(資料圖)

消費者坐在餐位上掃碼點單已然成為一種日常消費習(xí)慣，這種點餐方式在為消費者帶來便利的同時，也帶來了個人信息安全隱患。近日，上海市網(wǎng)信辦、上海市市場監(jiān)管局執(zhí)法人員對星巴克、Shake Shack、天泰餐廳開展現(xiàn)場執(zhí)法發(fā)現(xiàn)，這三家餐飲企業(yè)存在過度收集個人信息的行為。餐飲行業(yè)經(jīng)營者的數(shù)據(jù)合規(guī)意識亟需提升。

本次執(zhí)法發(fā)現(xiàn)，三家餐飲企業(yè)存在誘導(dǎo)消費者提供精準(zhǔn)位置信息、頻繁彈窗誘導(dǎo)消費者注冊會員及關(guān)注公眾號、頻繁誘導(dǎo)索取用戶姓名及手機號等問題，這些行為暴露了商家缺乏數(shù)據(jù)合規(guī)意識。《個人信息保護法》（以下簡稱“個保法”）第五條規(guī)定，處理個人信息應(yīng)當(dāng)遵循合法、正當(dāng)、必要和誠信原則，不得通過誤導(dǎo)、欺詐、脅迫等方式處理個人信息。對個人信息的收集屬于個人信息處理行為，屬于個保法的規(guī)范事由。消費者的掃碼點單行為在就餐現(xiàn)場完成，商家卻誘導(dǎo)消費者提供精準(zhǔn)位置信息，違反個人信息收集的必要原則；注冊會員及關(guān)注公眾號與點單消費之間并無直接關(guān)聯(lián)性，商家誘導(dǎo)消費者注冊會員及關(guān)注公眾號違反個人信息收集的正當(dāng)原則；消費者點單并無實名制要求，商家卻頻繁索要用戶姓名、手機號碼，違反合法原則。總體上看，這些餐飲企業(yè)違反了個保法所確立的個人信息處理之“告知－同意”原則。即除非法定原因，取得消費者的同意是處理個人信息的前提，而且基于個人同意處理個人信息的，該同意應(yīng)當(dāng)由個人在充分知情的前提下自愿、明確作出的。然而相關(guān)報道顯示，有些商家點餐小程序在點餐過程中多次彈窗索要個人信息授權(quán)，如果不授權(quán)則無法使用掃碼點單，此舉構(gòu)成平臺內(nèi)濫用優(yōu)勢地位，屬于濫用知情同意原則。

我們已進入數(shù)據(jù)時代，個人數(shù)據(jù)具有人格利益和財產(chǎn)利益。這次對個人信息處理行為進行“亮劍”執(zhí)法，是落實實施個保法的具體舉措。從1970年德國黑森州頒布世界上第一部個人信息保護法開始，個人信息保護已成為互聯(lián)網(wǎng)時代的關(guān)鍵議題。時至今日，歐盟《通用數(shù)據(jù)保護條例》、美國《加州消費者隱私保護法案》以及我國《個人信息保護法》等已成為典范性個人信息保護立法。各國家、地區(qū)不斷增強個人信息保護的原因在于兩個方面。一方面，個人信息具有人格屬性，信息的不對稱會影響個人的決策甚至人的自由意志。在歐盟，數(shù)據(jù)權(quán)利甚至上升至數(shù)字人權(quán)的高度，這說明對人自身尊嚴(yán)的捍衛(wèi)是個人信息保護的出發(fā)點和終極目標(biāo)。另一方面，個人信息具有財產(chǎn)屬性，平臺擁有信息可以獲得行業(yè)內(nèi)的競爭優(yōu)勢。以掃碼點單場景為例，平臺收集消費者的點單情況、姓名、電話等信息，形成數(shù)據(jù)集。通過對數(shù)據(jù)集進行數(shù)據(jù)挖掘，能夠進一步優(yōu)化菜單、菜品，甚至形成用戶畫像，能直接為平臺帶來經(jīng)濟價值。同時，平臺也可以通過API接口等方式令其他平臺可獲取該數(shù)據(jù)集，能間接為平臺帶來經(jīng)濟價值。數(shù)據(jù)的價值在于利用，商家對數(shù)據(jù)的正當(dāng)、合法、必要的利用是應(yīng)當(dāng)鼓勵的，但不能超出個保法規(guī)定的限度。

從本次執(zhí)法來看，傳統(tǒng)餐飲企業(yè)尚未形成數(shù)據(jù)合規(guī)的行業(yè)共識。然而，在數(shù)字技術(shù)賦能實體經(jīng)濟發(fā)展的當(dāng)下，傳統(tǒng)企業(yè)已和數(shù)字技術(shù)深度結(jié)合，數(shù)字化生存成為新常態(tài)。正如三家企業(yè)負(fù)責(zé)人表示，他們對個保法等法律規(guī)定理解不到位，從而對個人信息進行了過度收集，引發(fā)了合規(guī)監(jiān)管風(fēng)險。因此，餐飲行業(yè)為代表的傳統(tǒng)行業(yè)應(yīng)增強數(shù)據(jù)合規(guī)意識，構(gòu)建相應(yīng)數(shù)據(jù)治理制度，加強對個人信息保護法律法規(guī)的遵守和執(zhí)行。

具體而言，餐飲行業(yè)應(yīng)當(dāng)注意充分踐行“告知－同意”原則，參照個保法等法律法規(guī)，餐飲行業(yè)應(yīng)重點注意以下事項合規(guī)。第一，根據(jù)個保法第十七條第一款，個人信息處理者在處理個人信息前，應(yīng)當(dāng)以顯著方式、清晰易懂的語言真實、準(zhǔn)確、完整地向個人告知。消費者首次使用小程序掃碼點單時，商家應(yīng)通過“彈窗”等顯著方式提示隱私政策；第二，根據(jù)個保法第十四條第一款，基于個人同意處理個人信息的，該同意應(yīng)當(dāng)由個人在充分知情的前提下自愿、明確作出。商家不得以優(yōu)化服務(wù)體驗、提供會員折扣等名義誘導(dǎo)消費者授權(quán)精準(zhǔn)位置信息或者手機號等個人信息，也不得在消費者拒絕關(guān)注企業(yè)公眾號后，頁面仍反復(fù)出現(xiàn)彈窗申請，影響消費者正常使用；第三，根據(jù)個保法第六條第二款，收集個人信息，應(yīng)當(dāng)限于實現(xiàn)處理目的的最小范圍，不得過度收集個人信息。商家不得超范圍向消費者索取姓名、生日、性別、精準(zhǔn)位置信息等與餐飲服務(wù)無關(guān)的敏感個人信息；第四，根據(jù)個保法第十六條，個人信息處理者不得以個人不同意處理其個人信息或者撤回同意為由，拒絕提供產(chǎn)品或者服務(wù)。商家應(yīng)完善掃碼點單程序，在隱私政策中設(shè)置“同意”或“拒絕”的選項，不得強制消費者提供個人信息或拒絕提供點單服務(wù)，使用戶在不授權(quán)微信、手機號登錄的情況下仍然可以完成下單操作，在消費者拒絕授權(quán)后，不得存在頻繁彈窗申請授權(quán)或消費者無法正常使用門店搜索功能的情況；第五，根據(jù)個保法第十條，任何組織、個人不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息。在未經(jīng)消費者單獨同意以及做匿名化處理的情況下，商家不得將消費者個人信息提供給第三方使用。

最后，餐飲企業(yè)日常處理大量個人數(shù)據(jù)，應(yīng)當(dāng)建立數(shù)據(jù)合規(guī)官的內(nèi)控制度，確保各項數(shù)據(jù)處理行為合規(guī)。數(shù)據(jù)已經(jīng)是第五大生產(chǎn)要素，商家完全可在充分尊重個保法的前提下，充分行使數(shù)據(jù)權(quán)利，享受數(shù)據(jù)紅利。

（作者系上海政法學(xué)院經(jīng)濟法學(xué)院副教授、絲綢之路律師學(xué)院執(zhí)行院長）