相比直接竊取個人信息的案件，人們碰到更多的是在掃碼點餐、停車繳費、商超購物等場景下，被商家索取姓名、位置、手機號碼等個人信息，然后由于各種原因導致信息泄露。

互聯(lián)網安全專家表示，個人信息泄露主要的危害有兩類：一類是黑灰產對個人信息的利用；另一類是企業(yè)濫用用戶信息，獲取更多非正常的商業(yè)報酬、商業(yè)利益。除此以外，還會通過個人信息建立情報體系、樹立行業(yè)壁壘。

盡管消費者抱怨聲不斷，為什么企業(yè)仍熱衷于收集消費者個人信息呢？

專家表示，在數(shù)字經濟時代，數(shù)據就像石油。尤其是大量數(shù)據，具有非常大的價值。把這些數(shù)據全部整合在一起，形成每個人的畫像，就是最具有商業(yè)價值的事。

一句話概括：數(shù)據就是打開財富大門的鑰匙。因此，不少用戶的個人信息被商家“過度采、強制要、誘導取、違規(guī)用”。

為執(zhí)法焦點

通過對上海29家知名度較高的奶茶店、快餐店明察暗訪中，執(zhí)法小組發(fā)現(xiàn)了幾個比較突出的問題。

首先就是強制或者超范圍索取信息。這種現(xiàn)象在餐廳、奶茶店、咖啡店非常普遍。用戶已經抵達消費場所，仍被告知要通過App或者小程序掃碼點餐，而在掃碼過程中又強制或者以送優(yōu)惠券、加入會員等理由誘導用戶提供姓名、手機號碼、位置信息等超出點餐范圍的需求，否則就無法完成點餐。

專家表示，這種做法既違反了最小必要原則，也剝奪了消費者的自主選擇權，違反了消費者權益保護法。

門店越多，產生的數(shù)據也越多，有時甚至達到驚人的地步。比如，某知名連鎖奶茶品牌每收到一筆訂單，就會產生87條數(shù)據，目前已累計產生超過100億條。其中，涉及消費者姓名、電話、位置等敏感個人信息的達6.7億條。

專家表示，在數(shù)字經濟時代，數(shù)據通常被用于經營管理，這有利于提高工作效率、提升經濟效益。個人信息是可以被采集使用，但在采集信息的過程中，必須遵循“合法、正當、必要”三原則。

據了解，要搭建一個收集消費者個人信息的技術平臺，門檻很低，費用也不高。網絡安全專家表示，掃碼點餐存在一定的風險性，尤其是在小商家掃描那些來路不明的二維碼。

那么，這些被商家用掃碼點餐、誘導提交等手段收集來的信息是否得到了妥善保管呢？

調查發(fā)現(xiàn)，不少企業(yè)在保管用戶信息時，存在一定的隱患。比如，采集數(shù)據量巨大的某知名奶茶店，根據網絡安全法和數(shù)據保護法，應該按照三級標準進行等級保護，但是這家企業(yè)卻沒有做這些工作。

此外，隱私權政策也是本次檢查的重點內容之一。所謂隱私權政策，就是信息收集方就如何收集個人信息所發(fā)布的聲明。簡單講，就是告訴用戶采集個人信息的目的、用途以及如何保管等。

執(zhí)法人員發(fā)現(xiàn)，不少企業(yè)要么沒有隱私權政策，要么不完善。還有些企業(yè)雖然制定了隱私權政策，但過于冗長，用戶體驗非常不友好。有的隱私權政策洋洋灑灑近萬字，與其說是為了告知用戶，倒不如說是為了保護企業(yè)自己。

多地出臺合規(guī)指引

為了加強個人信息保護，上海市消保委自7月起針對掃碼點餐、停車繳費、少兒培訓和共享充電寶等四種消費場景，分別出臺了合規(guī)指引、自律承諾和合規(guī)清單。未來，還將針對房產中介、商超購物等主要消費場景作出相應指引。

近日，北京市也發(fā)布了掃碼消費服務違規(guī)收集使用消費者個人信息案例解析及合規(guī)指引，整理出六類違規(guī)行為并作出相應規(guī)定。

國家網信辦8月3日發(fā)布的《個人信息保護合規(guī)審計管理辦法（征求意見稿）》規(guī)定，處理超過100萬人個人信息的處理者，應當每年至少開展一次個人信息保護合規(guī)審計；其他個人信息處理者應當每兩年至少開展一次個人信息保護合規(guī)審計。

數(shù)據被稱為信息時代的“石油”，而包含個人信息的數(shù)據更是優(yōu)質“石油”，是商家爭奪的焦點。商家采集用戶個人信息不是不可以，但應該采之有界，用之有度，護之有責。如何規(guī)范各種消費場景下商家的信息采集、使用行為，如何監(jiān)督引導商家做好對消費者個人信息的保護，應該引起我們足夠的重視。