在餐厅时就餐时
扫码点单已成为常态
然而这里面蕴藏的数据合规风险
却往往被餐饮行业经营者所忽视
2021年7月27日,孔某至某餐饮公司用餐时,店员未告知孔某可以人工点餐,孔某通过前述手机扫码方式进行了点餐并结账,在这一过程中,孔某被注册为某餐饮公司的会员。孔某发现,其取消关注“某餐饮公司”微信公众号后,仍是某餐饮公司的会员,前述个人信息仍存储在某餐饮公司处,孔某无法自行删除。孔某认为,某餐饮公司设置的扫码点餐方式强制获取消费者的个人信息,且消费者无法自行删除储存在商家处的个人信息,遂将某餐饮公司诉至法院,要求停止侵害个人信息权益的行为、告知个人信息处理情况、赔礼道歉并赔偿相关损失。
北京三中院经审理认为,个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。根据民法典第一千零三十五条之规定,处理个人信息时,应当遵循合法、正当、必要原则,不得过度处理,并征得该自然人或者监护人同意。根据现有证据,2021年7月27日孔某在某餐饮公司用餐时,服务人员未告知孔某可以人工点餐,误导其以为只有扫码点餐一种服务方式。而某餐饮公司自行设置的扫码点餐程序要求孔某必须关注商家微信公众号,并授权其获取孔某的相关信息,属于变相强制获取消费者个人信息,故某餐饮公司构成侵权。
(案例来源:北京市第三中级人民法院)
扫码点餐中蕴含的法律问题
外出就餐,拿出手机扫描二维码进行点单,似乎已经是大家生活中稀松平常的一件事,菜单小程序中不仅可以看到菜品图片,也可以了解到该餐厅中哪道菜更受欢迎,数字化服务带来的便捷性不言而喻。
扫码点餐目前大致有三种类型:1.扫码直接点餐 2.扫码跳转微信小程序点餐 3.扫码关注公众号点餐。扫码点餐如不需要授权,能够实现即扫即点,对于消费者的信息也就不存在获取的问题,这也是广大消费者热衷的扫码点餐方式,当然,也有一些二维码点餐不仅仅只是方便点菜,经过消费者授权,消费者关注公众号、使用小程序点菜,这一部分也随之转化成为商家的“私域流量”。
可想而知的是,扫码点餐中暴露出的问题也在不断增多,比如诱导消费者授权提供与餐饮服务无关的个人信息、强制关注公众号、小程序频繁弹窗申请同意等等。由此可知,扫码点餐确也存在某些风险隐患,如侵犯消费者个人信息。权利义务终究相辅相成,商家在享受便利、吸引流量带来的收益时,也应该提高警惕,注意其中蕴含的法律风险。
《中华人民共和国个人信息保护法》于2021年8月20日通过,自2021年11月1日起施行。根据《中华人民共和国个人信息保护法》的精神,关于“扫码点餐”是否侵犯消费者个人信息,需看商家在“收集”消费者信息时是否做到“告知——知情——同意”,在“使用”时是否明确使用目的且在合理范围,是否采取相应的保护措施等等。
个人信息侵权需要承担哪些法律责任?
侵犯个人信息行为既有民事方面的侵权责任,也有行政处罚责任,如果涉及非法获取或出售公民个人信息达到规定情节的,还会引来刑事方面的法律责任。
(一)民事责任
《中华人民共和国个人信息保护法》第六十九条规定,处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。
前款规定的损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定;个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,根据实际情况确定赔偿数额。
(二)行政责任
《中华人民共和国个人信息保护法》第六十六条规定,违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
有前款规定的违法行为,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
(三)刑事责任
《中华人民共和国刑法》第二百五十三条之一规定,违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。
窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。
单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。
案例一:餐饮店扫码点餐过程中收集个人信息构成侵权
罗某某诉德阳市旌阳区某火锅个人信息保护纠纷案
审理法院:四川省德阳市旌阳区人民法院
案号:(2021)川0603民初6394号
基本案情:2021年8月10日中午,罗某某与朋友到某火锅店用餐,就坐后点餐时,火锅店的服务员告知:就餐必须“关注”火锅店的微信公众号才能点餐。罗某某要求使用纸质点餐,服务员明确告知,要“关注”火锅店的微信公众号才能获得其提供的服务。罗某某本次扫码点餐的流程为:打开微信,进入“某火锅”→点“关注”→进入的页面显示“某火锅店申请获得:你的微信头像、昵称、地区和性别信息”,页面显示“拒绝”“允许”选项→点“允许”后方能点餐。点击进入相关页面均由火锅服务员完成。
法院认为:消费者到餐厅就餐,餐厅要求现场就餐消费者关注公众号或小程序,再进行扫码点餐,不提供纸质的点餐方式,涉嫌侵害消费者的公平交易权,是设定不公平、不合理的交易条件,对现场就餐消费者的一种强制交易行为。扫码点餐应是可选项,而不应该成为唯一选项,应当由消费者决定是否扫码点餐,而不是由商家“一刀切”。消费者到餐厅就餐,并无必要提供手机号、生日、姓名、地理位置、通讯录等与餐饮消费无关的信息。但消费者扫码点餐不必然导致个人信息被侵害。如果仅仅关注公众号或小程序,餐厅不提取信息,不会导致消费者个人信息被侵害。关注公众号或小程序后,要求消费者提供身份证号、手机号、姓名等导致能识别特定自然人的,餐厅提取信息后,信息进入服务器后台,违反法律规定的搜集、使用个人信息的合法、正当、必要原则,涉嫌对消费者个人信息的过度收集,此时,餐厅涉嫌侵犯消费者个人信息。
《中华人民共和国民法典》第一千零三十四条第二款规定:“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。”《中华人民共和国个人信息保护法》第四条第一款规定:“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”罗某某在火锅店处用餐,用微信扫码,罗某某自然是已知既定个人,通过提取信息,火锅店知晓了罗某某的微信号、昵称、地区等信息,该信息为罗某某个人信息,依法应予保护。火锅店的服务员虽在未取得罗某某同意情况下,使用罗某某的手机扫码,其帮忙点餐的行为属善意,故对罗某某要求火锅店赔礼道歉的诉请不予支持。虽然火锅店的服务员属善意,但在罗某某未同意的情况下,搜集、存储了罗某某的个人信息,侵犯了罗某某的权利,火锅店应停止侵权,删除信息。《中华人民共和国个人信息保护法》第十五条第一款“基于个人同意处理个人信息的,个人有权撤回其同意”之规定,即使罗某某同意火锅店搜集信息,罗某某也可以撤回其同意,要求火锅店删除相关个人信息。
案例二:使用app非法获取他人个人信息后转卖牟利构成犯罪
成某某等侵犯公民个人信息罪
审理法院:毕节市七星关区人民法院
案号:(2020)黔0502刑初724号
基本案情:2019年12月2021年4月25日,被告人成某某等人合伙在毕节市七星关区成立以成忠富为法人的毕节优米优科技有限公司,并以公司名义通过网络发布招兼职广告,以每日保底130元的兼职工资招集社会人员、学生群体至毕节优米优公司,兼职人员按公司工作人员提供的需要注册的APP清单,使用自己的身份证、银行卡、手机号、支付宝、微信等个人信息按成某某等人的要求在自己的手机上下载并实名认证百余款手机软件APP。成某某等人收集到兼职人员实名认证注册的手机APP汇总后将APP注册账户、密码、电话号码、身份证等个人信息上传给上家贵阳优米优公司,以每个软件APP账户3元至140元不等的价格获利。2019年12月至2021年4月25日期间,成某某等人已买卖个人信息13895条,获利39664.8元人民币。
裁判结果:被告人成忠富犯侵犯公民个人信息罪,判处有期徒刑一年二个月,并处罚金人民币二万元。
扫码点餐,餐厅如何做好消费者数据合规?
对于扫码点餐出现的种种弊病,上海市消保委在今年“3·15”期间开展餐饮领域扫码点餐个人信息保护暗访监督的基础上,会同上海市餐饮烹饪行业协会于近日制定发布了《上海市网络点餐服务消费者个人信息保护合规指引》。针对网络点餐不同场景下餐饮经营者收集、使用、保管消费者个人信息等提出具体合规要求和操作准则。
《指引》重点内容如下:
(一)消费者个人信息收集和使用需合法、正当、必要和诚信。《指引》要求餐饮经营者在收集和使用消费者个人信息时,必须遵守相关法律法规,并获得消费者的明确同意。
(二)根据消费场景区分索取相适应的权限和信息。《指引》要求餐饮经营者需根据消费者登录、点餐、取号、加菜、结账等不同消费场景,合理索取相应的权限和信息,不得收集与餐饮服务无关的个人信息。
(三)不得强制或诱导消费者关注公众号或推送商业营销信息。《指引》要求餐饮经营者不得以任何形式和理由强制或诱导消费者关注经营者微信公众号,不得以任何形式和理由强制或诱导消费者同意餐饮经营者收集其与餐饮服务无关的个人信息。推送商业营销信息应当提供退订或拒绝选项。
(四)保障消费者可以根据意愿注销账号、删除个人信息。《指引》强调,餐饮经营者应当保障消费者可以根据意愿注销账号、删除个人信息,不得设置不必要、不合理条件。
(五)餐饮经营者提供线下网络点餐服务的,应当同时备纸质菜单,纸质菜单供应的服务产品须与线上产品保持一致性。
作为消费者,扫码点餐时应当注意什么?
为了更好地帮助消费者在扫码点餐时加强个人信息防护,上海市网信办还提出了针对堂食手机点餐的个人信息保护“六不”建议,希望社会公众共同提高个人信息权益保护意识,同时也对相关涉嫌违法违规行为进行线索举报。
(一)隐私政策不告知不继续
消费者第一次使用扫码点餐服务,扫描二维码后跳转到小程序页面点餐,但小程序并没有通过弹窗等显著方式向消费者告知隐私政策;或者在下单、登录等页面默认勾选隐私政策,默认允许向餐饮企业提供个人信息。消费者可以选择线下点单方式,或在后续扫码点餐服务中尽量避免提供个人信息。
(二)非必要个人信息不提供
消费者在到店点餐过程中(包括排队取号、每次加菜等环节)或买单页面,小程序要求或诱导消费者填写与餐饮服务无关的个人信息(包括姓名、生日、性别、手机号码、家庭住址、身份证号、银行账号等)。消费者对商家索取与餐饮服务无关的个人信息要警惕。
(三)一键登录要号码不允许
消费者扫码点单后出现“微信手机号一键登录”获取手机号、“微信一键登录”获取昵称和头像等弹窗提示,或者买单时要求提供手机号。消费者可以选择“拒绝”或“取消”按钮不提供。
(四)诱导给精准定位不同意
消费者扫码点单后,小程序以便利消费者选择附近门店等为由,申请位置权限以获取精准位置信息。消费者可以选择使用门店搜索功能完成下单。
(五)“被”会员诱关注不冲动
消费者扫码点单后,小程序以优化服务体验、提供会员折扣等名义,反复出现弹窗申请,诱导消费者授权精准位置或手机号等个人信息,或者诱导消费者关注企业公众号。消费者可以根据自身选择服务的需要谨慎提供个人信息。
(六)定向推营销广告不接受
消费者扫码点单后,小程序以提供便利、推送促销信息等名义,诱导消费者同意接受定向推送的广告营销信息。消费者可以拒绝或者根据自身需要选择同意,事先了解此类营销广告信息退订方式。
公民在面对个人信息收集时虽显得力不从心
但仍需加强自我保护和维权意识
关注自身信息的收集利用情况
遭遇个人信息被侵犯时
应及时向有关部门举报投诉
寻求司法救助以维护自身权益
参考法条:《上海市网络点餐服务消费者个人信息保护合规指引》、《中华人民共和国个人信息保护法》、《中华人民共和国网络安全法》、《中华人民共和国民法典》、《中华人民共和国刑法》《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》等。
参考文献:
(1)网信上海公众号:35000余家餐饮门店整改完成 个人信息保护合规指引推出——针对堂食手机点餐,上海市网信办提出个人信息保护“六不”建议
(2)罡扬正气公众号:罡扬原创 | “扫码点餐”应注意的法律问题
(3)金杜研究院公众号:取之有道,用之有节——“扫码”消费中的个人信息保护
添加微信咨询
咨询电话:
杨律师 18681551215
刘宇星 18851559981
