首页 > 互联网 > 正文

二维码背后的隐忧:扫码点单之后,谁从餐桌上拿走了你的信息?

图片来源:视觉中国

图片来源:视觉中国

来源:界面新闻

记者:佘晓晨

李茜已经记不清上一次跟服务员说话是什么时候了。

早上八点,她在小区附近的一家早餐店坐下,打开手机点了一份小馄饨。她平均每周光顾这家店三次,但也没记住老板的脸——只要扫描桌上的二维码,她就可以在一分钟内完成点单和付款。

餐饮业正在被技术重塑:在过去,微信和支付宝只是帮助消费者简化了付款的程序,例如在一些熟食和水果店,顾客不再需要排队买单,扫码付款之后,老板就会听到悦耳的“到账通知”。

如今,扫码点单的出现,让整个交易过程变得更加“安静”——二维码代替了服务员,和消费者进行最密切的沟通。

服务员可能会忘了你是谁,但系统不会。想要点餐,就得允许获取位置信息;想要获得商家的优惠券,就要提供手机号;如果扫描出商家的公众号,你就必须要关注,顺理成章地成为商家的“私域流量”。

质疑开始出现。有观点认为,这种完全电子化的点餐方式,让“吃饭”这个充满人情味的事情变成了一道程序,顾客和老板之间失去了本可能发生的连接。

更重要的是,在用户不断点击“同意获取”之后,谁也不知道,这些数据最终去向了哪里。

为了吃饭,必须交出数据?

在获取用户信息这件事上,每个扫码点单的二维码披着不一样的“外衣”,但殊途同归。

对于李茜来说,最能接受的场景是直接跳转进点单页面,就像她经常光顾的那家早餐店一样。除此之外,第二种方式是进入微信或者支付宝的商家小程序——许多连锁餐饮品牌都会开发自己的小程序。

李茜最讨厌的是第三种:扫描出餐饮品牌的公众号账号。在这种情况下,消费者必须关注公众号,再进行一系列点单操作。“需要关注或者注册的,我都觉得很麻烦。但我也无法拒绝,不关注就不能点菜了。”

二维码背后的隐忧:扫码点单之后,谁从餐桌上拿走了你的信息?

尽管扫码点单的方式五花八门,对于商家们来说,最直接的诉求其实是节省人力成本。

一家数字点单系统供应商在宣传中表示,传统150平方米的餐饮门店可以在一个中午接待80单的客人,使用扫码点单后,门店可以接待的客人为160-200单。

从小店铺的角度,扫码点单对于人力的节省更加立竿见影。对于大型餐饮品牌来说,用二维码提供服务的目的远不止节省人力。一位从事餐饮SaaS行业的产品经理告诉界面新闻,如今,各大商家都在说“降本增效”,扫码点餐更深层次的作用就是“做用户沉淀,然后再有针对性的做营销触达”。

这也是为什么,扫码点餐变得如此复杂。在种种营销策略的驱使下,商家对用户信息的获取已经远远超越了基础的点单诉求。需要搞清楚的是,为了吃饭,我们必须交出更多数据吗?

中国信通院互联网法律研究中心研究员杨婕告诉界面新闻,《网络安全法》第24条的确规定了实名制的要求,但这个要求存在前提:网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务,应当要求用户提供真实身份信息。

“像扫码点餐这样的动作,并不涉及法律要求的实名制规则,如果系统强制要求提供手机号,一定是存在问题的。”杨婕补充道。

但现状是,在扫码点单系统中,索要用户数据却是十分常见的行为。

例如,在扫描小程序二维码进行点单时,系统往往需要用户的一系列授权,继而进行下一步操作。这些授权的信息可能是微信账号,包括昵称、性别等个人信息,也可能是手机号和位置。

最大限度地获取更多的用户数据,已经成为商家和软件服务商的共识。上述产品经理表示,在设计扫码点单系统的时候,根据客户的需求,他们可以设置是否获取手机号。但通常情况下,为了沉淀更多的用户数据,他们会建议商家进行获取。

根据这位产品经理的描述,服务商会采用两种方式,帮助商家获得用户的手机号:“一种是通过微信授权登录直接下单,再通过其他营销手段获取手机号,比如办会员卡;另一种就是要下单必须留下手机号,否则无法下单。”

“方便”的隐患

和移动支付取代现金支付一样,扫码点餐也有逐渐进化的过程。早在2017年11月,阿里巴巴旗下的口碑平台就宣布开放智慧餐厅技术,提供包括智能点餐、服务通知、自助取餐等在内的方案。

后续的几年里,美团与饿了么两大本地生活服务巨头,通过大量推广和高额补贴争夺线下流量入口。伴随着这样的趋势,扫码点餐的覆盖率越来越高,背后的服务商也开始整合交易链条的技术能力。

二维码背后的隐忧:扫码点单之后,谁从餐桌上拿走了你的信息?

2016年11月8日,浙江省桐乡市乌镇景区,乌镇很多商店都已经上线扫码点餐,游客通过手机就能完成点餐和支付。图片来源:视觉中国

根据艾瑞咨询的数据,现阶段,餐饮SaaS行业的头部公司包括二维火、客如云、美味不用等和餐道等。

值得注意的是,它们背后其实都有互联网巨头的身影:去年2月24日,阿里本地生活服务公司宣布全资收购餐饮SaaS服务商客如云,近日又全资收购了美味不用等;美团则在2018年5月就全资收购餐饮SaaS服务商屏芯科技。

这意味着,更多的数据正在聚集到巨头手中。

除了互联网公司,像海底捞、百胜集团这样的大型连锁餐饮企业,已经开发出自己的SaaS系统。根据官方数据,从2016年到2018年,肯德基通过线上点餐的方式积累了超过1.6亿的会员。

更重要的是,大公司培育出的市场习惯,也让鱼龙混杂的小公司有利可图。

艾瑞咨询数据显示,尽管受到疫情的冲击,2020年餐饮商家仍有940万家以上,而根据智研咨询统计的数据,2019年本地生活SaaS市场的渗透率仅为20%。据界面新闻了解,几家头部平台覆盖的商户数目为30万-40万左右,以此计算,头部服务商以外,还有一片广袤的蓝海。

与之相对应的是,在餐饮行业,点菜和收银硬件这种终端的成本较高,二维码服务是最容易切入市场的环节,且开发成本较低。上述产品经理告诉界面新闻,扫码点餐系统有一些开源现成的代码,开发难度并不高,区别在于稳定性的高低。

对于一些小商铺来说,价格低廉的小供应商可以满足基本的需求。但是,这也意味着用户的数据流向多了一道风险。

在体验一个扫码点单系统的后台时,界面新闻发现,该开发商提供了两种版本的系统:多店版本和单店版。其中,多店版系统统计的数据十分具体,除了订单统计、收入统计之外,其设置的统计类别还包括用户年龄、用户性别和访客统计。

在商家版系统的会员管理页面,用户的手机号、微信号及充值余额等一一显示在列。此外,该系统还提供了外卖功能,在后台,商家可以看到点单者的手机号、住址等个人信息。

这一系统的开发商来自于山东菏泽的一家本地企业,公司成立于2018年,未建立官方网站进行产品销售。扫描该公司的体验版系统后,屏幕会自动跳出提示,询问用户是否进行登录。而注册该系统需要提供手机号等信息,一旦用户选择“跳过此步”,就无法进行接下来的点单操作。

类似的公司还有很多——在天眼查搜索“扫码点餐”关键词,全国一共有83家关联公司。这些还不包括没有进行备案的服务商。

值得注意的是,上述产品经理告诉界面新闻,正规的软件服务公司会限制商户访问特定数据,但服务商可以看到所有商户的所有数据。他还表示,通过此类数据,平台可以提供一些运营的服务——“类似于收集商户反馈,消息推送等”。

一次次扫码点餐之后,越来越多的数据正在被泄露和利用。根据杨婕此前的研究,无论是小公司还是大公司,都很难百分之百地保证数据的安全。

在被技术笼罩的生活中,用户的数据安全处于“四面楚歌”的境地:一方面,大公司急于利用数据进行分析,一些大数据杀熟的案例已经不算少见;而那些轻易获得数据的小公司,则制造了更多的风险:除了本身的技术能力难以保证外,人为的信息贩卖也是一大隐患。

2018年,新京报曾报道过不法分子售卖外卖送餐信息的事件,万条信息售价只需要800元。IBM和Ponemon Institute的《2020年数据泄露成本报告》显示,客户的个人身份信息占到了所有数据泄露的80%,是最经常丢失或被盗的记录类型。此外,52%的数据泄露是由恶意外部人员造成的,25%由系统故障和攻击造成,23%则是由于人为错误。

用户可以说不吗?

表面上看,点餐的用户并不是没有权利拒绝提供个人信息。但是,点击拒绝也意味着,接下来的很多交易行为都将无法进行,商家提供的优惠和福利也不复存在。

这也是无法对此类收集行为进行根治的原因:从法律上来说,这属于一种隐形的“强制”,处于数据治理的灰色地带。

对外经济贸易大学数字经济与法律创新研究中心执行主任许可认为,在餐厅不处于市场垄断地位的情况下,是否提供人工点单服务是商家的经营自由,消费者也有权因为商家不提供某种服务选择离开。

消费者除了用脚投票,是否就对这种隐形“强制”束手无策?

在全球范围内,收集用户数据的行为正在逐步受到约束。2018年,欧洲信息法案GDPR(General Data Protection Regulation,通用数据保护条例)生效。根据这一条例,用户的姓名、身份证号、邮箱等常规数据受到保护,用户的位置、DNA信息等等也算个人数据,这些科技公司要收集这些数据,必须经过用户明确同意,不能偷偷使用或储存。

而在中国,首部针对个人信息保护的专门立法《个人信息保护法(草案)》也是一个里程碑式的事件。根据《个人信息保护法(草案)》的规定,处理个人信息的同意,应当由个人在充分知情的前提下,自愿、明确作出意思表示,个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。此外,基于个人同意而进行的个人信息处理活动,个人有权撤回其同意。

有案例正在表明,法律的约束已经让环境发生一些改变,个体对于信息保护的意识也在逐渐提升。去年11月,一位消费者为了防止“被人脸识别”,戴着头盔去南京售楼处看房。之后,南京对全市安装人脸识别系统的售楼处进行了检查,部分企业拆除了人脸识别系统。去年年末,天津人大表决通过《天津市社会信用条例》,其中第十六条规定,市场信用信息提供单位不得采集自然人的生物识别信息。

实际上,杨婕认为,一直以来,相关法律都对互联网采集数据进行了明确规定,《个人信息保护法(草案)》只是将这些问题聚集到了一起,但如何从根基上把法律落到实处,需要监管的推动。就消费者个人而言,她的建议是,举证或者走诉讼渠道相对来说成本较大。因此,“最好的机制是给予用户投诉举报的渠道。通过这样的机制,用户可以促使监管机构,用行政手段的介入去解决问题。”

相关阅读:
腾讯急升5% 获大和上调目标价至850港元 Facebook任命首位合规官 以应对美国政府的监管审查