热点点评 | 网络点餐服务合规指引 推动餐饮行业个人信息保护水平提升

 据“上海市消保委”微信公众号7月18日消息，上海市消保委结合餐饮领域扫码点餐个人信息保护暗访监督的经验，同上海市餐饮烹饪行业协会制定发布了《上海市网络点餐服务消费者个人信息保护合规指引》（后简称《指引》）。该《指引》涉及的服务场景切实体现在公众日常生活之中，涉及的强制扫码点餐、诱导公众号关注、强制广告推送、超范围搜集个人信息等问题皆广为群众诟病。

   就在不久前的 “亮剑浦江·消费领域个人信息权益保护专项执法行动”中，上海市网信办、上海市市场监管局约谈了星巴克、Shake Shack、天泰餐厅三家企业，要求全面整改过度收集个人信息的行为，切实履行个人信息保护义务，维护消费者的合法权益。针对餐饮行业普遍存在的强制索取用户手机号、诱导消费者提供精准位置信息、强制关注公众号等乱象，该事件敲山震虎，促进了上海市餐饮企业在个人信息保护领域的整体关注。
   此次《指引》的发布，是上海市在个人信息保护行业共治方面的一大标志性动作。整体而言，《指引》从以下几个方面为餐饮行业的个人信息保护提供了参考。

一

告知同意的实施

  《指引》强调“餐饮经营着在收集和使用消费者个人信息时，必须遵守相关法律法规，并获得消费者的明确同意。” 该条呼应了《个人信息保护法》第十四条之规定“基于个人同意处理个人信息的，该同意应当由个人在充分知情的前提下自愿、明确作出。”网络点餐服务中，涉及经营者收集、处理消费者个人信息的场景包含扫码点单、注册会员、扫码入群、参与营销活动等。根据《App违法违规收集使用个人信息行为认定方法》，为满足“公开收集使用规则”，在首次使用这些服务时，经营者应以弹窗或其他显著方式向消费者提示隐私政策，并争得消费者的明确同意。根据GB/T 42574-2023《信息安全技术 个人信息处理中告知和同意的实施指南》，明示同意的方式除了主动勾选，还可以采用主动填写、开启权限、个人声明、出示证件或使用身份识别信息进行授权等方式。经营者在提供不同服务时，可针对业务场景使用不同的同意机制。

二

超范围索权、诱导关注、强制推送问题

   《指引》对于该些问题提出具体要求：根据消费场景区分索取相适应的权限和信息、不得强制或诱导消费者关注公众号或推送商业营销信息。GB/T 35273-2020《信息安全技术 个人信息安全规范》中明确提出了在个人信息的收集阶段应遵循“最小必要”原则，“收集的个人信息的类型应与实现产品或服务的业务功能有直接关联”。对于点餐这一场景来说，手机号、地理位置信息、家庭住址、出生日期这些并非服务所必须的信息，不在“最小必要”的范围之内。相较于App的使用，小程序在餐饮行业更加普遍，索要定位权限、诱导关注公众号、诱导加群、强制定向推送广告这些特定问题值得被重点关注。此外，《指引》要求提供线下网络点餐服务的餐饮经营着应同时提供与线上产品保持一致的纸质菜单，给予消费者更多的选择空间。

三

账号注销与合规管理

 《指引》强调应保障消费者根据意愿注销账号、删除个人信息的权利，这呼应了《个人信息保护法》第四十七条中规定的个人享有 “删除权”和“撤回同意”的权利。具体的实践过程还可以参考GB/T 42574-2023《信息安全技术 个人信息处理中告知和同意的实施指南》 的“同意的撤回”部分，针对机制设计、实施和证据留存其皆有详细参考和要求。
此外，《指引》还规定了应在餐饮行业建立个人信息保护合规管理机制，并要求经营者承担个人信息保护主体责任、组织开展消费者个人信息保护教育培训。明确将个人信息保护纳入经营者责任范围，将合规管理融入日常业务的运营，落实了岗位责任制，为社会监督与行政介入提供了一条途径。

上海市本次从日常生活消费的视角出发，让个人信息保护工作直接关联餐饮行业日常运营，可让每一位消费者都切身感受到了变化。上海市消保委和上海市餐饮烹饪行业协会此举，可谓是行业共建共治的一次典型示范。在市场调节和政府干预之间，行业自治可以发挥独特作用，既降低了监管介入的成本，又规避了经营者的社会信誉损失，如此多方参与、共谋合规，有效挤压了弊病的生存空间，进而换取良好的发展环境。

（本文作者：深圳赛西信息技术有限公司  邹秋阳）