常见问题 Q2
扫二维码会不会泄露隐私、有安全风险?
扫二维码,到底会不会泄露隐私?
扫码本身不会直接泄露隐私,但二维码背后的恶意内容、商家的违规信息收集行为,可能导致隐私泄露、财产损失。
一、日常扫码,最常见的3类隐私安全风险
Image source: Xinhua News Agency Weibo. Illustration shows privacy risks when scanning QR codes for dining.
1. 商家强制收集你的个人信息(最普遍)
这是扫码点餐、扫码停车、借共享充电宝时,最常遇到的情况。
部分商家会强制你关注公众号、注册会员,索要手机号、地理位置等信息,甚至在服务结束后仍保留数据。
根据《个人信息保护法》,个人信息处理应当遵循“最小必要”原则,仅收集与业务相关的信息,并需经过你的同意。
2. 钓鱼诈骗,骗走你的钱和敏感信息(最危险)
这种是目前常见的扫码骗局,行业内称为“二维码钓鱼”。
骗子会把仿冒银行、支付平台、运营商的诈骗网站藏进二维码,甚至覆盖、替换商家的官方收款码。你扫码后会进入一个和官方高度相似的页面,一旦输入银行卡号、密码、短信验证码,就可能造成财产损失。
3. 恶意软件,窃取你的手机信息(最隐蔽)
扫码也可能成为恶意软件的传播渠道。
部分恶意二维码会引导你下载非官方渠道的APP,安装后可能窃取手机里的照片、通讯录等信息,或产生异常扣费。
二、《个人信息保护法》对扫码场景的核心要求
针对扫码场景的个人信息保护,我国法律有明确规定,核心包括:
- 遵循“最小必要”原则:仅收集与业务相关的信息,不能强制索要非必要信息;
- 需取得你的同意:收集、使用个人信息前,应当明确告知目的、方式、范围,并取得同意;
- 提供替代选择:不能强制仅通过扫码获取服务,应提供人工等其他方式;
- 保障信息安全:商家需采取必要措施保护收集的个人信息,防止泄露、篡改、丢失。
三、日常扫码的安全建议
- 扫码前先看来源:不扫陌生、被涂改/覆盖的二维码,不扫短信、陌生人发的二维码图片;
- 扫码后先核对再操作:用正规工具扫码,先看跳转的网站域名是否可信,有风险提示的不要点;
- 非必要权限一律不给:扫码后要求开启地理位置、通讯录等权限的,非必要可直接拒绝;
- 不在陌生页面输敏感信息:扫码后要求输入银行卡号、身份证号、短信验证码的,务必反复确认是官方平台;
- 敏感操作优先用官方APP:充值、缴费、登录账号,优先使用官方APP,不要通过陌生二维码操作;
- 出问题立刻止损:扫码后出现异常扣费、陌生APP安装,立刻断网、用安全软件扫描,修改账号密码,必要时报警。
大家最关心的3个问题
合规的二维码本身不会泄露隐私,风险来自商家的违规收集行为。如果商家强制索要非必要的个人信息,你有权拒绝,也可以选择提供人工服务的商家。
有潜在风险。哪怕你没操作,跳转的页面也可能收集你的手机型号、IP地址等基础信息。所以扫了陌生二维码后,建议立刻关掉页面,不要点击任何按钮。
不是。微信、支付宝能拦截大部分已知的恶意二维码,但无法100%防住新型诈骗,也无法限制商家的违规信息收集。安全的核心,还是你自己要核对来源、管好权限。