商家|【深度】二维码背后的隐忧：扫码点单之后，谁从餐桌上拿走了你的信息？_手机|李茜|服务|数据|深度|杨婕

文章图片

图片来源：视觉中国

采访人员 | 佘晓晨
编辑 | 文姝琪

李茜已经记不清上一次跟服务员说话是什么时候了。
早上八点，她在小区附近的一家早餐店坐下，打开手机点了一份小馄饨。她平均每周光顾这家店三次，但也没记住老板的脸——只要扫描桌上的二维码，她就可以在一分钟内完成点单和付款。
餐饮业正在被技术重塑：在过去，微信和支付宝只是帮助消费者简化了付款的程序，例如在一些熟食和水果店，顾客不再需要排队买单，扫码付款之后，老板就会听到悦耳的“到账通知” 。
如今，扫码点单的出现，让整个交易过程变得更加“安静”——二维码代替了服务员，和消费者进行最密切的沟通。
服务员可能会忘了你是谁，但系统不会。想要点餐，就得允许获取位置信息；想要获得商家的优惠券，就要提供手机号；如果扫描出商家的公众号，你就必须要关注，顺理成章地成为商家的“私域流量” 。

文章图片

质疑开始出现。有观点认为，这种完全电子化的点餐方式，让“吃饭”这个充满人情味的事情变成了一道程序，顾客和老板之间失去了本可能发生的连接。
更重要的是，在用户不断点击“同意获取”之后，谁也不知道，这些数据最终去向了哪里。
为了吃饭，必须交出数据？
在获取用户信息这件事上，每个扫码点单的二维码披着不一样的“外衣” ，但殊途同归。
对于李茜来说，最能接受的场景是直接跳转进点单页面，就像她经常光顾的那家早餐店一样。除此之外，第二种方式是进入微信或者支付宝的商家小程序——许多连锁餐饮品牌都会开发自己的小程序。
李茜最讨厌的是第三种：扫描出餐饮品牌的公众号账号。在这种情况下，消费者必须关注公众号，再进行一系列点单操作。“需要关注或者注册的，我都觉得很麻烦。但我也无法拒绝，不关注就不能点菜了。 ”

文章图片

尽管扫码点单的方式五花八门，对于商家们来说，最直接的诉求其实是节省人力成本。
一家数字点单系统供应商在宣传中表示，传统150平方米的餐饮门店可以在一个中午接待80单的客人，使用扫码点单后，门店可以接待的客人为160-200单。
从小店铺的角度，扫码点单对于人力的节省更加立竿见影。对于大型餐饮品牌来说，用二维码提供服务的目的远不止节省人力。一位从事餐饮SaaS行业的产品经理告诉界面新闻，如今，各大商家都在说“降本增效” ，扫码点餐更深层次的作用就是“做用户沉淀，然后再有针对性的做营销触达” 。
这也是为什么，扫码点餐变得如此复杂。在种种营销策略的驱使下，商家对用户信息的获取已经远远超越了基础的点单诉求。需要搞清楚的是，为了吃饭，我们必须交出更多数据吗？
中国信通院互联网法律研究中心研究员杨婕告诉界面新闻，《网络安全法》第24条的确规定了实名制的要求，但这个要求存在前提：网络运营者为用户办理网络接入、域名注册服务，办理固定电话、移动电话等入网手续，或者为用户提供信息发布、即时通讯等服务，应当要求用户提供真实身份信息。
“像扫码点餐这样的动作，并不涉及法律要求的实名制规则，如果系统强制要求提供手机号，一定是存在问题的。 ”杨婕补充道。
但现状是，在扫码点单系统中，索要用户数据却是十分常见的行为。
例如，在扫描小程序二维码进行点单时，系统往往需要用户的一系列授权，继而进行下一步操作。这些授权的信息可能是微信账号，包括昵称、性别等个人信息，也可能是手机号和位置。
【商家|【深度】二维码背后的隐忧：扫码点单之后，谁从餐桌上拿走了你的信息？】最大限度地获取更多的用户数据，已经成为商家和软件服务商的共识。上述产品经理表示，在设计扫码点单系统的时候，根据客户的需求，他们可以设置是否获取手机号。但通常情况下，为了沉淀更多的用户数据，他们会建议商家进行获取。
根据这位产品经理的描述，服务商会采用两种方式，帮助商家获得用户的手机号：“一种是通过微信授权登录直接下单，再通过其他营销手段获取手机号，比如办会员卡；另一种就是要下单必须留下手机号，否则无法下单。 ”
“方便”的隐患
和移动支付取代现金支付一样，扫码点餐也有逐渐进化的过程。早在2017年11月，阿里巴巴旗下的口碑平台就宣布开放智慧餐厅技术，提供包括智能点餐、服务通知、自助取餐等在内的方案。
后续的几年里，美团与饿了么两大本地生活服务巨头，通过大量推广和高额补贴争夺线下流量入口。伴随着这样的趋势，扫码点餐的覆盖率越来越高，背后的服务商也开始整合交易链条的技术能力。

文章图片

2016年11月8日，浙江省桐乡市乌镇景区，乌镇很多商店都已经上线扫码点餐，游客通过手机就能完成点餐和支付。图片来源：视觉中国
根据艾瑞咨询的数据，现阶段，餐饮SaaS行业的头部公司包括二维火、客如云、美味不用等和餐道等。
值得注意的是，它们背后其实都有互联网巨头的身影：去年2月24日，阿里本地生活服务公司宣布全资收购餐饮SaaS服务商客如云，近日又全资收购了美味不用等；美团则在2018年5月就全资收购餐饮SaaS服务商屏芯科技。
这意味着，更多的数据正在聚集到巨头手中。
除了互联网公司，像海底捞、百胜集团这样的大型连锁餐饮企业，已经开发出自己的SaaS系统。根据官方数据，从2016年到2018年，肯德基通过线上点餐的方式积累了超过1.6亿的会员。
更重要的是，大公司培育出的市场习惯，也让鱼龙混杂的小公司有利可图。
艾瑞咨询数据显示，尽管受到疫情的冲击， 2020年餐饮商家仍有940万家以上，而根据智研咨询统计的数据， 2019年本地生活SaaS市场的渗透率仅为20% 。据界面新闻了解，几家头部平台覆盖的商户数目为30万-40万左右，以此计算，头部服务商以外，还有一片广袤的蓝海。
与之相对应的是，在餐饮行业，点菜和收银硬件这种终端的成本较高，二维码服务是最容易切入市场的环节，且开发成本较低。上述产品经理告诉界面新闻，扫码点餐系统有一些开源现成的代码，开发难度并不高，区别在于稳定性的高低。
对于一些小商铺来说，价格低廉的小供应商可以满足基本的需求。但是，这也意味着用户的数据流向多了一道风险。
在体验一个扫码点单系统的后台时，界面新闻发现，该开发商提供了两种版本的系统：多店版本和单店版。其中，多店版系统统计的数据十分具体，除了订单统计、收入统计之外，其设置的统计类别还包括用户年龄、用户性别和访客统计。
在商家版系统的会员管理页面，用户的手机号、微信号及充值余额等一一显示在列。此外，该系统还提供了外卖功能，在后台，商家可以看到点单者的手机号、住址等个人信息。
这一系统的开发商来自于山东菏泽的一家本地企业，公司成立于2018年，未建立官方网站进行产品销售。扫描该公司的体验版系统后，屏幕会自动跳出提示，询问用户是否进行登录。而注册该系统需要提供手机号等信息，一旦用户选择“跳过此步” ，就无法进行接下来的点单操作。
类似的公司还有很多——在天眼查搜索“扫码点餐”关键词，全国一共有83家关联公司。这些还不包括没有进行备案的服务商。
值得注意的是，上述产品经理告诉界面新闻，正规的软件服务公司会限制商户访问特定数据，但服务商可以看到所有商户的所有数据。他还表示，通过此类数据，平台可以提供一些运营的服务——“类似于收集商户反馈，消息推送等” 。
一次次扫码点餐之后，越来越多的数据正在被泄露和利用。根据杨婕此前的研究，无论是小公司还是大公司，都很难百分之百地保证数据的安全。
在被技术笼罩的生活中，用户的数据安全处于“四面楚歌”的境地：一方面，大公司急于利用数据进行分析，一些大数据杀熟的案例已经不算少见；而那些轻易获得数据的小公司，则制造了更多的风险：除了本身的技术能力难以保证外，人为的信息贩卖也是一大隐患。
2018年，新京报曾报道过不法分子售卖外卖送餐信息的事件，万条信息售价只需要800元。 IBM和Ponemon Institute的《2020年数据泄露成本报告》显示，客户的个人身份信息占到了所有数据泄露的80％，是最经常丢失或被盗的记录类型。此外， 52％的数据泄露是由恶意外部人员造成的， 25％由系统故障和攻击造成， 23％则是由于人为错误。
用户可以说不吗？
表面上看，点餐的用户并不是没有权利拒绝提供个人信息。但是，点击拒绝也意味着，接下来的很多交易行为都将无法进行，商家提供的优惠和福利也不复存在。
这也是无法对此类收集行为进行根治的原因：从法律上来说，这属于一种隐形的“强制” ，处于数据治理的灰色地带。
对外经济贸易大学数字经济与法律创新研究中心执行主任许可认为，在餐厅不处于市场垄断地位的情况下，是否提供人工点单服务是商家的经营自由，消费者也有权因为商家不提供某种服务选择离开。
消费者除了用脚投票，是否就对这种隐形“强制”束手无策？
在全球范围内，收集用户数据的行为正在逐步受到约束。 2018年，欧洲信息法案GDPR（General Data Protection Regulation ，通用数据保护条例）生效。根据这一条例，用户的姓名、身份证号、邮箱等常规数据受到保护，用户的位置、DNA信息等等也算个人数据，这些科技公司要收集这些数据，必须经过用户明确同意，不能偷偷使用或储存。
而在中国，首部针对个人信息保护的专门立法《个人信息保护法（草案）》也是一个里程碑式的事件。根据《个人信息保护法（草案）》的规定，处理个人信息的同意，应当由个人在充分知情的前提下，自愿、明确作出意思表示，个人信息的处理目的、处理方式和处理的个人信息种类发生变更的，应当重新取得个人同意。此外，基于个人同意而进行的个人信息处理活动，个人有权撤回其同意。
有案例正在表明，法律的约束已经让环境发生一些改变，个体对于信息保护的意识也在逐渐提升。去年11月，一位消费者为了防止“被人脸识别” ，戴着头盔去南京售楼处看房。之后，南京对全市安装人脸识别系统的售楼处进行了检查，部分企业拆除了人脸识别系统。去年年末，天津人大表决通过《天津市社会信用条例》，其中第十六条规定，市场信用信息提供单位不得采集自然人的生物识别信息。
实际上，杨婕认为，一直以来，相关法律都对互联网采集数据进行了明确规定，《个人信息保护法（草案）》只是将这些问题聚集到了一起，但如何从根基上把法律落到实处，需要监管的推动。就消费者个人而言，她的建议是，举证或者走诉讼渠道相对来说成本较大。因此， “最好的机制是给予用户投诉举报的渠道。通过这样的机制，用户可以促使监管机构，用行政手段的介入去解决问题。 ”
（如果你对本文有什么看法，欢迎添加作者微信交流：Charlotte-007）