>首页> IT >

“扫码点餐”中的个人信息风险

时间:2022-05-09 07:44:41       来源:财经E法

如果餐厅收集的个人信息同餐饮服务不直接相关,或没有采取对个人权益影响最小的方式,或不是限于实现处理目的的最小范围,都涉嫌过度收集并侵权。

文 |财经E法 刘畅

编辑|朱弢

四川德阳一名消费者在火锅店就餐时被要求扫码点餐,消费者认为该店获取的诸如手机号、生日、姓名、通讯录等信息与餐饮消费无关,侵犯其个人信息,遂起诉至法院。法院对此案审理后,判决餐厅停止侵权。

此案经由媒体披露后,引发公众关注。

现实中,案中消费者的经历非常常见,很多餐厅推广扫码点餐、结账,此举确实为消费者提供了方便,但在方便的另一面,很多人并没有意识自己的个人信息可能存在风险。

01

如何认定个人信息?

上述案例中的消费者认为,店家收集相关信息,既不合法、也不正当、更无必要,侵犯了个人信息。

火锅店方面则认为,微信头像、昵称、地区和性别属于网络化名,没有侵害个人信息的风险。

法院经审理认为,消费者就餐时,并无必要提供手机号、生日、姓名、地理位置、通讯录等与餐饮消费无关的信息。火锅店违反了收集、使用个人信息的合法、正当、必要原则的法律规定,侵犯了罗某的个人信息。

法院判决,餐厅停止侵权,于判决生效之日起10日内删除获取该消费者的个人信息。

扫码点餐已经非常普及,但多家餐饮店负责人表示,对“小程序搜集消费者微信信息是否违法”的问题并不了解。

“现在是疫情时期,其实不少消费者也并不太愿意接触服务员,”山东青岛一家餐厅的老板汪波对财经E法表示:“要是连这个信息(微信名)都不能收集,我们很难为消费者提供更便利的服务啊。”

这个观点并非汪波一人独有。多位受访餐馆负责人都认为,微信号等相关网络信息与受保护的“个人隐私”或“个人信息”很难画上等号。

餐厅负责人们的这种认知,源于对相关法律的不了解。

个人信息保护法(下称“个保法”)第四条规定:个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。

民法典则规定:个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。

那么,具体到“扫码点餐”这件事上,又该如何认定是否侵权呢?

世辉律师事务所合伙人王新锐则根据个保法相关规定认为,个人信息的范围非常广泛,其核心在与能否识别到个人,或者与个人产生关联。

他具体介绍,单独的微信头像、昵称、地区和性别,对于自然人而言不具有唯一性,无法直接识别或关联到个人,但如果商家同时收集消费者的手机号、唯一设备号等能识别到个人的信息,则通过这些信息的相互关系,能够识别出的自然人进行关联,那么就属于个人信息。

中央财经大学法学院数字经济与法治研究中心执行主任刘权补充介绍,如果通过扫码点餐提取的地区信息能判断出消费者的行踪轨迹,更属于敏感个人信息。

浙江省公共政策研究院研究员高艳东则强调,人们长期使用且较难修改的微信号、电子邮箱、淘宝账号等“已经属于自然人的数字化身份信息”,类似于电子身份证,可以很容易识别出自然人身份,也属于应当保护的个人信息。

02

餐厅为何爱扫码?

多位受访餐厅负责人表示,餐厅乐于采用小程序点餐,其实“是考虑到成本和盈利问题”,其中最重要的是节约人力成本。

汪波说,他所在的餐厅位于青岛市南区的偏中心地段,周末人流量较大,目前共有11个服务员。餐厅的上级主管曾算过一笔账:如果不使用扫码点餐程序,那么服务员数量就要增加到14个。

“一个服务员工资差不多4000元,增加3个人一年就要多支出14.4万元。”汪波表示。

另外,相当一部分餐厅在消费者进行扫码点餐时,都会要求消费者关注其公众号或注册小程序。这样一来,商家便可为消费者推送促销信息。

在郑州一家连锁餐厅负责人王义忠看来,通过优惠券引导的再次消费,每年可增加纯利润2万-3万元,同时还可以节约相当一笔广告费,“很多广告就是靠微信公众号发出去的”。

此外,扫码点餐还能节约诸如菜单印刷费这样的零星成本,积聚起来也是一笔相当的费用(平均每年约2万-3万元)。

一笔笔账算下来,就不难理解一些餐厅为什么热衷于推广扫码点餐了。

多位受访消费者皆有相同的经历,因为不愿意接受扫码点餐的方式,他们曾向餐厅索要纸质菜单,但被对方以“没有纸质菜单”为由拒绝。

学者们明确表示,这种做法违反法律规定。

根据消费者权益保护法规定,消费者享有公平交易的权利,以及自主选择商品或者服务的权利。

高艳东据此指出,餐厅拒绝提供纸质菜单,损害了消费者的公平交易权和知情权。此外,这种行为具有强制消费者授权收集个人信息的倾向,消费者自然有权拒绝。

刘权指出,餐厅要求必须扫码点餐,属于违法行为。个保法第16条明确规定:个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。

“扫码点餐不属于提供产品或者服务所必需的情形,消费者有权拒绝。同时,餐厅不得以消费者不同意扫码点餐为由拒绝提供服务。”刘权说。

03

收集信息边界何在?

微信也发现了现实中的问题,并于5月2日发布公告称,部分小程序开发者不合理地要求用户授权提供手机号等个人信息,中断了正常的使用流程,影响了用户的使用体验,同时会带来个人隐私信息泄露的风险。这种行为违反了平台运营规范中关于用户隐私和数据的要求。

微信方面建议,为了做好用户信息保护工作,并确保良好的用户体验,“请开发者不要在非必要情况下强制用户授权手机号;用户拒绝授权后,不得在用户每次重新打开小程序时频繁向用户询问、调用手机号授权接口。”

如发现小程序通过限制用户操作的方式,收集与服务无关的用户个人信息,平台将根据违规程度限制手机号授权等能力。

作为日常生活中经常用到的功能,部分商家开发的小程序在收集个人信息时确实面临诸多侵权风险。

高艳东指出,中国对个人信息的保护是基于‘超个人法益说’,即从社会秩序和网络安全角度出发保护个人信息,而非仅仅是保护个人权利,因为个人信息涉及交易安全、网络秩序等一系列问题。即使是个人授权信息处理者处理其个人信息,也不能违背公共信息安全和社会公共利益,否则将会受到相应处罚。

高艳东总结,在很多商业环境下,商家往往强制要求消费者授权上述信息,无授权即无法消费,且收集的信息是非必要信息,属于过度收集。同时很收集个人信息的行为缺乏正当目的,比如,收集个人信息是为了对消费者进行分类、筛选,形成精准的用户画像,进而施行精准营销或者“大数据杀熟”。显然在这种情况下,即使得到个人授权,商家收集信息的行为超出了合理范围、必要限度,或是目的不够正当,违反了个保法等法律。

但在实操中,餐厅应当如何规避侵权风险呢?

刘权认为,如果餐厅收集的个人信息同餐饮服务不直接相关,或没有采取对个人权益影响最小的方式,或不是限于实现处理目的的最小范围,就涉嫌过度收集消费者个人信息。

刘权还提醒,收集个人信息需要遵守法定的基本原则,即合法、正当、必要原则。

刘权建议,餐厅提供扫码点餐服务时,应当在显著的位置、清晰易懂的语言,真实、准确、完整地告知消费者收集和处理个人信息的目的、方式,收集的个人信息种类、保存期限等事项,并征得同意。如果涉及到收集处理生物识别、金融账户、行踪轨迹等敏感个人信息的,还应当提供收集的必要性证明以及对个人权益的影响。

刘权特别指出,个人信息的保存期限应以完成处理目所必要的最短时间。比如,当餐饮服务已实现或结束,就应当及时主动删除个人信息。

王新锐的观点则更为直接,餐厅在扫码点餐场景下只应收集与就餐相关的数据,例如,餐桌号、点餐的菜品、就餐人数等,避免收集与点餐或就餐服务无关的其他个人信息。另外,如果消费者拒绝扫码点餐的,应当提供其他点餐方式,不得强迫消费者进行扫码点餐,或因消费者不扫码点餐就拒不提供就餐服务。

关键词: 个人信息 或者其他 收集信息