來論|掃碼點餐的便利需以遵守個人信息保護法為前提
(相關資料圖)
消費者坐在餐位上掃碼點單已然成為一種日常消費習慣,這種點餐方式在為消費者帶來便利的同時,也帶來了個人信息安全隱患。近日,上海市網信辦、上海市市場監管局執法人員對星巴克、Shake Shack、天泰餐廳開展現場執法發現,這三家餐飲企業存在過度收集個人信息的行為。餐飲行業經營者的數據合規意識亟需提升。
本次執法發現,三家餐飲企業存在誘導消費者提供精準位置信息、頻繁彈窗誘導消費者注冊會員及關注公眾號、頻繁誘導索取用戶姓名及手機號等問題,這些行為暴露了商家缺乏數據合規意識。《個人信息保護法》(以下簡稱“個保法”)第五條規定,處理個人信息應當遵循合法、正當、必要和誠信原則,不得通過誤導、欺詐、脅迫等方式處理個人信息。對個人信息的收集屬于個人信息處理行為,屬于個保法的規范事由。消費者的掃碼點單行為在就餐現場完成,商家卻誘導消費者提供精準位置信息,違反個人信息收集的必要原則;注冊會員及關注公眾號與點單消費之間并無直接關聯性,商家誘導消費者注冊會員及關注公眾號違反個人信息收集的正當原則;消費者點單并無實名制要求,商家卻頻繁索要用戶姓名、手機號碼,違反合法原則。總體上看,這些餐飲企業違反了個保法所確立的個人信息處理之“告知-同意”原則。即除非法定原因,取得消費者的同意是處理個人信息的前提,而且基于個人同意處理個人信息的,該同意應當由個人在充分知情的前提下自愿、明確作出的。然而相關報道顯示,有些商家點餐小程序在點餐過程中多次彈窗索要個人信息授權,如果不授權則無法使用掃碼點單,此舉構成平臺內濫用優勢地位,屬于濫用知情同意原則。
我們已進入數據時代,個人數據具有人格利益和財產利益。這次對個人信息處理行為進行“亮劍”執法,是落實實施個保法的具體舉措。從1970年德國黑森州頒布世界上第一部個人信息保護法開始,個人信息保護已成為互聯網時代的關鍵議題。時至今日,歐盟《通用數據保護條例》、美國《加州消費者隱私保護法案》以及我國《個人信息保護法》等已成為典范性個人信息保護立法。各國家、地區不斷增強個人信息保護的原因在于兩個方面。一方面,個人信息具有人格屬性,信息的不對稱會影響個人的決策甚至人的自由意志。在歐盟,數據權利甚至上升至數字人權的高度,這說明對人自身尊嚴的捍衛是個人信息保護的出發點和終極目標。另一方面,個人信息具有財產屬性,平臺擁有信息可以獲得行業內的競爭優勢。以掃碼點單場景為例,平臺收集消費者的點單情況、姓名、電話等信息,形成數據集。通過對數據集進行數據挖掘,能夠進一步優化菜單、菜品,甚至形成用戶畫像,能直接為平臺帶來經濟價值。同時,平臺也可以通過API接口等方式令其他平臺可獲取該數據集,能間接為平臺帶來經濟價值。數據的價值在于利用,商家對數據的正當、合法、必要的利用是應當鼓勵的,但不能超出個保法規定的限度。
從本次執法來看,傳統餐飲企業尚未形成數據合規的行業共識。然而,在數字技術賦能實體經濟發展的當下,傳統企業已和數字技術深度結合,數字化生存成為新常態。正如三家企業負責人表示,他們對個保法等法律規定理解不到位,從而對個人信息進行了過度收集,引發了合規監管風險。因此,餐飲行業為代表的傳統行業應增強數據合規意識,構建相應數據治理制度,加強對個人信息保護法律法規的遵守和執行。
具體而言,餐飲行業應當注意充分踐行“告知-同意”原則,參照個保法等法律法規,餐飲行業應重點注意以下事項合規。第一,根據個保法第十七條第一款,個人信息處理者在處理個人信息前,應當以顯著方式、清晰易懂的語言真實、準確、完整地向個人告知。消費者首次使用小程序掃碼點單時,商家應通過“彈窗”等顯著方式提示隱私政策;第二,根據個保法第十四條第一款,基于個人同意處理個人信息的,該同意應當由個人在充分知情的前提下自愿、明確作出。商家不得以優化服務體驗、提供會員折扣等名義誘導消費者授權精準位置信息或者手機號等個人信息,也不得在消費者拒絕關注企業公眾號后,頁面仍反復出現彈窗申請,影響消費者正常使用;第三,根據個保法第六條第二款,收集個人信息,應當限于實現處理目的的最小范圍,不得過度收集個人信息。商家不得超范圍向消費者索取姓名、生日、性別、精準位置信息等與餐飲服務無關的敏感個人信息;第四,根據個保法第十六條,個人信息處理者不得以個人不同意處理其個人信息或者撤回同意為由,拒絕提供產品或者服務。商家應完善掃碼點單程序,在隱私政策中設置“同意”或“拒絕”的選項,不得強制消費者提供個人信息或拒絕提供點單服務,使用戶在不授權微信、手機號登錄的情況下仍然可以完成下單操作,在消費者拒絕授權后,不得存在頻繁彈窗申請授權或消費者無法正常使用門店搜索功能的情況;第五,根據個保法第十條,任何組織、個人不得非法收集、使用、加工、傳輸他人個人信息,不得非法買賣、提供或者公開他人個人信息。在未經消費者單獨同意以及做匿名化處理的情況下,商家不得將消費者個人信息提供給第三方使用。
最后,餐飲企業日常處理大量個人數據,應當建立數據合規官的內控制度,確保各項數據處理行為合規。數據已經是第五大生產要素,商家完全可在充分尊重個保法的前提下,充分行使數據權利,享受數據紅利。
(作者系上海政法學院經濟法學院副教授、絲綢之路律師學院執行院長)
關鍵詞:
相關文章
精彩推送
iOS/iPadOS 17 Beta 2更新 升級需要同一Apple ID|環球觀天下
蘋果于6月22日為iPhone和iPad用戶推送了iOS iPadOS17開發者預覽版Beta2
