暗访|谁“偷”了我的信息:扫码点单如闯关
澎湃新闻记者 冯茵伦 邹桥
餐饮店提供并鼓励使用线上点餐,看似便捷的操作背后,藏有不少“猫腻”。
6月上旬,澎湃新闻随机暗访上海两大商圈的多家餐饮店,经多次扫码测试,这些店铺采用的扫码点餐系统普遍存在诱导关注公众号;频繁索要用户姓名、手机号码;频繁诱导或强制索要用户精准定位;频繁诱导或强制要求注册成为会员等情况。
其中,星巴克点餐小程序显示,点杯星巴克咖啡,消费者至少被弹窗提示注册会员3次,弹窗索要定位授权2次。而“Wagas(沃歌斯)”的小程序二维码,页面会直接弹窗索要位置权限。只要不授权,该页面就像发生故障般不断加载。
长期关注互联网数据安全的不具名专家指出,根据现行法律及相关行为认定,当消费者拒绝提供非必要的个人信息,就无法使用相关应用,即为“强制”收集行为;当消费者明确拒绝授权后,商家再次索取,即为“频繁”索要行为,两者均构成违法。而在选择门店点餐这一场景下,强制、频繁收集精准定位,同样构成违反个人信息的“最小必要原则”。
6月9日下午,澎湃新闻记者来到位于上海静安嘉里中心的simply thai天泰餐厅。到店时未到晚市营业时间,服务人员称门店不提供纸制菜单,可扫描店门口展示的排队取号二维码,提前查看菜品,还能提前预点餐。
但扫码后,页面弹出的却是天泰餐厅官方微信号。最先映入眼帘的,是醒目的“关注公众号”绿色提示框。店员称,需要关注才能进行后续的操作。
实际上,澎湃新闻记者发现,只要点击“关注公众号”提示框正下方的“服务”选项,就可直接查看公众号支持的所有服务,包括排队、堂食预点、自提&外卖等。只不过相较于醒目的绿色“关注公众号”提示框,灰色的“服务”提示暗淡了很多,很难第一时间被关注且进入查看。
此外,堂食点单过程中,澎湃新闻记者使用点餐小程序,每次点击“购物车”查看点菜情况,页面均会弹窗索要手机号。
在测试过程中,澎湃新闻记者还发现,一旦拒绝授权给点餐小程序定位信息,就无法手动输入收货地址,无法进行外卖点单。
汉堡品牌“shake shack”在静安嘉里中心同样有门店。澎湃新闻记者在当天的暗访中发现,订单确认页面显示要求填写取餐人姓名和电话,但未标注是必填还是选填。记者多次测试后发现,只要填写姓名一栏,无需用真名,就能下单。
即使在排队、点单环节经受住“考验”,未授权任何个人隐私信息,“shake shack” 照样有“套路”诱导你注册成为会员,让你防不胜防:在“shake shack”小程序上完成支付后,页面跳转生成取餐号。如果此时关闭小程序,随后再进入,便无法看到订单情况,也看不到取餐号。而点击小程序主页下方的“订单”等栏目,均会跳转出现会员注册页面。
记者就此询问门店值班管理人员,对方在记者手机上点击操作后表示,“不授权的,看不到(订单)”。这是否意味着系统强制要求成为会员?对方称,“应该是的”。
该工作人员还表示,到目前为止,没有遇到过相关反馈或投诉,“碰到这种情况,别人都是点一下,注册一下就好了。”
吊诡的是,记者随后多次测试还发现,当再次登录小程序点单,并在支付页面不完成支付时,小程序页面竟会自动跳转显示该笔及此前的所有订单记录。而当记者支付该笔订单,关闭小程序后再进入,仍会出现无法查看订单,要求注册会员的情况。
星巴克屡次提示加会员,
“Wagas”霸王要位置
上海人有多喜欢喝咖啡,看看上海街头的咖啡品牌就能窥见一斑。但是到咖啡店点杯咖啡,你也得当心包括手机号在内的个人隐私信息,因为它们随时可能会进入商家的口袋。
在暗访餐饮店扫码点餐期间,澎湃新闻记者选择了星巴克衡山坊店,发现小程序点单过程犹如闯关——扫描前台二维码,页面先跳转出现“扫码入会 领券立减”整屏活动海报,无法直接关闭。记者点击下方“领取”按钮,页面直接跳转进入“微信用户一键登录”页,勾选同意相关隐私政策和绑定协议,点击“登录”后,页面下方又弹窗索要手机号授权,显示可用微信手机号一键绑定或者其他手机号快速注册成为会员。
一番操作下来,小程序这才跳转出现堂食点单入口。
此后,澎湃新闻记者询问店员才获知,在入会活动海报的左上角,有个极容易被忽略的小图标,点击它就可直达主页进行点单。
与其他餐饮店相同,澎湃新闻记者在浏览加购及付款的过程中,星巴克小程序弹窗提示注册会员3次,弹窗索要定位授权共2次。
不过,虽然弹窗提示称,“我们无法获得你的当前位置为你提供点单服务”,但澎湃新闻记者选择不授权,依旧可以正常付款下单。
和星巴克不同,“Wagas(沃歌斯)”就显得更霸道了:澎湃新闻记者扫描“Wagas(沃歌斯)”小程序二维码,页面会直接弹窗索要位置权限。只要不授权,该页面就像发生故障般不断加载,重复出现这一弹窗,无法点餐。
长期关注互联网数据安全的不具名专家告诉澎湃新闻,从记者实地暗访情况来看,前述多家餐饮店铺的相关行为均已违法。
其解释,根据《个人信息保护法》《App违法违规收集使用个人信息行为认定方法》等现行法律及相关行为认定,当消费者拒绝提供非必要的个人信息导致无法使用相关应用,即为“强制”收集行为;当消费者明确拒绝授权后又被再次索取,即为“频繁”索要行为。
而对于定位收集行为,这位不具名专家表示,到店用户可以通过手动输入地址等方式来选择门店,定位并非必要。因此,强制、频繁收集精准定位信息的行为,均违反了“最小必要原则”。
“消费者不提供手机号码、姓名和定位,就不能点餐了吗?答案显然是否定的。”中伦律师事务所律师刘新宇认为,点单小程序中设置诱导关注公众号、频繁诱导索取或强制索取用户精准定位、手机号等行为,违反了《消费者保护法》第9条、《个人信息保护法》第6条和《App违法违规收集使用个人信息行为认定方法》第3条等相关规定,侵犯了消费者自主选择权,违反收集个人信息的“最小必要”原则。
就澎湃新闻此前暗访发现多家餐饮品牌“扫码点餐”小程序频繁诱导、强制索取用户隐私信息等情况,6月16日,上海市网信办、市市场监管局执法人员兵分两路,对星巴克、simply thai天泰餐厅和“shake shack”涉事门店开展突击检查,并要求涉事企业参加约谈。
市网信办工作人员明确表示,星巴克扫码点餐小程序频繁诱导索取手机号、精准位置信息和频繁弹窗提示加入会员;“shake shack”小程序诱导索取用户姓名、手机号、性别,强制诱导注册会员;天泰餐厅诱导关注公众号,频繁诱导索要手机号、精准定位等行为,涉嫌违反《个人信息保护法》的有关要求,要求涉事门店向其总公司反馈,要求相关企业参加约谈。
微信扫码关注该文公众号作者