您的位置:首页 > 关注 > 正文
世界讯息:来论|扫码点餐的便利需以遵守个人信息保护法为前提
来源:百度新闻      2023-06-25 12:18:29


【资料图】

消费者坐在餐位上扫码点单已然成为一种日常消费习惯,这种点餐方式在为消费者带来便利的同时,也带来了个人信息安全隐患。近日,上海市网信办、上海市市场监管局执法人员对星巴克、Shake Shack、天泰餐厅开展现场执法发现,这三家餐饮企业存在过度收集个人信息的行为。餐饮行业经营者的数据合规意识亟需提升。

本次执法发现,三家餐饮企业存在诱导消费者提供精准位置信息、频繁弹窗诱导消费者注册会员及关注公众号、频繁诱导索取用户姓名及手机号等问题,这些行为暴露了商家缺乏数据合规意识。《个人信息保护法》(以下简称“个保法”)第五条规定,处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。对个人信息的收集属于个人信息处理行为,属于个保法的规范事由。消费者的扫码点单行为在就餐现场完成,商家却诱导消费者提供精准位置信息,违反个人信息收集的必要原则;注册会员及关注公众号与点单消费之间并无直接关联性,商家诱导消费者注册会员及关注公众号违反个人信息收集的正当原则;消费者点单并无实名制要求,商家却频繁索要用户姓名、手机号码,违反合法原则。总体上看,这些餐饮企业违反了个保法所确立的个人信息处理之“告知-同意”原则。即除非法定原因,取得消费者的同意是处理个人信息的前提,而且基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出的。然而相关报道显示,有些商家点餐小程序在点餐过程中多次弹窗索要个人信息授权,如果不授权则无法使用扫码点单,此举构成平台内滥用优势地位,属于滥用知情同意原则。

我们已进入数据时代,个人数据具有人格利益和财产利益。这次对个人信息处理行为进行“亮剑”执法,是落实实施个保法的具体举措。从1970年德国黑森州颁布世界上第一部个人信息保护法开始,个人信息保护已成为互联网时代的关键议题。时至今日,欧盟《通用数据保护条例》、美国《加州消费者隐私保护法案》以及我国《个人信息保护法》等已成为典范性个人信息保护立法。各国家、地区不断增强个人信息保护的原因在于两个方面。一方面,个人信息具有人格属性,信息的不对称会影响个人的决策甚至人的自由意志。在欧盟,数据权利甚至上升至数字人权的高度,这说明对人自身尊严的捍卫是个人信息保护的出发点和终极目标。另一方面,个人信息具有财产属性,平台拥有信息可以获得行业内的竞争优势。以扫码点单场景为例,平台收集消费者的点单情况、姓名、电话等信息,形成数据集。通过对数据集进行数据挖掘,能够进一步优化菜单、菜品,甚至形成用户画像,能直接为平台带来经济价值。同时,平台也可以通过API接口等方式令其他平台可获取该数据集,能间接为平台带来经济价值。数据的价值在于利用,商家对数据的正当、合法、必要的利用是应当鼓励的,但不能超出个保法规定的限度。

从本次执法来看,传统餐饮企业尚未形成数据合规的行业共识。然而,在数字技术赋能实体经济发展的当下,传统企业已和数字技术深度结合,数字化生存成为新常态。正如三家企业负责人表示,他们对个保法等法律规定理解不到位,从而对个人信息进行了过度收集,引发了合规监管风险。因此,餐饮行业为代表的传统行业应增强数据合规意识,构建相应数据治理制度,加强对个人信息保护法律法规的遵守和执行。

具体而言,餐饮行业应当注意充分践行“告知-同意”原则,参照个保法等法律法规,餐饮行业应重点注意以下事项合规。第一,根据个保法第十七条第一款,个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知。消费者首次使用小程序扫码点单时,商家应通过“弹窗”等显著方式提示隐私政策;第二,根据个保法第十四条第一款,基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。商家不得以优化服务体验、提供会员折扣等名义诱导消费者授权精准位置信息或者手机号等个人信息,也不得在消费者拒绝关注企业公众号后,页面仍反复出现弹窗申请,影响消费者正常使用;第三,根据个保法第六条第二款,收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。商家不得超范围向消费者索取姓名、生日、性别、精准位置信息等与餐饮服务无关的敏感个人信息;第四,根据个保法第十六条,个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务。商家应完善扫码点单程序,在隐私政策中设置“同意”或“拒绝”的选项,不得强制消费者提供个人信息或拒绝提供点单服务,使用户在不授权微信、手机号登录的情况下仍然可以完成下单操作,在消费者拒绝授权后,不得存在频繁弹窗申请授权或消费者无法正常使用门店搜索功能的情况;第五,根据个保法第十条,任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。在未经消费者单独同意以及做匿名化处理的情况下,商家不得将消费者个人信息提供给第三方使用。

最后,餐饮企业日常处理大量个人数据,应当建立数据合规官的内控制度,确保各项数据处理行为合规。数据已经是第五大生产要素,商家完全可在充分尊重个保法的前提下,充分行使数据权利,享受数据红利。

(作者系上海政法学院经济法学院副教授、丝绸之路律师学院执行院长)

财经

Copyright @ 2008-2017 news.dfce.com.cn All Rights Reserved 东方财经网 版权所有 关于我们

联系我们:dfcjw@sohu3.com