在外賣服務場景下的消費者個人隱私保護的實踐與探索

□ 文|劉 菁 李 杰 閆豐雅

0 引言

隨著近年來信息技術和商業、生活的日益融合，數據已成為數字經濟時代的核心有形資產之一。互聯網與大數據領域的新技術研發、新產業應用，不斷催生著新的經濟增長點，解決著越來越多的社會治理問題。但同時，由技術引發的公民個人隱私泄露問題也不斷出現，行業面臨嚴峻的監管合規及安全挑戰。

近年來，我國與歐盟、美國相繼頒布數據隱私保護法律法規。2021年我國陸續頒布《中華人民共和國數據安全法》和《中華人民共和國個人信息保護法》，對規范數據處理及保障個人信息權益等提出了明確的要求。2022年國務院頒布的《“十四五”數字經濟發展規劃》也明確著力強化數字經濟安全體系，有效防范各類風險。可見，數據安全在數字經濟的發展中發揮著牽一發而動全身的關鍵作用，只有筑牢數據安全基石，才能護航數字經濟高質量發展。

隨著數字經濟的快速發展和普及，消費者在各消費場景中對個人隱私保護的意識也在不斷加強。本文重點闡述分析外賣行業個人隱私泄露的高頻場景及其治理舉措。以餓了么平臺“消費者個人隱私保護專項”下的“隱私面單”這一消費者個人用戶隱私數據保護方案為例，解讀外賣場景下的用戶隱私數據保護的新模式，分析業務全鏈路的難點與可行性。

1 外賣服務平臺“隱私面單”及其落地難點

1.1 隱私面單概述

即時配送行業與廣義物流行業具有類似的業務場景和龐大規模，也同樣暴露出消費者個人隱私信息在配送環節“裸奔”的問題，由個人隱私泄漏造成的客訴輿情近年來逐漸發生，敲響了個人信息安全保護的警鐘。

為此，外賣服務平臺也站在長遠發展和社會價值的視角，圍繞消費者個人隱私保護進行了大量探索。目前外賣服務平臺與多家三方生態服務商品牌商共同推出了“隱私面單”，成為外賣服務場景下在個人隱私保護治理中的一個重要落地場景。

顧名思義，“隱私面單”是指通過技術化處理，對消費者姓名、真實手機號進行脫敏，配送地址根據不同業務場景及配送方式進行隱藏，使消費者的個人信息不直接展示在外賣面單上，配送人員通過其他方式獲取用戶的信息完成配送服務。而在醫藥零售業務場景，針對用戶購買商品涉及個人隱私（如暴露心理、生理等重大隱私藥名名稱），平臺也根據藥品類目進行了按需隱藏，同樣基于“隱私面單”保障了消費者的隱私和個人信息。

近年來，不論是快遞行業還是外賣行業，相關企業都開始在“隱私面單”的普及上發力。截至目前，外賣服務平臺的“隱私面單”普及率較高，但仍然有繼續發力空間。以本文涉及平臺“消費者個人隱私保護專項”下的“隱私面單”這一消費者個人用戶隱私數據保護方案為例，消費者姓名及真實手機號脫敏已全量覆蓋，配送地址隱藏覆蓋近90%（商家自配送服務還未覆蓋），醫藥類隱私面單在自有平臺已完成全量上線，仍在探索與第三方生態服務商品牌商合作實現全量覆蓋。

1.2 “隱私面單”業務難點

從物流行業整體來看，盡管隱私面單近年來被密切關注，但覆蓋率和推廣率卻仍然不高。央廣網于2021年10月30日發布一篇標題為《快遞“隱私面單”推廣四年 普及率為何不升反降？》，闡述了快遞行業的隱私面單無法推廣普及的難點。如增加配送、取貨時間成本，需要賣家、平臺、快遞企業多方信息互通等。

不過，外賣行業的履約時效相比快遞更短，并且以點對點派送入戶為主，一定程度上減少了騎手查看訂單地址、消費者取餐的時間成本。同時，外賣訂單大部分由互聯網平臺自運營的即時物流配送平臺（如蜂鳥即配）配送，平臺對于隱私面單的改造和標準要求在一定程度上可以達到統一，內部更加容易協調內外部資源。

因此，相較快遞行業，外賣行業主要面臨的問題是業務鏈路更長、牽涉范圍更廣。

本文將一份外賣訂單的整體業務鏈路梳理如如圖1所示：

圖1

第一階段：C端消費者在外賣服務平臺App小程序下單，下單時系統會默認勾選“號碼保護”，勾選后將啟用虛擬小號代替手機號碼，完成在平臺下單動作。

第二階段：平臺提供服務和數據給開放平臺，包括訂單服務、商品服務、店鋪服務、商戶服務、消息服務等等。服務商或品牌商可在外賣服務平臺商家開放平臺申請所需業務場景的接口，完成業務系統的開發。

第三階段：服務商根據從開放平臺的接口后，完成系統研發，提供不同場景的業務服務給商家，例如打印機，商戶代運營，ERP系統，SAAS系統，聚合訂單等等。品牌商也同樣根據開放平臺的接口，自研系統供自有品牌使用。

第四階段：商戶使用服務商提供的系統開展業務并完成訂單處理和餐品出餐，騎手到店領取外賣。

第五階段：騎手拿到外賣配送至消費者側。

在整個業務鏈路中，需要考慮三個問題：

一是配送前，騎手如何快速高效定位配送訂單。實際場景中，消費者點單后，騎手去店家取單，但面單地址等有效信息被隱藏，騎手無法高效找到訂單，在履約時效和履約準確度無法保障，必然會帶來用戶投訴配送超時、送錯單等投訴，反而增加騎手的履約工作壓力，這也不是平臺所希望的。

二是配送中，騎手如何準確判斷并送達訂單地址。在繁忙的配送任務中，即便是依賴系統提供的地址，騎手如何能用簡單快捷的方式準確判斷訂單歸屬，地址的隱藏是否影響配送的效率，是否能保障騎手的準確送達。

三是配送后或緊急情況時，商家與騎手如何與消費者進行售后溝通或緊急情況溝通。實際場景中，商家和騎手在沒有用戶真實信息情況下，用戶發起售后時商家和騎手如何提供服務保障用戶服務體驗；或當遇到特殊或緊急的情況時，商家和騎手通過什么方式觸達用戶進行溝通。

面對以上問題，平臺如何在保證騎手配送、商家履約、平臺業務運營的情況下保護消費者個人隱私安全？這需要在平臺綜合評估分析，多策并舉完成隱私面單這一課題。

2 外賣服務平臺“隱私面單”保障策略

業務的連續可用是平臺必須保證的業務底線，如果在隱私面單中無法顯示用戶信息，那么必須通過另一種方式去告知騎手配送的地址及聯系方式。通過一系列探索和嘗試，目前外賣服務平臺除用戶姓名脫敏外，還通過“取單號”“專快訂單地址隱藏““一對一虛擬小號”三管齊下，保障在用戶隱私得到保護的同時，保證騎手與商家履約鏈路暢通。

2.1 “取單號”

取單號解決履約配送前騎手如何快速高效定位配送訂單。舉例實際場景中，騎手到商家取貨時，騎手App端與隱私面單中將生成一個“取單號”，該號碼在面單上顯著標志，且一單一號，因此騎手在到店后不需要花大量的時間去核對訂單上用戶信息，只確保餐品上的取單號與App端一致即可快速準確的完成取餐送餐的過程。

2.2 專快訂單地址隱藏

專快訂單地址隱藏解決履約配送中騎手準確判斷并送達訂單，但針對商家自配送服務還在尋求更好的解決方案。實際場景中，因為對于用戶地址的保護，業務場景則更加復雜。入駐外賣平臺的商家大部分會使用外賣服務平臺自有物流系統，但是也有部分商家使用自配送的方式，或者采用第三方物流。

對于外賣服務平臺自有物流系統配送的訂單，外賣服務平臺將用戶面單地址信息隱藏，將原來明文地址更換為統一的文案“【隱私保護】顧客地址已隱藏，您可登錄外賣服務平臺商家端或騎手端查看”。而騎手統一通過騎手端App查看用戶地址，進行履約配送。當訂單完成一段時間后，騎手端App的用戶地址也將隱藏。

而對于商家自配送的訂單，商家通常會采用自行配送，或第三方配送公司配送。由于配送公司的規模和質量各不相同，平臺無法做統一的管理，此時門店工作人員則需要面單明文顯示地址才能進行配送。為保障業務不受影響，對于自配送訂單，平臺會在面單中顯示用戶地址。此類商家自配送服務還需與行業共同探討尋求更好的解決方案。

目前，以本文涉及平臺“消費者個人隱私保護專項”下的“隱私面單”這一消費者個人用戶隱私數據保護方案為例，訂單中蜂鳥配送訂單占比顯著高于自配送訂單和三方配送訂單，因此隱私面單中的地址隱藏覆蓋率較高，但并未達到全面覆蓋。后續持續探索，希望實現全面覆蓋。

2.3 “一對一虛擬小號”

為解決配送后或緊急情況時商家與騎手與消費者售后或緊急溝通研發“一對一虛擬小號“。實際場景中，為了保護用戶手機號碼，外賣平臺采用“一對一”的虛擬小號來代替用戶真實手機號碼。“一對一”，代表著當訂單生成時，騎手與用戶之間建立了一對一的關系，僅該訂單的騎手可以撥打用戶生成的虛擬小號進行聯系。相應的，在用戶聯系騎手時，也將生成一個騎手虛擬小號，僅該訂單的用戶可以使用。這就形成了騎手與用戶之間的雙向一對一關聯。通過虛擬小號，騎手和用戶可以直接建立手機通話的連接。

綜上，當用戶選擇匿名保護時（默認勾選），不論任何類型訂單，用戶姓名、真實手機號都將脫敏，大部分訂單用戶地址也將隱藏。

3 外賣服務平臺“隱私面單”保障策略與應急機制

3.1 外賣服務平臺“隱私面單”的保障策略

解決方案具備后，外賣服務平臺全面啟動隱私面單。在餐飲外賣場景，外賣服務平臺及多家三方生態服務商品牌商共同治理完成了外賣服務平臺隱私面單的覆蓋如圖2所示，包括消費者姓名脫敏（如張三脫敏后張＊＊）、用戶真實手機號脫敏并啟用虛擬小號保護，配送地址根據不同業務場景及配送方式進行隱藏。至今，消費者姓名及真實手機號脫敏已全量覆蓋，配送地址隱藏覆蓋近90%。

圖2 實際改造后的隱私面單

另外，在醫藥零售業務場景，針對用戶購買商品用戶購買商品涉及個人隱私（如暴露心理、生理等重大隱私藥名名稱）也進行了用戶隱私保護探索實踐，根據藥品類目進行了按需隱藏，并推出了消費者隱私面單功能，保障消費者的隱私和個人信息，持續探索并計劃實現大面積覆蓋推廣。

3.2 外賣服務平臺“隱私面單”的應急機制

對于每日千萬級別單量的復雜業務場景而言，時刻可能出現特殊情況。為此，外賣服務平臺建立了一系列應急響應標準化流程，設有應急小組以保障特殊情況的應急策略。

例如，因疫情管控需居家隔離等特殊情況，原本由消費者取貨的生鮮訂單，不得不由社區志愿者代勞。志愿者的訂單分發流程，由以往的騎手配送到家變成了三方聚合配送，志愿者僅能依賴面單上的地址去定位訂單的歸屬，隱私信息隱藏給他們的工作帶來巨大困難。

面對這種緊急情況，外賣服務平臺應急小組也會根據實際配送場景進行隱私面單的降級，面單中用戶姓名、真實手機號碼保持隱藏，但展示地址信息，志愿者通過面單上的地址配送到樓，用戶再通過餐品、姓名定位到自己的訂單。

4 外賣服務平臺黑灰產防范機制

在外賣服務平臺的用戶隱私保護專項工作中，隱私面單既得到了覆蓋，同時平臺也從根源避免了對第三方生態商的數據共享，杜絕了一些不法分子從事黑灰產，售賣用戶的個人隱私數據借機牟利。

改造前，外賣服務平臺開放平臺開放接口數據，服務商和品牌商通過接口的調用獲取訂單詳情，再為商戶提供服務如圖3所示。

圖3

改造后，外賣服務平臺開放平臺的接口數據為脫敏數據，服務商和品牌商只能獲取脫敏后的用戶數據。當遇到運力不足時，由平臺統一判斷，商家自主選擇是否降級。降級成功的訂單再提供用戶地址信息。以此杜絕個別三方服務商、品牌商通過獲取用戶數據非法牟利如圖4所示。

圖4

5 外賣服務平臺“隱私面單”覆蓋效果

此次外賣服務平臺“隱私面單”覆蓋后有較好的效果與影響。一是從消費者從外賣平臺下單到送達全鏈路流程的信息保護層面，絕大部分消費者得到了全面保障。消費者的個人信息在下單到送達的任何一個環節都大幅減少了真實信息的透出，一定程度上減少了履約環節中主動或被動等信息泄漏帶來惡性事件等風險問題。二是從消費者的體驗方面得到了較好的改善。根據外賣服務平臺相關調研顯示，平臺此次隱私面單的覆蓋，給消費者帶來了良好的消費體感，收到大量消費者好評，很多消費者表示丟外賣時不用再撕小票或者涂抹自己的隱私信息了。

6 結束語

面向未來，外賣服務平臺需在個人信息保護工作上持續發力，依據《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》及相關文件精神，做好法律法規及政策解讀與理解。進一步從規范化、法治化、精細化出發，提高本地生活全員合規意識，持續切實規范做好個人信息保護專項治理工作，不斷健全個人信息保護體系，提高數據安全防護和保障能力，真正為用戶提供給用戶一個安心、放心的網絡交易環境，助推數字經濟發展，為我國數字化轉型和數字經濟健康發展提供更有力、有效的行動。