2022年9月的一天，幾名男子趁夜色偷偷潛入一家物流公司的辦公室，為了不被別人認(rèn)出，他們不僅把臉捂得嚴(yán)嚴(yán)實(shí)實(shí)，甚至還打起了傘。這些人在電腦上擺弄了一番后迅速離去，似乎既沒(méi)有盜竊物品，也沒(méi)有搞什么破壞。然而，不久后上海市公安局閔行分局就接到報(bào)警，稱有人遭遇了電信網(wǎng)絡(luò)詐騙。

　　上海市公安局閔行分局反詐專班民警石閔超：“被害人是一位叫薛某的女士，今年26歲，平時(shí)有一些網(wǎng)購(gòu)的習(xí)慣，她接到了一些冒充客服的網(wǎng)絡(luò)詐騙，直接案損2萬(wàn)多元。”

　　據(jù)了解，詐騙分子之所以能得手，關(guān)鍵就是他們精確地掌握了薛女士購(gòu)物時(shí)留下的個(gè)人信息。那么，犯罪分子又是怎么搞到這些信息的呢？警方后來(lái)抓捕了犯罪嫌疑人彭某，據(jù)他交代，有人指使他到物流企業(yè)上班，借機(jī)盜取用戶信息，并承諾以每條2.5元的價(jià)格購(gòu)買。隨后，彭某利用公司管理上的漏洞偷偷將木馬程序植入到公司電腦中，從而竊取了大量用戶的個(gè)人信息。

　　警方偵破的多起類似案件清晰地表明，竊取、倒賣個(gè)人信息、實(shí)施電信網(wǎng)絡(luò)詐騙已經(jīng)形成了完整的灰色產(chǎn)業(yè)鏈。其中，個(gè)人信息泄露是這個(gè)鏈條中最重要的一環(huán)。

　　石閔超：“現(xiàn)在的電信網(wǎng)絡(luò)詐騙之所以這么猖獗，主要是犯罪分子拿到了我們個(gè)人信息，精準(zhǔn)地對(duì)我們制定話術(shù)、劇本，對(duì)我們實(shí)施詐騙。”

　　調(diào)查發(fā)現(xiàn)，直接竊取個(gè)人信息的案件畢竟還是少數(shù)，人們碰到更多的是在掃碼點(diǎn)餐、停車?yán)U費(fèi)、房產(chǎn)買賣、商超購(gòu)物等場(chǎng)景下，被商家索取了姓名、位置、手機(jī)號(hào)碼等個(gè)人信息，然后由于各種原因?qū)е滦畔⑿孤丁?/p>

　　互聯(lián)網(wǎng)安全專家張威：“個(gè)人信息泄露主要的危害有兩類，一類是黑灰產(chǎn)對(duì)個(gè)人信息的利用；另外一塊是企業(yè)在用戶信息的濫用上面，獲取更多非正常的商業(yè)報(bào)酬、商業(yè)利益，除此以外，也會(huì)通過(guò)個(gè)人信息建立情報(bào)體系、樹(shù)立行業(yè)壁壘。”

　　盡管公眾抱怨聲不斷，那為什么企業(yè)熱衷于收集消費(fèi)者個(gè)人信息呢？

　　上海交通大學(xué)數(shù)據(jù)法律研究中心執(zhí)行主任、副教授何淵：“因?yàn)楝F(xiàn)在是數(shù)字經(jīng)濟(jì)時(shí)代，數(shù)據(jù)就是“石油”，尤其是大量的數(shù)據(jù)，具有非常大的價(jià)值，是普通人難以想象的，非常具有誘惑力。”

　　上海市消保委副秘書(shū)長(zhǎng)唐健盛：“把這些數(shù)據(jù)全部整合在一起，從而形成每個(gè)人的畫(huà)像，而這個(gè)畫(huà)像恰恰就是最具有商業(yè)價(jià)值的。”

　　說(shuō)到底，數(shù)據(jù)就是打開(kāi)財(cái)富大門的鑰匙。因此，不少用戶的個(gè)人信息被商家“過(guò)度采、強(qiáng)制要、誘導(dǎo)取、違規(guī)用”。針對(duì)這些亂象，從6月中旬開(kāi)始，上海市網(wǎng)信辦會(huì)同市場(chǎng)監(jiān)管局開(kāi)展了為期半年的專項(xiàng)執(zhí)法行動(dòng)，重點(diǎn)聚焦餐飲店、停車掃碼、少兒學(xué)習(xí)培訓(xùn)、商超購(gòu)物、理財(cái)小貸、房產(chǎn)中介、汽車4S店以及租借充電器等八個(gè)消費(fèi)領(lǐng)域。

　　上海市委網(wǎng)信辦網(wǎng)絡(luò)執(zhí)法監(jiān)督處副處長(zhǎng)吳宏鳴：“通過(guò)集中整治，提升市民個(gè)人信息的自我保護(hù)意識(shí)，同時(shí)規(guī)范商家對(duì)個(gè)人信息保護(hù)的行為，履行好個(gè)人信息保護(hù)的義務(wù)。”

　　通過(guò)對(duì)上海29家知名度較高的奶茶店、快餐店進(jìn)行明察暗訪，發(fā)現(xiàn)了幾個(gè)比較突出的問(wèn)題。首先，強(qiáng)制或者超范圍索取信息。這些現(xiàn)象在餐廳、奶茶店、咖啡店非常普遍。比如，用戶明明已經(jīng)抵達(dá)消費(fèi)場(chǎng)所，仍被告知要通過(guò)APP或者小程序掃碼點(diǎn)餐，而在掃碼過(guò)程中又強(qiáng)制或者以送優(yōu)惠券、加入會(huì)員等理由誘導(dǎo)用戶提供姓名、手機(jī)號(hào)碼、位置信息等這些超出點(diǎn)餐范圍的需求，否則就無(wú)法完成點(diǎn)餐。專家表示，這種做法既違反了最小必要原則，也剝奪了消費(fèi)者的自主選擇權(quán)，違反了《消費(fèi)者權(quán)益保護(hù)法》。

　　門店越多，產(chǎn)生的數(shù)據(jù)也越多，有時(shí)甚至達(dá)到了驚人的地步。比如，某知名連鎖奶茶品牌每收到一筆訂單，就會(huì)產(chǎn)生87條數(shù)據(jù)，目前已累計(jì)產(chǎn)生超過(guò)100億條。其中，涉及消費(fèi)者姓名、電話、位置等個(gè)人敏感信息的就達(dá)6.7億條。專家表示，在數(shù)字經(jīng)濟(jì)時(shí)代，數(shù)據(jù)通常被用于經(jīng)營(yíng)管理，這有利于提高工作效率、提升經(jīng)濟(jì)效益，因此個(gè)人信息是可以被采集并使用的。但在采集信息的過(guò)程中，必須遵循“合法、正當(dāng)、必要”三原則才行。

　　據(jù)了解，要搭建一個(gè)收集消費(fèi)者個(gè)人信息的技術(shù)平臺(tái)，門檻很低，費(fèi)用也不高。在一些電商平臺(tái)上，有大量開(kāi)發(fā)掃碼點(diǎn)餐小程序的個(gè)人或技術(shù)公司在兜售這種業(yè)務(wù)。網(wǎng)絡(luò)安全專家表示，掃碼點(diǎn)餐存在一定的風(fēng)險(xiǎn)性，尤其是在小商家掃描那些來(lái)路不明的二維碼則更無(wú)法保障其安全性。

　　那么，這些被商家用掃碼點(diǎn)餐、誘導(dǎo)提交等手段收集來(lái)的信息是否得到妥善保管了呢？調(diào)查發(fā)現(xiàn)，不少企業(yè)在保管用戶信息時(shí)，存在一定的隱患。比如，前面提到的那家知名的奶茶店采集的數(shù)據(jù)量巨大，根據(jù)《網(wǎng)絡(luò)安全法》和《數(shù)據(jù)安全法》，應(yīng)該按照三級(jí)標(biāo)準(zhǔn)進(jìn)行等級(jí)保護(hù)，但是這家企業(yè)卻沒(méi)有做這些工作。時(shí)隔一個(gè)月，這家企業(yè)整頓得怎么樣了呢？

　　某科技企業(yè)總經(jīng)理朱炎：“后續(xù)我們已經(jīng)聯(lián)系了相關(guān)的等級(jí)保護(hù)單位，基本定在12月份完成所有的保護(hù)工作。”

　　至于點(diǎn)一杯奶茶產(chǎn)生的87條信息，記者在后臺(tái)數(shù)據(jù)庫(kù)上看到了。這些信息大多是企業(yè)正常運(yùn)營(yíng)所需的生產(chǎn)信息，而非個(gè)人隱私信息，公眾不必因此恐慌。跟公眾最直接相關(guān)的是姓名和手機(jī)號(hào)碼。記者看到，絕大多數(shù)人留下的是昵稱或者姓氏，而不是全名；至于手機(jī)號(hào)碼，記者隨機(jī)抽取了一個(gè)當(dāng)天的訂單進(jìn)行檢查。

　　上海市信息安全測(cè)評(píng)認(rèn)證中心創(chuàng)新研究院副院長(zhǎng)徐御：“中間做了掩碼變化，不會(huì)把整個(gè)個(gè)人信息泄露出去，還是符合要求的。”

　　但是很快執(zhí)法人員發(fā)現(xiàn)了一個(gè)完整的手機(jī)號(hào)碼，商家告知是虛擬手機(jī)號(hào)。這真的是虛擬號(hào)碼嗎？記者立刻撥打了過(guò)去，經(jīng)過(guò)確認(rèn)并非客戶真實(shí)手機(jī)號(hào)。據(jù)了解，虛擬號(hào)碼是為了方便商家或外賣小哥與客戶聯(lián)系使用的，可以撥打，但并非真實(shí)號(hào)碼，并且24小時(shí)后會(huì)自動(dòng)失效。隨后，記者又選取了幾天前的訂單再次驗(yàn)證，結(jié)果所有號(hào)碼全部失效，并非真實(shí)手機(jī)號(hào)。

　　此外，隱私權(quán)政策也是本次檢查的重點(diǎn)內(nèi)容之一。所謂隱私權(quán)政策，就是信息收集方就如何收集個(gè)人信息所發(fā)布的聲明。簡(jiǎn)單講，就是告訴用戶采集個(gè)人信息的目的、用途以及如何保管等。執(zhí)法人員發(fā)現(xiàn)，不少企業(yè)要么沒(méi)有隱私權(quán)政策，要么不完善，比如，前面提到的網(wǎng)紅奶茶店，就沒(méi)有清晰地告知用戶相關(guān)內(nèi)容。

　　記者調(diào)查發(fā)現(xiàn)，還有些企業(yè)雖然制定了隱私權(quán)政策，但過(guò)于冗長(zhǎng)，用戶體驗(yàn)非常不友好。比如某咖啡連鎖店的隱私權(quán)政策，洋洋灑灑近萬(wàn)字，這讓消費(fèi)者如何閱讀？與其說(shuō)是為了告知用戶，倒不如說(shuō)是為了保護(hù)企業(yè)自己。

　　為了加強(qiáng)個(gè)人信息保護(hù)，上海市消保委自7月起針對(duì)掃碼點(diǎn)餐、停車?yán)U費(fèi)、少兒培訓(xùn)和共享充電寶等四種消費(fèi)場(chǎng)景，分別出臺(tái)了合規(guī)指引、自律承諾和合規(guī)清單。未來(lái)，還將針對(duì)房產(chǎn)中介、商超購(gòu)物等主要消費(fèi)場(chǎng)景作出相應(yīng)指引。

　　不僅上海，近日北京市也發(fā)布了掃碼消費(fèi)服務(wù)、違規(guī)收集使用、消費(fèi)者個(gè)人信息案例解析及合規(guī)指引，整理出六類違規(guī)行為并做出相應(yīng)規(guī)定。國(guó)家網(wǎng)信辦8月3日發(fā)布了《個(gè)人信息保護(hù)合規(guī)審計(jì)管理辦法（征求意見(jiàn)稿）》，規(guī)定，處理超過(guò)100萬(wàn)人個(gè)人信息的處理者，應(yīng)當(dāng)每年至少開(kāi)展一次個(gè)人信息保護(hù)合規(guī)審計(jì)；其他個(gè)人信息處理者應(yīng)當(dāng)每二年至少開(kāi)展一次個(gè)人信息保護(hù)合規(guī)審計(jì)。

　　數(shù)據(jù)被稱為信息時(shí)代的“石油”，就是指它價(jià)值巨大，而包含個(gè)人信息的數(shù)據(jù)更是優(yōu)質(zhì)“石油”，是商家爭(zhēng)奪的焦點(diǎn)。但是在消費(fèi)領(lǐng)域，用戶個(gè)人信息被商家“過(guò)度采、強(qiáng)制要、誘導(dǎo)取、違規(guī)用”的現(xiàn)象卻并不少見(jiàn)。商家采集用戶個(gè)人信息不是不可以，但應(yīng)該是采之有界，用之有度，護(hù)之有責(zé)。如何規(guī)范各種消費(fèi)場(chǎng)景下商家的信息采集、使用行為？如何監(jiān)督引導(dǎo)商家做好對(duì)消費(fèi)者個(gè)人信息的保護(hù)？應(yīng)該引起我們足夠的重視。