扫码点餐隐私问题现状 - 扫码点餐因便捷性受消费者偏爱，但普遍存在过度索取个人信息现象，如点餐需授权十几项权限或填写手机号，商家宣称的“必要权限”绝大部分并非完成点餐所必需 [1] - 行业问题已被媒体多次曝光，监管层面曾点名批评，2025年6月通报的64款问题应用中，喜茶、霸王茶姬、星巴克等品牌小程序普遍存在2至4项违规索权行为 [1] - 中国消费者协会指出，仅提供扫码点餐侵害消费者公平交易权与知情权，并对老年人等群体造成实际点餐障碍 [1] 消费者维权困境 - 消费者维权面临“投诉易、解决难”局面，多数人因过程繁琐而放弃维权，除非涉及重大损失，真正坚持追究的消费者极少 [1] - 社交平台反馈显示，少数投诉案件结果多停留在“商家承诺整改”或“双方调解”层面，鲜见商家被实质性追责 [1] - 维权流程耗时数日，消费者易因时间推移淡忘诉求，商家通过口头整改或赠送代金券即可了事，大幅稀释了违规成本 [2] 监管与执法挑战 - 扫码点餐涉及网信、市场监管、商务等多部门，权责分散导致监管滞后，深层矛盾在于“执法依据不足”与“违法成本低” [3] - 尽管《个人信息保护法》确立“最小必要”原则，但实践中商家因过度索权被严厉处罚的案例较为少见 [3] - 部分地市开展的联合专项行动多为阶段性举措，缺乏长期监管机制 [2] 行业标准与执行差距 - 2025年9月15日，《网络安全标准实践指南——扫码点餐个人信息保护要求》正式发布，规定订单和支付信息为“最少必要信息”，禁止强制索取手机号、位置等 [4] - 该指南核心短板在于缺乏强制法律效力，仅为行业最佳实践总结，商家即便不遵守也不会面临行政处罚，绝大多数商家表示“没听说过这份指南” [4][7] 治理建议与方向 - 破解困局关键在于将指南中的技术要求转化为具有强制力的法规条款，明确“非必要信息不得收集”的刚性约束，并配套建立“投诉-核查-处罚”快速响应机制 [8] - 应借鉴地方“网信+公安+市场监管”联合执法组的“短平快”模式，形成稳定长效的执法机制 [8] - 扫码点餐应是可选项而非唯一选项，消费者需要的是有强制力支撑的“长牙”规则 [8] - 在立法层面，应加快推进相关立法，明确扫码点餐场景下的个人信息必要范围清单，并将超范围收集信息行为推定为违法 [9]

扫码点餐隐私问题现状 - 扫码点餐因便捷性受青睐，但普遍存在过度索取个人信息现象，如点餐需授权十几项权限或填写手机号等非必要信息 [2] - 商家宣称的“必要权限”中，绝大部分并非完成点餐所必需 [2] - 行业监管已点名批评相关问题，今年6月通报的64款问题应用中，喜茶、霸王茶姬、星巴克等品牌小程序普遍存在2至4项违规索权行为 [2] - 中国消费者协会指出仅提供扫码点餐侵害消费者公平交易权与知情权，并对老年人等群体造成实际障碍 [2] 消费者维权困境与商家违规动机 - 消费者维权面临“投诉易、解决难”局面，多数人因过程繁琐而放弃，除非涉及重大损失 [2] - 社交平台反馈显示，即使发起投诉，结果也多停留在“商家承诺整改”或“双方调解”，鲜见商家被实质性追责 [2] - 维权流程耗时数日，消费者易因时间推移淡忘诉求，商家通过口头整改或赠送代金券即可了事，大幅稀释违规成本 [3] - 商家缺乏主动整改动力，因数据带来的长期价值远超单品利润，在“数据至上”逻辑下无意真正整改 [3] 监管挑战与法律短板 - 扫码点餐涉及网信、市场监管、商务等多部门，权责分散导致监管滞后 [3] - 深层矛盾在于“执法依据不足”与“违法成本低”，尽管《个人信息保护法》确立“最小必要”原则，但商家因过度索权被严厉处罚的案例少见 [3] - 9月15日发布的《扫码点餐个人信息保护要求》指南将订单和支付信息列为“最少必要信息”，禁止强制索取手机号、位置等，但缺乏强制法律效力 [4][8] - 绝大多数商家表示未听说过该指南，指南仅为行业最佳实践总结，商家不遵守也不会面临行政处罚 [4][8] 治理建议与未来方向 - 破解困局需推动商家自觉整改，变“被动应对投诉”为“主动规范行为” [3] - 可借鉴“强制刷脸”治理经验，将指南技术要求转化为具有强制力的法规条款，明确“非必要信息不得收集”的刚性约束 [9] - 配套建立“投诉-核查-处罚”快速响应机制，“强制条款+快速处罚”形成震慑，借鉴地方“网信+公安+市场监管”联合执法组的“短平快”模式 [9] - 扫码点餐应是可选项而非唯一选项，消费者需要“长牙”的规则，将“软倡议”变为“硬规则” [10] - 监管层面需提升执法协同性，依托检察机关公益诉讼职能牵头，推动多部门联动专项整治，对拒不整改商家从严查处 [10] - 消费者协会应强化公益诉讼职能，推动确立“不强制关注公众号、不超范围收集个人信息”的行业合规基准 [10] - 立法层面应加快推进立法，明确扫码点餐场景下的个人信息必要范围清单，将超范围收集信息行为推定为违法 [10]

2025年国家网络安全宣传周 - 活动于2025年9月15日至21日举行，主题为“网络安全为人民、网络安全靠人民”，旨在以高水平安全守护高质量发展 [1] - 宣传周将深入学习宣传贯彻习近平总书记关于网络强国的重要思想，并积极宣贯《网络安全法》《数据安全法》《个人信息保护法》等多项法律法规和政策文件 [1] - 活动目标包括展现党的十八大以来网络安全领域的发展成就，并向全社会普及网络安全知识和技能，以应对电信诈骗、信息泄露、网络谣言、恶意软件等隐患 [1] 网络安全法律法规体系 - 中国网络安全法律法规体系已基本形成，网络空间不是法外之地 [12] - 《中华人民共和国网络安全法》于2017年6月1日起施行，是中国第一部全面规范网络空间安全管理的基础性法律 [3] - 《关键信息基础设施安全保护条例》于2021年9月1日起施行，是中国首部专门针对关键信息基础设施安全保护工作的行政法规 [4][5] - 《中华人民共和国数据安全法》于2021年9月1日起施行，是中国数据领域的基础性法律和国家安全领域的重要法律 [6][7] - 《中华人民共和国个人信息保护法》于2021年11月1日起施行，旨在保护个人信息权益，规范个人信息处理活动 [9] - 《生成式人工智能服务管理暂行办法》于2023年8月15日起施行，是中国首个针对生成式人工智能服务的规范性政策 [11] 关键信息基础设施安全 - 关键信息基础设施是指能源、交通、水利、金融、国防科技工业等重要行业和领域，以及其他一旦遭破坏可能严重危害国家安全、国计民生、公共利益的重要网络设施和信息系统 [14] - 认定关键信息基础设施主要考虑：对本行业关键核心业务的重要程度、遭破坏后可能带来的危害程度、对其他行业和领域的关联性影响 [17] - 典型安全事件包括：2015年乌克兰约60座变电站遭网络攻击导致140万名居民停电；2016年美国域名服务器管理机构Dyn遭攻击导致大半个互联网瘫痪；2021年美国最大成品油管道运营商Colonial Pipeline遭勒索病毒攻击导致运营中断 [17] - 保护举措包括：施行《关键信息基础设施安全保护条例》；发布并实施首项关键信息基础设施安全保护国家标准GB/T 39204-2022 [18][19] - 运营者责任包括：落实安全保护制度和责任制、安全措施与基础设施同步规划建设使用、设置专门安全管理机构、开展安全监测和风险评估、报告安全事件 [20] 网络威胁：钓鱼邮件 - 钓鱼邮件是指黑客伪装成信任的人，通过发送电子邮件诱使用户点击恶意链接或打开附件，以窃取敏感数据或实施进一步网络攻击 [22] - 电子邮件泄露途径包括：黑客从求职、婚恋等网站爬取邮箱地址；攻击网站批量窃取用户信息数据库；通过暗网买卖交换 [24] - 钓鱼邮件伪装术包括：伪造发件人地址、量身定制邮件正文骗取信任、隐藏恶意链接、在附件中添加恶意程序 [26][27][28][29] - 防护建议包括：公私邮箱分开、仔细辨认发件人地址、多渠道核实转账请求、检查链接指向网址、安装杀毒软件、不下载来历不明附件 [31] 数据安全 - 数据是指任何以电子或其他方式对信息的记录，数据处理包括收集、存储、使用、加工、传输、提供、公开等，数据安全是确保数据处于有效保护和合法利用的状态 [32] - 数据安全威胁包括：数据窃取或泄露（如黑客攻击、员工窃取）、数据毁损（如违规篡改、破坏）、数据非法利用（如滥用大数据分析挖掘）、数据非法出境（如赴国外上市公司被要求提供审计细节等信息） [32] - 危害重要数据安全的典型案例包括：2021年李某等人在重要军事基地周边采集并向境外传送敏感气象数据；2022年美国国家安全局网络攻击西北工业大学窃取核心技术数据 [33] - 根据《数据安全法》，数据按危害程度分为一般数据、重要数据、核心数据三个级别 [34] - 加强数据安全保护的措施包括：数据处理者需建立备份、加密、访问控制等机制；互联网平台运营者需建立平台规则披露制度；重要数据处理者需明确安全负责人、制定培训计划、优先采购安全可信产品、每年开展一次数据安全评估 [35][36][37] 电信网络诈骗 - 电信网络诈骗是指以非法占有为目的，利用电信网络技术手段，通过远程、非接触方式诈骗公私财物的行为 [37] - 典型骗术包括：“杀猪盘”诈骗（通过婚恋平台聊天发展感情后引入博彩、理财平台诈骗）、“杀鸟盘”诈骗（通过高薪兼职信息吸引受害者参与刷单诈骗） [37] - 新型AI诈骗手段包括：利用AI换脸技术伪造熟人视频实施诈骗；利用AI拟声技术合成受害人声音实施诈骗 [38][39] - 防范建议包括：保护个人信息、不透露密码、通过官方渠道办理业务、将转账到账时间设定为“2小时到账”或“24小时到账”、不与他人共享屏幕、多种方式确认熟人借款请求、妥善保管银行卡不出借或出售 [40] 个人信息保护 - 个人信息是以电子或其他方式记录的与已识别或可识别的自然人有关的信息，不包括匿名化处理后的信息，处理包括收集、存储、使用、加工、传输、提供、公开、删除等 [42] - 敏感个人信息包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息，一旦泄露或非法使用容易导致危害 [42] - 个人信息泄露途径包括：非法买卖、非法披露、非故意泄露（如设备不完善、技术不成熟、管理不规范、保护意识不足）、网络攻击（如攻击网站或手机信息数据库） [44][45][46][47] - 信息泄露危害包括：垃圾短信不断、骚扰诈骗电话接连、垃圾邮件铺天盖地、遭遇大数据“杀熟”或“人肉搜索”等恶意披露事件 [48]

监管行动 - 江苏省通信管理局通报2025年第7批侵害用户权益的APP 共涉及7款未完成整改的应用 [1][3] - 监管依据包括《个人信息保护法》《网络安全法》《电信条例》等法律法规 重点整治违规收集使用个人信息问题 [3] - 整改截止日期为9月29日 逾期未整改将依法开展处置工作 [3] 违规应用详情 - 金融理财类APP违规突出：东海证券"东海通"（版本5.2.1）违规收集个人信息 小橙借款（版本1.2.0）同样存在违规收集问题 [4] - 实用工具类APP多重违规：伞送货主（版本1.3.2）同时存在违规收集、超范围收集、违规使用个人信息及频繁自启动四项问题 [4] - 技术类应用违规集中：南京满堂红"闪用花"（版本1.0.5.74495）违规收集和使用个人信息 南京韵力恒"蜜柚目历"（版本4.57）违规收集个人信息 [4] 违规行为类型 - 所有7款APP均存在违规收集个人信息行为 覆盖率达100% [4] - 两款APP存在频繁自启动和关联启动问题：晶算师企业版（版本4.8.2）和伞送货主（版本1.3.2） [4] - 违规使用个人信息问题出现在闪用花和伞送货主两款应用中 [4]

网络安全执法案例 - 上海某跨国公司因未履行个人信息保护义务被处罚 包括未通过数据出境安全评估、未订立标准合同或通过认证 违规向境外传输用户数据 未充分告知用户信息处理方式 未取得单独同意 未采取加密或去标识化技术措施[1][2] - 贵州某政务服务系统因未落实网络安全主体责任导致被网络攻击 造成群众财产损失400余万元 未采取防范病毒和网络攻击的技术措施 未监测记录网络运行状态 未留存网络日志 未及时处置系统漏洞[3] - 江苏某短信平台因未进行等保备案测评 未采取技术防护措施 被攻击冒用发送诈骗短信27000余条[4][5] 数据泄露事件 - 河南某学校智慧刷卡计费系统因存在高危漏洞 数据未加密存储 未设置访问控制和安全认证 导致数据被攻击窃取 且委托第三方处理数据时未明确安全保护义务[6][7] - 安徽某电子商务公司因未制定网络安全制度 未开展等级保护 未留存网络日志 未采取技术防护措施 导致旅客购票信息被批量爬取[8][9] - 云南某科技公司开发的"通讯录"APP因内部管理混乱 缺乏用户身份核对机制 保护措施不力 导致大量公民个人信息泄露并被非法贩卖[10][11][12]

行业监管与法律环境 - 中国高度重视个人信息保护，已出台《个人信息保护法》、《网络安全法》、《数据安全法》等法律法规，明确了个人信息处理原则并赋予公民知情权、删除权等权利，为行业提供了坚实的法律支撑 [1] - 尽管法律框架已搭建，但现实生活中个人信息保护仍面临严峻挑战，企业为追求商业利益肆意收集、滥用、泄露用户信息的现象依然存在 [1] 企业责任与市场行为 - 部分平台在用户安装App时要求获取大量个人信息使用权限，有的企业在数据共享、交易过程中未对用户信息进行有效保护 [1] - 企业平台需切实履行主体责任，加强内部管理，建立完善数据安全管理制度和技术防护体系，规范个人信息的收集、使用、存储、传输等环节，做到合法合规、安全有序处理用户信息 [2] 社会协同与公众意识 - 守护个人信息安全是全社会的共同责任，需要相关部门、企业平台和广大网民携手共进 [2][3] - 公众需提高网络安全意识，掌握必要防范技能，如不随意点击不明链接、不扫描来路不明的二维码、不轻易透露个人敏感信息、谨慎连接公共WiFi，并在权益受侵害时敢于运用法律武器 [2]

行业核心观点 - 数字化时代公众需具备网络安全思维 国家通过举办网络安全宣传周等活动 重点提醒公众警惕数字生活中的安全隐患[1] - 网络安全工作的核心逻辑是“网络安全为人民 网络安全靠人民” 强调每个个体既是安全工作的目标也是维护主体[2] - 享受安全健康的数字生活需要公众从细节做起 不贪便宜 不抱侥幸 筑牢个人信息与财产的防护墙[3] 行业现状与挑战 - 中国网民规模已突破11亿人 网络安全防护需求巨大[1] - 青少年群体因网络安全意识和辨别能力相对薄弱 成为网络安全防护体系中的重点关注对象[1] - 针对未成年人的电信网络诈骗案件持续高发 不法分子利用其涉世未深、防范心理较弱的特点 通过利诱、恐吓等手段设局[1] 行业具体风险与案例 - 近期发生中学生因购买签名小说被骗的案件 此类案件直接导致未成年人家庭面临财产损失 并对其身心健康造成潜在影响[1] - 网络空间并非绝对安全的避风港 应对网络安全问题不能抱有侥幸心理[1] 行业倡导的公众行为准则 - 面对惊人网络消息应先理性判断 而非急于转发 这是对自身及社交圈的保护[2] - 遭遇网络暴力时应保留截屏、录屏等证据 作为维权的重要武器[2] - 在网络活动中应秉持善良和尊重[2] 行业活动与宣传举措 - 2025年国家网络安全宣传周于9月15日至21日举办 旨在提升公众安全意识[1] - 宣传周期间设立多个主题日 包括9月16日校园日、9月17日电信日、9月18日法治日、9月19日金融日、9月20日青少年日、9月21日个人信息保护日[2] - 组织网络安全宣传“六进”活动 包括进社区、进农村、进企业、进机关、进校园、进家庭 开展贴近群众的宣传教育活动[2]

核心观点 - 社交媒体热议引发消费者对支付宝等平台长期累积的个人信息授权与免密支付/自动扣款项目的广泛关注和自查 用户发现其存在大量历史授权和未经充分察觉的自动扣费项目 凸显了数字消费环境中个人信息管理与支付安全的重要问题 [1][4][5] 用户授权现状 - 有用户自查发现其支付宝“个人信息授权管理”列表中最早的授权可追溯至2015年 累计授权数量高达171条 [2] - 有用户发现其授权项目多达121项 最早授权于2015年底 最近授权于今年8月底 授权内容包含姓名 手机号 证件号码等敏感信息 [4] - 众多授权涉及的软件或平台用户已无印象 不知其用途 但授权内容从获取昵称 头像到涉及姓名 身份证号 手机号码等敏感信息不等 [5] 免密支付/自动扣款现状 - 用户在定期检查后仍发现新增了15个项目签约了“免密支付/自动扣款”服务 涵盖付款码免密支付 乘车码支付 自动还款 打车软件 定期扣款投资理财 外卖软件 视频会员等多种类型 [5] - 有用户在不知情的情况下被开通了某视频会员自动续费 并于7月1日被扣除了238元年费 [5] 行业监管与消费者提示 - 消保委提示消费者需谨慎开通自动扣款功能 除高频小额公共服务外 对各种会员 出行 游戏等的自动扣款（免密支付）要多权衡利弊 特别留意首月（次）优惠后自动续费的约定 [12][13] - 建议消费者定期清理微信支付和支付宝的免密授权及自动续费功能 [14] - 建议消费者养成定期核查各类账单（如银行 微信 支付宝 电信 水电气等）的习惯 以发现并处置异常扣费 避免侵权行为长期发生 [15] 平台操作指引 - 在支付宝平台 用户可通过「打开支付宝」—「搜索框」—「输入：支付宝安全中心」—「账号授权」的路径查看并管理账号授权 [9] - 消费者应定期检查和管理“账号授权”和“免密支付/自动扣款” 及时解除不必要的授权并关闭不需要的扣费服务 [7][8][9]

行业趋势：消费平台加速部署AI智能体 - 多家消费平台正在将AI智能体嵌入核心产品 淘宝内测AI助手实现多轮对话导购 美团推出独立App"小美"提供本地生活服务 支付宝推出国内首个"AI付"服务实现自动支付[1] 技术实现：AI导购的数据驱动机制 - AI导购系统高度依赖用户历史数据提升推荐准确性 美团"小美"通过对比用户历史订单推荐相似商品 淘宝"AI万能搜"根据浏览和购买记录生成个性化推荐[2] - 平台收集的数据类型包括浏览记录、搜索查询、加购数据、交易记录等敏感信息 美团收集浏览、搜索、点击、收藏、分享、评价数据 淘宝收集浏览记录、点击查看记录、搜索查询记录、收藏添加记录 瑞幸使用历史订单数据实现产品推荐[3] 合规要求：数据使用的双重监管框架 - 平台使用数据需通过合规文本和功能设计双重关卡 个人信息保护法要求明确告知并取得单独同意 算法推荐管理规定要求提供便捷关闭方式[5][6] - 当前平台已实施差异化合规方案 美团设置单独授权同意步骤 淘宝提供【购物偏好】实时开关功能 瑞幸需通过设置菜单统一关闭个性化推荐[6] 发展挑战：数据应用的风险与限制 - AI导购可能引发大数据杀熟和信息茧房问题 平台可能利用数据实施差异化定价 过度依赖AI推荐可能限制用户商品发现范围[9] - 多业务线接入增加数据安全管理复杂度 需防范越权访问和数据外泄风险 需确保跨生态参与方的数据分享获得用户充分授权[9]

核心观点 - 大数据时代个人在授权App和小程序时面临个人信息泄露和未经察觉的免密支付风险 [2] - 支付宝账号解除授权话题引发热议 用户发现大量历史授权和自动扣款项目 [3][5][6] - 消费者需定期管理账号授权和免密支付以避免不必要的费用和信息泄露 [8][12] 用户授权管理现状 - 用户授权记录最早可追溯至2015年 部分用户累计授权达171条 [5] - 有用户发现其授权项目达121项 涉及姓名 身份证号 手机号等敏感信息 [7] - 授权内容从昵称 头像到身份信息不等 许多授权平台用户已无印象 [7] 免密支付与自动扣款问题 - 用户在免密支付/自动扣款中新增15个项目 包括乘车码 自动还款 视频会员等 [7] - 有用户因自动续费被扣238元视频会员年费 且未察觉开通时间 [7] - 自动扣款覆盖高频公共服务 会员 出行 游戏等领域 需警惕首月优惠后自动续费条款 [13] 行业建议与消费者行动 - 建议通过支付宝安全中心定期检查账号授权和免密支付项目 [9] - 消费者应谨慎开通自动扣款 特别关注优惠后的自动续费约定 [12][13] - 需定期核查银行 微信 支付宝等账单 及时发现异常扣费并处理 [13]