,腾讯公司也向开发者推送了关于自查“扫码点餐强制关注公众号”问题的通知。据悉,腾讯已于今年1月17日起对此类问题进行核查,违规的商家将被限制通过扫码打开公众号的功能。1个多月过去了,餐厅自查的整改情况如何?记者去沪上多家餐厅开展了调查走访。

个人信息是“香饽饽”

记者走访了几家商场,扫描了佬肥猫、新白鹿、避风塘、百春原、汤小罐、小满手工粉等近20家餐厅的点餐码,观察商户收集个人信息情况。总体来看,走访的所有餐厅在扫码点餐时都无需关注公众号,使用小程序即可实现点餐功能,其中有不少使用的是来自同一个第三方平台开发的点餐系统。此外,大部分餐厅也提供了除扫码点餐外的纸质菜单。

不过,记者留意到,即便不强制消费者关注公众号,但用各种环节套取消费者信息的情况仍存在。在北外滩来福士的米桃江南苏锡菜餐厅,记者用手机扫桌上的点餐码,立刻跳出了“储值1000送100”的提示。记者并不想充值,可如果不翻过这个广告,就没法点餐,且页面上只有一个“点我授权”的选项。不得已,记者只能点了“点我授权”,结果就被要求提供微信昵称、头像。还好,这个环节有“拒绝”选项,记者选择“拒绝”后,发现也能进入点餐页面,并完成点餐。但奇怪的是,在结账页面,该小程序又申请获取点餐人的手机号码,如果取消,就不能结账。也就是说,从点餐到结账,这个小程序总共3次索取消费者个人信息,且最后仍成功获取了手机号码。

微信昵称、头像、地理位置等个人信息,在商户眼中是“香饽饽”。百春原(世纪百联店)、汤小罐(世纪百联店)、南翔小笼馒头(世纪百联店)在扫码点餐前仍要求消费者授权提供微信昵称、头像等,佬肥猫则要求获取位置信息。此外,记者试图注销曾在一餐饮店授权给“一店一购”小程序的个人信息,但迟迟未找到注销入口。更值得注意的是,过度收集个人信息的问题不仅存在于餐饮领域。不少市民致电12345市民服务热线反映,开具电子发票、选择配送服务等其他事务,“索要个人信息”也已成了商家统一的操作。2月初,杜先生前往金桥路600号泡温泉,进门取号时被要求关注公众号并提供手机号码。“这不是强制收集用户信息吗?为什么不能提供非扫码的方式呢?”

屡禁不止为后续营销

餐厅等服务企业能不能提供不索取个人信息的小程序、App呢?答案是肯定的。

记者了解到,这类服务企业使用的点餐结账信息服务大多来自第三方软件服务商,相关服务商会提供对应的模块,包括推送广告、是否索取个人信息、索取哪些个人信息等。“这些模块不是固定不变的,而是根据客户需求可以增删。只要客户表示不需要这些服务,完全可以满足他们的需求。”某点餐服务软件商的工程师说,大部分服务企业都会或多或少地收集用户数据,“都是为了后续营销”。他举例说,如果要求用户关注公众号,那么意味着餐饮企业能够提供丰富的推送内容,包括产品信息、优惠信息等;如果获得了用户的手机号码,那么可以通过短信的形式发送广告,“现在都讲究精准营销、私域流量,通过一次消费来积累自己的客户群体,已成为惯例”。

常见的扫码点餐系统大多基于开源代码,开发难度并不高,这大大增加了消费者信息泄露的风险。通常情况下,消费者提供的个人信息会被存储在系统后台,并接入商户自己的系统。由于市场上第三方软件服务商数量众多,服务水平良莠不齐,不能保证相关数据是否被妥善保管或是否会被“二次售卖”。

技术人员表示,通过技术手段来改变过度索取消费者信息的现象不难,关键是要明确商户能否索要用户信息,以及一旦违法索取用户信息、泄露用户信息后,需承担怎样的法律责任,“只有充分认识到个人信息保护的重要性,才能从源头上杜绝商家过度索取个人信息”。

“过度收集”涉嫌违法

对于零售企业通过二维码点餐、结算时索取个人信息的行为,上海市消保委和相关法律人士均表示反对。

上海市消保委副秘书长唐健盛说,扫码点餐能提高服务效率,但“只要能知道是哪张桌子点菜、点什么菜就可以了。至于坐在这张桌子前的是张三还是李四,以及他们的手机号码、微信用户名等信息,餐厅没有必要了解,餐厅应该不收集或者尽可能少收集消费者的信息。”

上海市消保委公益律师、上海海若律师事务所合伙人律师陆珊菁指出,商家为扫码点餐设置“同意获取个人信息”“同意获取用户位置信息”“同意第三方获取信息”等条件,是一种“形式上自愿、实质上强制”的交易行为。《消费者权益保护法》第二十六条规定,经营者不得以格式条款、通知、声明、店堂告示等方式,作出排除或者限制消费者权利、减轻或者免除经营者责任、加重消费者责任等对消费者不公平、不合理的规定,不得利用格式条款并借助技术手段强制交易。若商家强制要求消费者扫码点餐,消费者有权拒绝,或向市场监管部门投诉。同时,商家要保障消费者的个人信息,如若消费者发现个人隐私信息受到侵犯,应及时通过法律途径维权。

北京观韬中茂(上海)律师事务所葛志浩律师认为,餐饮消费的本质是消费者向商家购买餐饮服务的行为,这一关系的建立,并不以消费者提供个人信息为必要前提。因此,餐厅要求消费者通过App或微信小程序的方式进行下单或买单,进而对消费者的个人信息进行收集,这一做法明显超出了必要限度,除客户自愿行为外,通常来说,此类行为应归类为《个人信息保护法》中所禁止的“过度收集”行为。

与此同时,依据《个人信息保护法》的相关规定,商家收集消费者个人信息的,还必须遵循一系列规则,包括将收集行为的目的、信息处理的规则以及信息处理的方式等向消费者进行明确的告知;消费者若不同意收集行为的,商家还应当配合进行撤回收集行为,已经收集并使用的,应当根据消费者的要求进行及时、有效的清除等。不过目前来看,大部分商家并没有提供或告知这类服务。

至于商家收集个人信息用于“智能推送”的自动化决策行为,《个人信息保护法》同样作出规定,赋予消费者可自由选择或拒绝被“智能推送”的权利。 记者 栗思 任翀

推荐内容