暗访｜谁“偷”了我的信息：扫码点单如闯关

澎湃新闻记者 冯茵伦 邹桥

餐饮店提供并鼓励使用线上点餐，看似便捷的操作背后，藏有不少“猫腻”。

6月上旬，澎湃新闻随机暗访上海两大商圈的多家餐饮店，经多次扫码测试，这些店铺采用的扫码点餐系统普遍存在诱导关注公众号；频繁索要用户姓名、手机号码；频繁诱导或强制索要用户精准定位；频繁诱导或强制要求注册成为会员等情况。

其中，星巴克点餐小程序显示，点杯星巴克咖啡，消费者至少被弹窗提示注册会员3次，弹窗索要定位授权2次。而“Wagas（沃歌斯)”的小程序二维码，页面会直接弹窗索要位置权限。只要不授权，该页面就像发生故障般不断加载。

长期关注互联网数据安全的不具名专家指出，根据现行法律及相关行为认定，当消费者拒绝提供非必要的个人信息，就无法使用相关应用，即为“强制”收集行为；当消费者明确拒绝授权后，商家再次索取，即为“频繁”索要行为，两者均构成违法。而在选择门店点餐这一场景下，强制、频繁收集精准定位，同样构成违反个人信息的“最小必要原则”。

但扫码后，页面弹出的却是天泰餐厅官方微信号。最先映入眼帘的，是醒目的“关注公众号”绿色提示框。店员称，需要关注才能进行后续的操作。

实际上，澎湃新闻记者发现，只要点击“关注公众号”提示框正下方的“服务”选项，就可直接查看公众号支持的所有服务，包括排队、堂食预点、自提&外卖等。只不过相较于醒目的绿色“关注公众号”提示框，灰色的“服务”提示暗淡了很多，很难第一时间被关注且进入查看。

此外，堂食点单过程中，澎湃新闻记者使用点餐小程序，每次点击“购物车”查看点菜情况，页面均会弹窗索要手机号。

在测试过程中，澎湃新闻记者还发现，一旦拒绝授权给点餐小程序定位信息，就无法手动输入收货地址，无法进行外卖点单。

汉堡品牌“shake shack”在静安嘉里中心同样有门店。澎湃新闻记者在当天的暗访中发现，订单确认页面显示要求填写取餐人姓名和电话，但未标注是必填还是选填。记者多次测试后发现，只要填写姓名一栏，无需用真名，就能下单。

即使在排队、点单环节经受住“考验”，未授权任何个人隐私信息，“shake shack” 照样有“套路”诱导你注册成为会员，让你防不胜防：在“shake shack”小程序上完成支付后，页面跳转生成取餐号。如果此时关闭小程序，随后再进入，便无法看到订单情况，也看不到取餐号。而点击小程序主页下方的“订单”等栏目，均会跳转出现会员注册页面。

记者就此询问门店值班管理人员，对方在记者手机上点击操作后表示，“不授权的，看不到（订单）”。这是否意味着系统强制要求成为会员？对方称，“应该是的”。

该工作人员还表示，到目前为止，没有遇到过相关反馈或投诉，“碰到这种情况，别人都是点一下，注册一下就好了。”

吊诡的是，记者随后多次测试还发现，当再次登录小程序点单，并在支付页面不完成支付时，小程序页面竟会自动跳转显示该笔及此前的所有订单记录。而当记者支付该笔订单，关闭小程序后再进入，仍会出现无法查看订单，要求注册会员的情况。

星巴克屡次提示加会员，

“Wagas”霸王要位置

上海人有多喜欢喝咖啡，看看上海街头的咖啡品牌就能窥见一斑。但是到咖啡店点杯咖啡，你也得当心包括手机号在内的个人隐私信息，因为它们随时可能会进入商家的口袋。

在暗访餐饮店扫码点餐期间，澎湃新闻记者选择了星巴克衡山坊店，发现小程序点单过程犹如闯关——扫描前台二维码，页面先跳转出现“扫码入会 领券立减”整屏活动海报，无法直接关闭。记者点击下方“领取”按钮，页面直接跳转进入“微信用户一键登录”页，勾选同意相关隐私政策和绑定协议，点击“登录”后，页面下方又弹窗索要手机号授权，显示可用微信手机号一键绑定或者其他手机号快速注册成为会员。

一番操作下来，小程序这才跳转出现堂食点单入口。

此后，澎湃新闻记者询问店员才获知，在入会活动海报的左上角，有个极容易被忽略的小图标，点击它就可直达主页进行点单。

与其他餐饮店相同，澎湃新闻记者在浏览加购及付款的过程中，星巴克小程序弹窗提示注册会员3次，弹窗索要定位授权共2次。

不过，虽然弹窗提示称，“我们无法获得你的当前位置为你提供点单服务”，但澎湃新闻记者选择不授权，依旧可以正常付款下单。

和星巴克不同，“Wagas（沃歌斯)”就显得更霸道了：澎湃新闻记者扫描“Wagas（沃歌斯)”小程序二维码，页面会直接弹窗索要位置权限。只要不授权，该页面就像发生故障般不断加载，重复出现这一弹窗，无法点餐。

长期关注互联网数据安全的不具名专家告诉澎湃新闻，从记者实地暗访情况来看，前述多家餐饮店铺的相关行为均已违法。

其解释，根据《个人信息保护法》《App违法违规收集使用个人信息行为认定方法》等现行法律及相关行为认定，当消费者拒绝提供非必要的个人信息导致无法使用相关应用，即为“强制”收集行为；当消费者明确拒绝授权后又被再次索取，即为“频繁”索要行为。

而对于定位收集行为，这位不具名专家表示，到店用户可以通过手动输入地址等方式来选择门店，定位并非必要。因此，强制、频繁收集精准定位信息的行为，均违反了“最小必要原则”。

“消费者不提供手机号码、姓名和定位，就不能点餐了吗？答案显然是否定的。”中伦律师事务所律师刘新宇认为，点单小程序中设置诱导关注公众号、频繁诱导索取或强制索取用户精准定位、手机号等行为，违反了《消费者保护法》第9条、《个人信息保护法》第6条和《App违法违规收集使用个人信息行为认定方法》第3条等相关规定，侵犯了消费者自主选择权，违反收集个人信息的“最小必要”原则。

就澎湃新闻此前暗访发现多家餐饮品牌“扫码点餐”小程序频繁诱导、强制索取用户隐私信息等情况，6月16日，上海市网信办、市市场监管局执法人员兵分两路，对星巴克、simply thai天泰餐厅和“shake shack”涉事门店开展突击检查，并要求涉事企业参加约谈。

市网信办工作人员明确表示，星巴克扫码点餐小程序频繁诱导索取手机号、精准位置信息和频繁弹窗提示加入会员；“shake shack”小程序诱导索取用户姓名、手机号、性别，强制诱导注册会员；天泰餐厅诱导关注公众号，频繁诱导索要手机号、精准定位等行为，涉嫌违反《个人信息保护法》的有关要求，要求涉事门店向其总公司反馈，要求相关企业参加约谈。

推荐阅读