最近,江苏网警通报了一起以“解绑APP平台会员”为由的诈骗案件:
犯罪分子获取受害者李女士的个人信息后,谎称自己是某短视频平台官方客服与她联系,表示李女士在平台购物时不小心注册了一个会员,开通后每月将自动扣500元会员费,如果不交钱会影响个人征信并冻结名下所有银行卡,所以致电帮助李女士“解绑”会员。信以为真的李女士在客服“指点”下,将支付宝、银行卡等账户中的钱款转到“客服”指定的“安全账户”中,却迟迟没有等到客服所说的“‘会员’取消后、钱款原路返回。”
盐城市公安局开发区分局接到报警后,通过侦查锁定涉案嫌疑人并将其抓获归案。警方表示,“解绑会员”的骗局时有发生,虽不新颖,但迷惑性较大,涉案金额较多,建议公众在接到陌生客服电话时保持警惕,切勿轻信,不轻易透露个人信息,也牢记没有任何“安全账户”,不向陌生人提供的账户汇款。
上海辟谣平台进一步调查发现,“解绑会员”会成为骗局,与企业发放会员卡的行为存在漏洞不无关系:有的企业未得到用户授权就将用户绑定为会员,涉嫌非法获取用户信息;有的企业取得用户信息后,排除自身管理责任;还有不少企业不提供解绑方式,让不法分子有机会设置“帮忙解绑”的陷阱……
浏览服务竟然变成“会员”
“我只是浏览了‘易代扔’的服务,怎么就变成它们的会员了?”退休在家的陈阿姨问记者。
最近,陈阿姨想处理家中的旧沙发。她听邻居说大件家具需要收费回收,并告知可通过支付宝搜索上门服务。在支付宝的“旧沙发回收”搜索结果中,上海挺之军信息科技有限公司的“易代扔”小程序排名靠前,陈阿姨就进入该小程序,选择“大件垃圾处理”对家中的旧沙发进行回收估价。
估价完成后,陈阿姨并没有下单,打算与其他企业的回收服务比一下价。让她意外的是,支付宝显示有一条“会员开通成功”的通知,称陈阿姨获得一张“垃圾分类回收”会员卡。
“怎么未经我同意就开通了会员卡?”陈阿姨觉得奇怪,联系支付宝,却被告知,开通的并不是支付宝的会员卡,而是“易代扔”的会员卡,这张会员卡被收纳进支付宝的“卡包”中,所以支付宝发出了通知。但极具迷惑性的是,这张会员卡没有显示“易代扔”或相关企业的名称,而是以“垃圾分类回收”的名目出现。
“易代扔”的会员卡很有迷惑性,从名称看不出由该企业发放
记者跟进调查发现,这张“会员卡”问题多多:易代扔小程序的隐私政策显示,“未以任何方式收集或使用用户的任何信息”,但会员卡信息显示,这张长期有效的会员卡查询了用户的芝麻信用评估结果,获取了用户姓名、手机号、性别、地区、昵称和头像;记者试图通过线上客服询问为何未经用户授权就开通了会员卡,始终没有应答;拨打易代扔公开的4006881575热线电话,接通后系统回复“已停止使用”。
“易代扔”的隐私政策自相矛盾,当记者点击“解除授权”时,小程序也未说明已获得的信息如何安全处理
根据我国个人信息保护法,个人信息的收集、存储、使用、加工、传输、提供、公开、删除等,都要基于个人同意,而且该同意应当由个人在充分知情的前提下自愿、明确作出;个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知。对照可见,易代扔小程序未经用户允许就开通会员卡、获取会员用户信息的做法,已涉嫌违反个人信息保护法。
黑客窃取用户信息,企业就能免责?
进一步调查发现,有的企业虽然在开通会员时要求用户授权,但在保护用户隐私信息方面存在瑕疵。
记者随机查看了来自餐饮、摄影、商场等不同业态企业的电子会员卡发现,在大部分企业的“会员卡详情”中,只有“会员特权”“有效日期”“使用须知”等,却只字不提企业获取了哪些个人信息,以及对这些信息如何管理。
还有的企业通过微信小程序或支付宝小程序发放会员卡,但仅在要求用户授权信息以注册会员卡时显示隐私政策,此后用户就无法查看隐私政策。
很多企业会员卡在授权信息时可以查看隐私政策,但取得会员卡后就无法再查看了
在那些提供“会员章程”“隐私政策”的会员卡中,有些条款内容也值得商榷。
例如,有商家在“免责条款”中表示,在“任何由于黑客攻击、手机病毒侵入,因政府管制而造成的暂时性关闭等影响手机网络正常经营之不可抗力而造成的个人信息泄露、丢失、被盗用或被篡改等”等情况下,企业免责。
涉嫌排除自身义务的条款
北京观韬中茂(上海)律师事务所葛志浩律师指出,企业对收集到的个人信息负有法定的保管义务,这种义务要求企业不能“躺平”,而是必须作出符合通常保管要求的措施,只有尽到必要的保管义务后仍发生意外的,才可能免责。但以上条款没有体现企业的保管义务,而是强调了所谓的“不可抗力”,属于权利义务失衡。
谁来管一管会员“永久有效”?
另一个问题是,当用户希望停止会籍、收回信息授权时,并不容易。
记者随机查看了10多张来自不同类型企业的会员卡发现,只有一家企业提供“账号注销”服务,其余会员卡均显示“永久有效”,用户无法退出会籍。
绝大多数企业会员都是“永久有效”,不提供退会选项
还有的会员卡显示,会员注册时,授权使用了微信、支付宝等第三方平台的头像、手机号码等个人信息。会员卡支持会员取消授权,但企业对此前已经获得的信息如何处置,并没有说明。
以上种种现象显示,不少企业招募会员时,在用户的隐私信息获取、保护上存在瑕疵,这极可能是部分用户个人信息泄漏的原因。同时,企业会员卡“入会易、退会难”的情况,也让不法分子有了可乘之机,利用“退会籍”等理由行骗。
由此可见,要防止“退会籍”类诈骗,公众、企业和监管部门都要有所作为。
一方面,公众在日常生活中应谨慎对待各种“入会”活动。在加入企业会员前,建议查看企业对于个人隐私信息的索取和管理情况。同时,谨慎对待对所谓的“客服人员”,谨防上当。
另一方面,相关企业应规范“会员”招募行为,加强用户信息保护,并明示撤销会籍的途径。监管部门也要加大对企业招募会员行为的监督和管理。要知道,根据个人信息保护法,未依法履行个人信息保护义务的,相关企业不仅会被没收违法所得,还会被暂停或终止相关应用程序、处以罚款等。情节严重的,可能被吊销营业执照。
来源:上海网络辟谣