記者車佳楠

  打開一款飲品小程式遠程點單，等飲品做好後再取餐，這樣的掃碼下單已是稀鬆平常的消費場景。然而，在上海網信辦執法人員的眼中，部分商家設定的點單過程暗藏玄機：掃碼後一通行雲流水的授權，個人資訊可能在“即刻消費”中被過度收集，在不知不覺中遭到洩露，成為網絡黑灰產、電信詐騙的源頭。

  今年6月以來，“亮劍浦江·消費領域個人資訊權益保護專項執法行動”對掃碼點餐、停車繳費、少兒學習培訓、網絡理財小貸、共亯充電寶、商超購物、房產仲介、汽車4S店等八大消費場景開展個人資訊保護綜合整治和專項執法，近半年來，累計檢查企業6043家，依法對520餘家企業進行約談，查處各類個人資訊保護案件50餘件。日前，上海市網信辦、市市場監管局執法人員集中在北外灘來福士廣場進行“回頭看”。原本違法違規收集個人資訊的商家是否整改徹底了？新的問題是否會出現？記者跟隨執法人員、市人大代表進行突擊檢查。

  資訊洩露存隱秘誘導

  在各色餐飲門店林立的商場B2樓，市人大代表詹婷婷在餐飲企業“蔡瀾港式點心”的一個桌角掃碼，一條“用戶隱私政策提醒”彈窗出現。她點擊了不同意，換來的卻是無法打開選單。詹婷婷眉頭一緊，被迫選擇了“同意並繼續”，彈窗又提示要申請獲取位置資訊。掃碼點單時，小程式出現“一鍵成為會員”尊享特權的提示；掃碼結帳時再次出現加入會員的提示。“這是明顯的誘導。”詹婷婷感歎，餐飲企業保護用戶隱私的意識不够，掃碼點餐問題仍亟待解决。

  “原來我已注册過這家店了。”在鮮果茶企業“7分甜”門店前，詹婷婷掃碼點單，竟發現自己因在其他門店消費過該品牌，不經過注册登入就直接可以點單。她想要註銷資訊，卻怎麼也找不到入口。再仔細翻看密密麻麻的隱私條款協定，竟發現該企業將用戶授權協力廠商以及多種場景使用。“沒有便捷的個人資訊退出機制，個人資訊保護很難說是完整的。”詹婷婷說。

  隨後，執法人員來到星巴克門店，對於此前在小程式上個人資訊收集環節誘導消費者加入會員的問題，經科技人員檢測，已徹底整改。“企業必須要意識到，要允許遊客模式下的點單許可權。即便用戶選擇加入會員，相關個人資訊使用去向、範圍都要明確告知。”上海網信辦執法人員朱濤說。

  要分類分級守好防線

  一家“童畫森林創新美術教育”的少兒培訓機構引起執法人員的注意。門店外豎立著不少主題研學遊、線上線下課程的小程式諮詢及報名入口的看板。掃碼後，機构要求填寫兒童姓名、年齡、性別、聯繫方式、微訊號等資訊。

  執法人員提出，要對後臺個人資訊收集情况進行檢查。機构負責人連忙稱：“只有校長、教務級別的老師可以查看，普通老師看不到家長電話。”但從檢查結果看，這類敏感內容的查看許可權仍過低。

  對於培訓機構的客戶資訊數據保護問題，市人大代表、上海市資訊服務業行業協會秘書長陸雷認為，此類機构掌握著消費者較敏感的個人資訊，囙此在敏感資訊的查看許可權、存儲環節上需要格外注意，特別重要的要放在保險箱裏。“守好兩條底線：第一，確保不販賣；第二，做好相應的保護。”在陸雷看來，中小企業資訊洩露問題大多是由於企業內的相關人員出於私利而進行倒賣產生的，囙此數據保護很大程度上依賴於企業如何嚴格控制內部人員倒賣的管理制度。

  本次“回頭看”涉及停車繳費、租借充電寶的企業，均沒有發現問題，整改效果明顯。在來福士廣場地下車庫，“純淨版”停車付款碼標識被放大後張貼醒目、引導訓示清晰。記者掃碼後，看到了輸入車牌號碼的介面，可直接跳轉支付介面。“成為會員，繳費更便捷”的選項被放在下方，降低被誤導點擊的可能性。

  上海網信辦執法人員表示，通過“回頭看”檢查，不少企業能按照個人資訊保護法要求規範個人資訊的收集、存儲等行為。但有些企業仍存在違法違規情形。一方面需要監管部門持續加大普法培訓、合規指引和行政執法力度，另一方面也需要凝聚社會共識。