前两天，我的一个朋友告诉我，他的一个"有趣"经历。

因为工作原因，他新换了个手机号码。当他用这个号码注册微信的时候，微信提示他说，这个号码已经注册过了。

然后他就试了一下"找回密码"，还好，微信设置了一道好友验证，需要寻找两位经常联系的微信好友，输入一串指定的验证码。如果不是这个设置，他就真能登录到别人的微信上了。

我给他解释说：看来这个手机号码之前的主人，将手机号设为了登陆的ID，而在手机销户之后，又没有及时变更或者清除订购关系。

所以，对于微信、邮箱、电商等互联网应用来说，这个手机号码依然是登陆的ID和凭证。

我顺便问这个朋友：你之前的号码销号之后，清理订购关系了么？

朋友吓坏了。

他已经记不清，曾经用原来的手机号码，注册过多少应用和业务？这些业务目前是否还"活着"？在这些地方又保留了多少自己的隐私信息？

他无法评估，如果这个号码被他人使用后，可能给自己带来多大的安全风险。

订购关系是什么？

如果客户购买的是实体商品，那么，订购关系可以理解为客户的"订单"：用户的订购、消费和服务，都是一次性完成的，订购关系的管理也相对简单。

对于"一次购买、多次服务、周期性付费"的商品和服务，比如电信运营商提供的信息服务、水电煤气等基础设施提供的持续性服务、每周一次的鲜花送达等等，订购关系就相对复杂，除了订购之外，还需要有变更和退订等流程。

一条完整的订购关系，应该包括以下要素：

• 第一，发起者是谁，是哪个客户？
• 第二，是在什么时间发起的订购/退订行为？
• 第三，通过什么渠道/方式（如短信、APP、代理）发起的订购/退订行为？
• 第四，购买/退订的是什么产商品/服务？

从某种角度来说，订购关系就是消费者与商家约定的商业合同，当双方产生纠纷时，可以作为法律依据。

当用户得到服务而拒绝付费的时候，商家就可以依据订购关系来说明自己履约而用户违约；反之亦然。

如果消费者完成了订购，而没有享受到服务，也可以依据订购关系进行索赔。

订购关系的管理

订购关系里的信息，具有极高的商业价值。无论是订购关系的管理，还是这些数据信息的使用，都是商家关注的重点。

但在以前，订购关系的管理并没有被提到这么重要的程度，由此也出现过很多问题。

最早，运营商在信息服务方面，曾经广泛采取简单的"代收费"模式。比如语音信息台服务、最初的梦网等，都是信息服务提供者借助运营商的渠道来收费。

每到月底，信息服务的内容提供者（CP，Content Provider）就会给运营商提供代收费的名单以及费用，运营商照单向用户去收钱。

在这个阶段，运营商并没有进行订购关系管理和控制，订购关系全部听CP的。

因此，运营商的客户服务和业务管理工作一度出现很大困难：如果CP对客户有欺诈或者强行定制等行为，运营商完全不知情；然而，用户是把钱交给运营商的，他们只会向收钱的运营商投诉。

替CP代收费的佣金看似不少；但相对于运营商的收入规模，实在是微不足道。所以，当运营商被代收费搞得焦头烂额，自然会想办法解决。

解决方案的核心，就是强化对订购关系的管理。

起初，中国移动将合伙类的业务放到DSMP平台上管理，到后来直接由BOSS系统来管理所有用户的订购关系。这样一来， SP（Service Provider）和CP只是增值业务的提供者和订购渠道，而增值业务的管理就由运营商自己来掌控了。

在这样的运营模式下，无论是用户在SP那里订购，还是通过运营商的渠道订购业务，所有的增值业务订购关系，都必须在运营商那里确认之后，才会正式生效，可以由运营商代为收费。

简而言之，就是互联网与用户之间的订购关系，以运营商侧的记录为准。

久而久之，运营商管理着客户的信息，同时又控制着客户所有订购/退订业务的情况，渐渐成为互联网业务提供者和最终客户之间的一道难以逾越的壁垒，也奠定了运营商在信息服务领域的霸主地位。

彼时，互联网企业之所以在运营商面前忍气吞声，是因为通过运营商代收费，几乎是当时互联网业务唯一的前向收入。

然而，中国的互联网发展非常迅猛，支付宝、微信支付等移动支付方式的兴起，打破了运营商在支付收费方面的垄断地位，产业格局发生了巨变。

既然不必通过运营商才能收到钱，那么互联网公司当然希望自己能管理订购关系，于是运营商掌控的订购关系不再完整。

新的问题就此出现。

订购关系的新问题

前面已经说过，完整的订购关系至少应该包括订购者、订购/退订时间、涉及的产品等，最核心的当然就是订购者。

然而，互联网公司往往允许用户以多个ID关联同一个账号，比如手机号、QQ号、邮箱等，并且提供了密码找回的手段，尽量满足用户便利登录的需求。

其中，手机号更已经被普遍当作"最后的堡垒"。

便利性提高的代价，是牺牲了安全性。在诸多可登录的ID之中，只要有一个出现问题，就可能给用户带来损失。

事实上，近年来出现的很多安全事件中，都有这样的情况发生：犯罪嫌疑人通过用户不常用的ID和一些冷门业务进行组合，最终冒用客户名义成功登录某网站，甚至攻破同一用户一连串的登录信息。

多个ID中有任何一个被攻破，都可能造成这样的后果；那么如果手机号这个ID不再安全，会有哪些可能的漏洞与风险？

我就以用户换号码为例，说说运营商管理订购关系，和互联网公司自己管理订购关系的差异。

如今，运营商的营销花样频出，尤其专注于抢夺新用户，再加上异地生活、工作需要等场景，经常会出现用户离网之后，换号重新入网。

用户离网这个行为，运营商知道，可互联网公司并不知道。

如果移动用户所有的订购关系都由运营商管理，那么在用户离网的时候，运营商有义务帮助客户清理订购关系，也就是说，运营商会通知相关的业务合作伙伴，解除与该客户的订购关系。

但如果订购关系由互联网公司自己管理呢？

运营商不知道销户的用户订购过哪家业务，他又该通知谁做订购关系注销呢？

而如果用户不去互联网公司主动清理，那互联网公司又怎么知道，这个用户已经注销了自己的移动号码呢？

也许有人会说：用户注册或者做其他操作时，要通过运营商的号码进行短信验证，这下运营商不就知道用户订过什么业务么？

对不起，这种场景下运营商只是提供了通信通道，并不会对内容进行检查和过滤，所以运营商只是知道一个互联网公司平台和一个客户进行了通信，但并不清楚他们之间发生了什么。

换个位置想一下，如果你是那个用户，你真的希望运营商对你的上网内容了解得一清二楚吗？

然后，最大的问题来了。

手机号码并不是无限多的，这个资源是限的。根据法律和业务规则，运营商为了提高号码利用率，对于已经销户的号码，在经过一段时间的冷冻期后，就可以重新启用。

此时，A用户已经销户的号码，会被重新分配给B用户使用。

而当这个号码去尝试登录的时候，互联网怎么能搞清楚，这到底是A用户，还是B用户？

这个时代发展太快了，会出现越来越多的新问题，等着我们去破解。

从目前来看，用户/消费者对订购关系的关注和保护意识非常差，有几个人会清楚地记录下自己的订购行为？

而且，一旦发生这方面的纠纷，往往相关信息只能由商家提供，所以消费者处于劣势。如果商家对订购关系的管理出现问题，那这笔糊涂账又该如何解？