近年来,随着数字经济的发展,国内大大小小的餐饮企业都推出了“扫码点餐”服务,消费者只需扫描餐桌上的二维码即可下单,大大提高了用餐效率。加之2020年突如其来的新冠疫情,更使得非接触式的“扫码点餐”大规模普及,既应对了服务人力不足的问题,也节省了人工成本。不过,这一方式在提高餐饮企业运营效率、减少人员接触的同时,也带来过度收集就餐客户个人信息、企业数据不合规等新问题。
“扫码点餐”常见的应用场景及操作逻辑一般为:
商家在餐桌上张贴点单二维码——顾客用手机扫码点餐——授权个人信息使用(授权许可使用顾客的微信账号头像、个人电话号码等)——服务小票自助打印——送餐上桌——扫码结账——会员系统数据入库——后期营销推广发布广告。
根据笔者自己在日常生活中线下门店的就餐体验,发现不少商家都需要消费者先关注餐厅公众号,然后才能进入公众号进行点餐操作;有些还比较隐蔽,在消费者扫码点餐授权后自动关注了该店的公众号。有时候某些扫码初看并无异样,而当选定商品加入购物车准备结账时,才发现需要微信一键登录,页面下方有一排小字提示:“授权登录即表示已阅读并同意《会员须知》、《隐私协议》。点击一键登录则跳出“××点单”申请获得昵称、头像、地区等信息。如果选择拒绝,则无法完成结账下单。
一、《个人信息保护法》之下的“扫码点餐”
通过分析目前大多数餐饮企业的“扫码点餐”业务逻辑,笔者认为,随着今年11月1日《个人信息保护法》(以下简称《个保法》)的正式施行,诸如此类“扫码点餐”较大概率涉嫌违反《个保法》中对于个人数据合规处理的要求,主要原因有以下几点:
首先,目前市面上常见的“扫码点餐”流程中的行为,已属于个人信息的收集行为。按照《个人信息保护法》第四条规定:“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。”鉴于商家在点餐之前需要获得顾客的微信账号头像和昵称、手机号码、所在地区等信息,因此这些常见的“扫码点餐”已经属于《个保法》中规定的“个人信息的收集行为”,而餐饮企业在就餐业务场景中已成为“个人信息处理者”的角色,相较“扫码点餐”被市场上大规模推广之前,在提供餐饮服务中,其不仅负有保证菜品质量的法律责任,还进一步加重了自身对于客户的个人信息数据合规保护的法律责任。
其次,“扫码点餐”没有严格遵守《个保法》中规定的“最小必要”数据采集原则。按照《个保法》第六条规定:“处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。”因为针对就餐业务场景来说,顾客的姓名、性别、微信号、电话号码都是跟就餐没有直接关联性的个人信息,商家一般情况下只需要知道“桌号+就餐人数+菜品数量”就可以提供餐饮服务,而就餐顾客的微信账号、头像昵称、电话号码、所在地区等个人信息,均与餐饮服务缺乏必要的关联性。
再者,某些“扫码点餐”二维码小程序在顾客拒绝关注微信公众号或提供上述个人信息的时候,就无法提供点餐服务,则明显有违《个保法》第十六条的规定:“个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。”虽然《个保法》就采集个人信息有豁免例外规定,但例外情形必须满足基于该数据采集行为,与所提供的产品或服务之间存在紧密关联这一条件,而针对门店就餐而言,顾客对于个人信息采集有法定的拒绝权利,如果不提供就不能点餐也无法提供纸质菜单替代,无疑是剥夺了顾客的就餐选择权,假如该餐馆周边没有其他餐馆替代者或者是在合理范围内具有独家垄断的餐饮服务提供者,那么该行为客观上也属于隐性强制采集个人信息的违法行为。
二、“扫码点餐”后续涉及的个人信息保护问题
笔者认为,对于顾客“扫码点餐”更为令人不安的地方,还不仅仅在于个人信息数据采集端的问题,事实上不少餐饮商家将获取顾客“扫码点餐”之后披露的个人信息,存在用于自动默认加入会员系统、进行营销推广等目的,还将涉及这些客户的个人数据是否存在泄露风险等合规问题。
一、自动默认扫码后的顾客加入会员系统的问题
顾客“扫码点餐”的目的仅仅是为了本次就餐,但如果将“扫码点餐”的顾客自动加入企业会员库的话,而该行为事先没有充分披露,也没有获得顾客“明示同意”,而是系统自动默认,则存在涉嫌违反《个保法》中“告知+同意”的基本原则。
根据《个保法》第十七条的规定:“个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:
(一)个人信息处理者的名称或者姓名和联系方式;
(二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;”
而大部分“扫码点餐”的页面并无上述具体的告知内容,甚至顾客都不知道餐馆经营者的详细信息、个人信息会保存多久、作为会员的权利义务、退出会员如何操作等必要的告知内容,这样的个人信息采集流程是不符合数据合规的基本要求的。
二、个人信息的处理应当经过个人在充分知情的前提下自愿、明确的同意
“扫码”之后个人信息的存储、使用、提供等都属于个人信息的处理范围,按照《个保法》第十四条的规定:“基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。”对于顾客“明示同意”的授权许可方式更不能将拟开放的权限选择项以自动打勾的方式展现,而是需要让顾客自己进行勾选方可符合上述“明示同意”的认定标准,而部分“扫码点餐”小程序在获取用户授权的时候,却是将权限选项自动进行勾选,甚至在“拒绝--同意”按钮的设置上自动默认在“同意”一栏高亮显示,就餐顾客在点击“同意”之前可能都无法仔细关注自己到底开放授权了哪些权限。
三、餐饮企业如何安全存储及合规使用、处理
目前针对此问题也没有一个清晰的标准来执行,甚至大部分涉及姓名手机号码等数据都采用明码录入,没有去标识化保存,内部缺乏一整套完善的数据合规业务操作规范,很容易被外泄而导致个人信息数据被非法使用,甚至用于违法犯罪活动。
四、第三方合规使用数据的问题
部分餐饮商家从节省成本角度出发,采购的“扫码点餐”小程序可能是跟外部的软件开发者合作,购买第三方服务器用于存储数据,这样就带来更为严峻的数据合规性挑战--如何约束第三方合规使用数据的问题?
按照《个保法》第二十一条的规定:“个人信息处理者委托处理个人信息的,应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等,并对受托人的个人信息处理活动进行监督。”
就餐顾客在“扫码点餐”往往并只知晓个人信息数据是许可披露给餐馆,但是否存在向第三方披露授权无从知晓,页面上也并不会充分告知。同时,餐馆经营者是否跟第三方软件开发者签订过相关数据合规保护协议?如何监督第三方合规使用?是否评估过第三方的数据保护措施?就大多数餐饮行业的商家来说,似乎尚无法向公众给出满意的答案。而这恰恰是作为收集到就餐顾客个人信息的餐饮企业应当履行的个人信息保护的法定义务。
三、结语
笔者认为“扫码点餐”看似是一个很小的经营行为中的一环,背后隐含的数据合规法律风险却是巨大的。当下与个人信息数据的泄露、非法获取个人信息数据相关的电信网络诈骗事件层出不穷,加大了企业在经营中的数据违规风险。随着《网络安全法》《数据安全法》《个人信息保护法》等专项法案的出台实施,目前全社会对个人信息保护的意识正逐步强化,作为企业经营者的管理思路、合规理念也得跟上数字化时代发展的趋势。
本文作者:上海申浩律师事务所合伙人 卢骏律师
本文内容仅代表作者个人观点,依据作者个人对法律、案例以及结合自身经验而形成,不对其准确性做完全的保证,不代表申浩律师事务所的法律意见或对法律的解读。
本文为申浩律师事务所律师原创,版权归署名的作者所有,转载须经作者本人同意。本文可通过微信转发功能全文无修改之转发,不允许通过复制等方式全部或部分的方式于其他账号中的再次发表。
如您需要法律意见或其他专家意见,应当向具有相关资格的专业人士寻求专业的法律帮助。