3月14日，消费者在“CoCo”七浦路店扫码点餐。摄影/吴轶君

“一点点”奶茶要求消费者提供位置信息才能点单。摄影/吴轶君

我们的生活已经须臾离不开快递小哥了吗？摄影/吴轶君

个人信息与恐怖暗网之间，或许只有一指之隔。当个人信息通过手机端泄露之后，也许麻烦就会在某一时刻找上门。防范于未然，则不仅仅是监管部门的责任，更该是公民们大家所需要引起警觉的。

主笔｜姜浩峰

老陈最近遭遇了“狂轰滥炸”。一天之内接到十来通莫名其妙的电话。

“不胜其扰！”通过微信语音通话，老陈向《新民周刊》记者慨叹道，“先是接到电话，要送我免费法律咨询，要我提供劳动争议和工商保险纠纷案源。聊了几分钟我发觉苗头不对，暗含不少坑，就主动按掉手机通话键。没想到几分钟后，又有人加我微信，闹半天还是那人追将上来！我只能立即把这位刚加的好友给删了。过半小时，又来电话了。这次是个温柔女声，要送我10万元医疗保险和100万元人身损害保险。我这次反应快，告诉伊，这保险我转送伊全家！哪知道她还木知木觉似的，不肯收，非常客气地坚持要给我。”挂断电话后不久，老陈又收到了一条看上去与赠送保险有关的短信，还附有网络链接。好在他已经警觉，没有点开网址……

老陈自己也讲不清这帮人是如何知晓他的手机号码，甚至更多个人信息的，却总感觉这些电话属于“精准投放”。记者与他一起梳理，果然发现一些蛛丝马迹。刚退休的他最近帮人写过劳动仲裁文书，为此经常浏览一些相关专业的网站，在需要阅读更多内容时，进行了实名注册并留下手机号。不久前，他曾去私人诊疗机构就医，也在医院的就医应用软件（App）上进行过实名认证。哪怕还没有找到证据链，老陈大约明白了——自己的个人信息被人卖了。难怪最近高峰期一天能接到十来个骚扰电话。

如今，随着电子支付领域的扩大，以及许多工作需要通过联网开展，人们的手机号码等个人信息频频出示，有的一天要出示许多趟，甚至买个零嘴，喝个奶茶就不知不觉出示了个人信息。这样的个人信息流露，是否存在安全隐患？类似老陈这样接到骚扰电话，如若不慎，会遭遇怎样的损失呢？

从立法和监管的方面看，已经有了哪些行动，又有哪些需要弥补之处？

记者注意到，3月8日，中国消费者协会（以下简称“中消协”）发布的《2022年个人信息保护领域消费者权益保护报告》（以下简称“中消协《报告》”）指出，当前侵害消费者个人信息权益问题仍需引起社会各方高度重视，强化消费者个人信息保护亟待立法、司法、行政、社会等层面综合施策。

这奶茶不仅有点甜

“近段日子，我们对29家知名度较高的奶茶店和快餐店进行了暗访。原因是有不少消费者向我们反映，有些扫码点餐的小程序会索要消费者的手机号。”上海市消费者权益保护委员会（以下简称“上海市消保委”）副秘书长唐健盛对记者表示，“消费者问，自己已经到店取餐了，有的甚至是堂食，商家非要拿走自己的手机号，派啥用场？”

不查不打紧，一查吓一跳！查将下来，发现“CoCo”、“沈大成”、“茶百道”、“7分甜”、“蜜雪冰城”、“望湘园”、“吉祥馄饨”和“书亦烧仙草”等8个品牌的小程序会索要消费者的手机号。其中，“CoCo”和“沈大成”的问题最为突出。如果消费者拒绝提供手机号，那点餐程序就进行不下去了。而其余6家，在消费者拒绝提供手机号后，倒也还能点餐。

记者做了一个小调查——是否知道点餐程序索要手机号时可以拒绝？10位不同年龄、不同性别的消费者，只有两名40余岁中年人——一位男士、一位女士称，自己尝试过拒绝提供手机号。其他8人，无论年长逾六旬者，还是20岁不到的小年轻，都从未尝试过拒绝提供手机号。而拒绝提供手机号之后，如果点餐程序进行不下去，则那两名中年人也称，只得无奈提供……

可见，对商家通过小程序等索要手机号，许多消费者所表露出的，唯有见怪不怪的无奈！向上海市消保委投诉的消费者们，则坚持认为这一怪现状决不可接受。“如果是外卖点餐，需要留实名地址、电话，这我能理解。但我这可是到店点餐啊，凭什么还要我提供手机号？”一名投诉者愤愤地说，“按照他们的逻辑，那如果我没带手机，难道就无法消费喽？”

“上海市消保委对消费者调查发现，有65%的消费者不愿意在扫码点餐时向商家提供手机号码。”唐健盛说。但许多时候，已经到达门店了，有的人为了赶路赶时间，有的人似乎为了尝一口该品牌的产品，还有的人仅仅为了怕麻烦，也就屈从强制索要手机号等个人信息的小程序了。

上海市消保委工作人员在“沈大成”门店暗访时发现，进入扫码点餐小程序后，立刻转到登录页面。其不仅要求消费者提供微信号昵称、头像，还必须提供手机号，否则就无法继续点单。在沈大成，若选择堂食，倒是不需要提供位置信息；但若选择到店自提，则仍必须提供位置信息。“汉堡王”的表现略好——也仅仅是略好而已。在“汉堡王”，如果消费者扫码点餐时拒绝提供位置信息，虽仍可点餐，但小程序里有个弹窗会频频跳出来“提示”，对消费者正常点餐进行干扰。对于并非眼疾手快的消费者来说，揿除弹窗都相当不容易，有的人也不知道过一会这弹窗会自动消失。于是，不少人又无奈地顺着弹窗的意思，透露了个人位置信息。最为离谱的是“一点点”，竟然点杯奶茶还必须提供位置信息才能点单。“这样的做法实在太霸道。”唐健盛说，“从我们上海市消保委来说，我们认为，到店点餐的话，如果消费者拒绝提供位置信息，商家也应该向消费者提供手动选择门店的途径。上海市消保委的调查也显示，有56%的消费者对扫码点餐强制获取位置信息表示担忧。”

看样子，喝杯奶茶，消费者不知不觉竟也尝到了一丝无奈与苦涩的滋味——奶茶，不仅有点甜啊！

商家为什么会有强制索取手机号码、位置信息的冲动呢？《新民周刊》记者也联系到一些经营者。“你点个外卖，不是照样要透露手机号码吗？对于我们商铺来说，要这手机号码、位置信息能派什么用场呢？还不是为了大家方便！”有经营者叹苦经，“比如买奶茶有先来后到，制作奶茶需要时间，生意好的时候，消费者势必要排队，有时候要等十几二十分钟。有的消费者就会在点单完了之后，再在‘销品茂’其他店、附近铺子兜兜逛逛。等我这里奶茶做差不多了，就会手机提醒。消费者就来取餐。这不是挺好的吗？”对于强制索要位置信息，有商家表示，这是小程序设计者为了消费者能够尽快点单成功而设。“给消费者省事了，为什么不领情呢？”

专家认为，这些商户、经营者所言，狡辩之词居多！毕竟，微信小程序也可以生成一个点餐码，可以了解进度，不需要获取用户手机。所以商家还是为了减低成本，或是不知法而索要不必要的个人信息。“上海市消保委认为，如果消费者拒绝提供位置等相关信息，商家也应该向消费者提供手动选择门店的途径。”唐健盛说。而事实上，记者通过使用相关App发现，除了类似“汉堡王”这样弹窗干扰，或者类似“一点点”这样完全不给消费者选择权的商家以外，还有一些App在制作上是颇费了一番功夫的——想要选择不留手机号或者位置信息，需要在屏幕上找寻好一会，还因为触点存心设计得小而又小，往往点错重来，对于手指头粗一些的人来说，或许绝大多数情况下都无法点开取消位置信息的触点。总之，一切界面设计都朝向有利于留下手机号、位置信息的方向。对于不希望留下这些信息的，则怎么麻烦怎么来。由此诱导或者驱使消费者留下更多个人信息。

谁该吞下苦水

今年1月18日，在国新办举行的2022年工业和信息化发展情况新闻发布会上，工业和信息化部信息通信管理局局长赵志国介绍，截至去年底，我国各类高质量App在架数量已超过了258万款。

记者比对发现，相较于2020年国内App市场超过345万款应用来说，目前国内App的总量经历了大浪淘沙的过程，趋于稳定，而高质量App的数量稳中有增。

回看过去几年，以餐饮为代表的消费类App得到不错的发展，确实给商家和顾客带来了双赢。这一点不容否认。譬如有的餐饮企业认为，扫码点餐能够节省服务员与食客交流的时间，如果再加上机器人上菜，则在人工方面就节省了不小的成本；另外，在菜单维护和修改上，也能给餐厅节省不小的开支。就消费者来说，确实有不少人认同扫码点餐信息全面、结算清晰。但记者也注意到，即使在京沪穗这样的大都市，仍有部分人士未必习惯或者方便用手机支付，譬如一些老人和孩子。从商家来说，是否该保留纸币结算通路，这本不该是个问题——如果商家不收纸币，那就涉嫌违反《中华人民共和国人民银行法》第十六条——“中华人民共和国的法定货币是人民币。以人民币支付中华人民共和国境内的一切公共的和私人的债务，任何单位和个人不得拒收。”该法第三十二条则规定了，“中国人民银行有权对金融机构以及其他单位和个人”依法检查监督。光明网2021年8月就曾报道过，当年4月，常州某便利店因拒绝公众使用人民币现金购买商品，被中国人民银行常州市中心支行处以单位警告，并处1000元罚款，对其法定代表人给予警告，并处500元罚款。

换言之，扫码点餐只不过是一种电子点餐、支付形式而已。商家甚至没有理由拒收纸币、强制顾客必须使用扫码点餐，更遑论在扫码点餐时，要求消费者必须授权手机号码。早在2021年的“网剑行动”中，上海市市场监管局就曾经手过一个典型案例——根据公告，上海九翊餐饮管理有限公司在其管理的“望蓉城”餐厅内提供扫码点餐服务，要求消费者必须授权手机号码才能完成扫码点餐，且未告知消费者收集手机号码的目的、方式和范围。当时媒体报道：“经核实，收集手机号码并非完成扫码点餐功能的必要环节。另外，当事人将收集到的5893条消费者个人信息，在其使用的餐饮管理软件相应模块中供查阅、下载和使用，未采取技术措施和其他必要措施确保消费者个人信息安全。当事人违反了《消费者权益保护法》第二十九条第一款的规定。上海普陀区市场监管局依法对当事人处以警告，并处罚款5万元。”

唐健盛告诉记者：“对于餐饮企业等商家来说，其实只要知道什么时间、哪桌、点了什么菜、是否付款等信息即可。而对于给商家提供服务的企业来说，只要知道是哪个商家、付款金额是多少，以及是否付款即可。也就是说，根据用户信息采集最小原则，理论上，商家和服务企业不该接触到那么多用户信息，更不得过度收集个人信息。”唐健盛还指出，“《消费者权益保护法》也规定，经营者收集、使用消费者个人信息应当遵循合法、正当、必要的原则”。

记者从上海市网信办了解到，自2021年8月20日，十三届全国人大常委会第三十次会议表决通过《中华人民共和国个人信息保护法》，并于当年11月1日施行以来，公众总体上对个人信息保护的意识逐年提升。而上海市网信办也依据《个人信息保护法》《App违法违规收集使用个人信息行为认定方法》等法律法规，每年开展App个人信息安全治理专项工作，2022年要求本地应用商店下架违法违规处理个人信息的“私人加密锁”“世界街景高清地图”“图文放大神器”等55款App，主要问题集中在强制索要用户非必要权限、未经用户单独同意向第三方共享精确位置信息等。

在2023年“315国际消费者权益日”到来之前，上海市消保委会同上海市网信办、上海市市场监管局对近期暗访中出现严重问题的企业进行了约谈，根据各自职责指导企业进行问题整改，并开展相关普法教育。上海市消保委建议消费者重视保护个人信息，如果遇到个人信息被过度收集或不当使用，可以拨打12345向网信、市场监管等部门举报，亦可向上海市消保委投诉或反映。由此看来，那些违法违规的商家，如果拒不整改，或者说屡教而整改不到位，则必将吞下苦果！

必须注意的商业迭代

值得注意的是，中消协《报告》认为，我国对个人信息保护的立法构建经历了由刑事规制到民事规制、由原则性规定到具体规则的发展过程，目前，已形成以《民法典》为基础，以《个人信息保护法》为核心，以《消费者权益保护法》《网络安全法》《电子商务法》《数据安全法》为重要组成部分的个人信息保护法律体系。

从国家层面来说，近年，网信、公安、文旅、工信、市场监管等部门通过开展“净网行动”、“清朗行动”、国家网络安全宣传周、App安全认证等行动与活动，严厉打击了侵害消费者个人信息权益的行为，为营造良好消费环境作出了贡献。但中消协《报告》也提及，当前侵害消费者个人信息权益问题仍需引起社会各方高度重视，其问题主要表现在违反处理的必要性原则、违反个人信息处理质量原则、违反“告知—同意”规则、侵害个人信息权益的损害赔偿范围有待确定等方面。

在唐健盛看来，随着消费迭代，要求消费者和商家完全不使用App是不可能的，也是跟不上时代发展潮流的。但诸如索取到店点餐者位置信息、手机号码等情况，必须得是在“告知—同意”等等原则的基础上进行的，消费者该有选择权。

亦有业内专家告诉记者，从个人防护环节看，对于个人信息泄露一定要引起重视，不能让不法之徒钻了法律空子。在操作层面，除了投诉等之外，还可以通过后台想办法解除与相关App的绑定等，来做到彻底防范。而对于提供App平台的企业来说，未来如何做好业内的监管工作，定期销毁相关数据，令违法违规App无处生存，是题中之义。

相关专家亦表示，最为令人担心的是有人通过获取个人信息泄露的大数据，来进行不可告人的勾当。譬如一些公司的“内鬼”将携带诸多个人信息的大数据贩卖出去，甚至贩卖到暗网等获取好处。而消费者在毫不知情的情况下，个人信息被卖。哪怕并非个人信息被卖，而是相关掌握个人信息的企业遭遇黑客攻击等情况，都可能会造成被泄露给商家的数据整体外泄。这就有可能造成严重后果。

今年2月，美国在线杂货配送初创公司Weee!发布了一个简短声明称，该公司自2021年7月12日至2022年7月12的用户数据被黑客盗取。主要包括1130万份订单信息，以及110万个客户账户信息。哪怕Weee!在声明中号称，这些泄露信息不包括客户付款信息，因此问题不大，可实际情况并非如此。“刚刚老公问我，知不知道有一笔515美元的电话转账？确认转账时间点是在昨天下午4点，我们都没有做任何消费的时候，信用卡被盗刷了！那个时间刚好就是我昨天收到一个货运公司电话语音说，包裹的地址资讯不足，请到页面完成地址填写。”到了2月下旬，有身在美国、使用过Weee!的朋友就在社交媒体上发帖讲述自己的遭遇。其还表示，在怀疑Weee!信息泄露可能引起各种情况的时候，各种情况实际已经发生。尽管此人根据自身的信用卡合同，找银行“报销”了这笔损失，但无论如何，损失无非是找人承担了而已，并非损失没有发生。

以国内来说，如果相关餐饮等企业哪怕是只图自己结算方便，而每每违法违规强制索取消费者信息，一旦遇到信息泄露等损失，该谁来承担后果？难道不该是这些餐饮企业吗？

如今，中消协《报告》从强化消费者权益保护角度提出了四点建议，强调立法、司法、行政、社会层面的综合施策。

就立法方面来说，《报告》建议再次启动《消费者权益保护法》修订，完善消费者个人信息保护法律制度。中消协指出，《消费者权益保护法》距离上次修订至今已近10年，随着近年来数字经济的兴起，作为规制个人信息集中收集与大数据产品集中应用的消费市场的《消费者权益保护法》也应当及时做出修订，以回应党的二十大对“加快建设网络强国、数字中国，加强个人信息保护”的要求。

就司法方面来说，中消协认为，应该总结经验，针对责任界定、损害赔偿等争议问题及时出台配套司法解释，对法律的适用进行统一指导，推广公益诉讼保护方式，鼓励可以提起消费者个人信息保护诉讼的主体，积极提起公益诉讼，从而在更大的规模上规范消费者个人信息处理行为，提高司法保护水平。

中消协还认为，应加强行政治理，惩治侵害消费者个人信息权益的违法行为。执法部门要处理好消费者个人信息保护与合理利用的关系，提高执法能力，利用科技手段创新监管方式、加大监管力度、提高执法效率，并通过构建绿色沟通渠道，加强部门之间的协同配合。

在社会层面看，中消协《报告》建议强化社会共治，积极发挥消协组织作用，持续加强消费教育，提升消费者的自我保护能力，督促行业企业自律自治，共建消费者个人信息保护社会共治体系。

个人信息与恐怖暗网之间，或许只有一指之隔。当个人信息通过手机端泄露之后，也许麻烦就会在某一时刻找上门。防范于未然，则不仅仅是监管部门的责任，更该是公民们大家所需要引起警觉的。截至记者发稿，老陈正在寻找自身手机上所装App是否有漏洞，以及如何堵住信息泄露的漏洞，以期解决近来频频接到各种稀奇古怪电话的糟心事。