合规自查清单来了!专项行动后餐饮企业请查收|iLaw

前言：6月16日起，上海市网信办、市市场监管局联合市教委、市商务委、市通管局等多个行业主管部门，开展为期半年的“亮剑浦江·消费领域个人信息权益保护专项执法行动”，对个人信息领域的“过度采、强制要、诱导取、违规用”等违法行为开展集中整治。

6月19日下午，上海市网信办、市市场监管局会同徐汇网信办、黄浦网信办依法约谈了星巴克、Shake Shack、天泰餐厅，要求这三家企业针对过度收集个人信息的行为进行全面整改，切实履行个人信息保护义务，维护消费者的合法权益。

根据上海市网信办发出的提示，针对到店点餐环节，餐饮企业有关行为将涉嫌违法违规收集使用个人信息，因此企业应自觉主动予以整改，依法主动履行个人信息收集、使用的合规义务，具体问题详见：https:/‍/mp.weixin.qq.com/s/89HJXhL3tcMwtJwJVyUtGQ

市网信办于7月4日开展了第一期个人信息保护普法培训班，海底捞、桂满陇、达美乐、点都德、喜茶等80余家上海餐饮烹饪协会下属连锁餐饮企业相关负责人参加培训。

同时，7月17日，市网信办发文称35000余家餐饮门店整改完成，并协同市市场监督局、市商务委支持上海市消费者权益保护委员会和上海市餐饮烹饪行业协会发布了《上海市网络点餐服务消费者个人信息保护合规指引》，针对网络点餐不同场景下餐饮经营者收集、使用、保管消费者个人信息等提出了具体的合规要求和操作准则。

依据市网信办列举的八大“涉嫌违法违规收集使用个人信息”现象，我们相应整理了餐饮企业合规自查清单，并提供了自查关键词，以便企业快速对APP/小程序等应用程序的合规情况完成自查。

从前述合规义务中，我们不难看出，监管的核心主要落在“收集个人信息透明化，尊重消费者自主决定权”。对于商家而言，在收集个人信息之前，应当做到有效且透明的告知同意，不得诱导、不得频繁获取个人信息，不得因为用户拒绝提供非必要个人信息而拒绝提供产品或服务。

相较于《个人信息保护法》、《个人信息安全规范》以及《关于开展纵深推进APP侵害用户权益专项整治行动的通知》、《App违法违规收集使用个人信息行为认定方法》等，此次行动其实并未针对餐饮业施加额外的个人信息合规义务，而是切实抓住了当前餐饮业较为常见的滥用个人信息现象，例如“不关注公众号就无法点单”、“不授权精准位置信息就无法点单”、“收集不必要个人信息”等问题，实属抓住了餐饮消费领域长期以来的“痛点”。

在此背景下，建议相关餐饮消费企业予以重点关注，结合义务清单对照自身情况进行及时整改，以免引发不必要的合规风险。

为了进一步帮助餐饮企业理解本次专项行动核查重点的合规要点，我们也整理了行业实践为企业的进一步整改工作提供依据和参考。

01

合规依据：《个人信息保护法》第七条、第十七条；《关于开展纵深推进APP侵害用户权益专项整治行动的通知》；《App违法违规收集使用个人信息行为认定方法》

合规义务：消费者首次使用小程序扫码点单时，商家应通过“弹窗”等显著方式向消费者提示隐私政策等协议。

实践参考：当消费者首次扫码登录商家提供的点餐界面时，商家以“弹窗“形式提示了《用户服务协议》与《用户隐私使用协议》。协议明确告知消费者个人信息的收集使用的方式、目的、范围等内容。

02

合规依据：《个人信息保护法》第十四条；《关于开展纵深推进APP侵害用户权益专项整治行动的通知》；《App违法违规收集使用个人信息行为认定方法》

合规义务：商家在服务协议和隐私政策中应设置“同意”或“拒绝”的选项，尊重消费者对其个人信息的自主决定权。

实践参考：商家在消费者首次使用点餐服务时，向消费者提供了如图所示的《隐私政策》《用户服务协议》等条款，并设置了如图所示的同意与不同意的选项供消费者选择。

03

合规依据：《个人信息保护法》第十四条；《关于开展纵深推进APP侵害用户权益专项整治行动的通知》；《App违法违规收集使用个人信息行为认定方法》

合规义务：商家应在合理范围内收集为提供餐饮服务所必要的个人信息，应避免超范围索取个人敏感信息（包括姓名、生日、性别、家庭住址、身份证号、银行账号等）。

实践参考：商家在《隐私政策》中告知了需要收集和使用的消费者个人信息的范围，并说明所收集、使用的个人信息的用途、目的等内容，并明确说明了前述收集使用内容系商家提供商品或服务所必须的信息。

04

合规依据：《个人信息保护法》第十六条；《关于开展纵深推进APP侵害用户权益专项整治行动的通知》；《App违法违规收集使用个人信息行为认定方法》

合规义务：商家应尊重消费者对其个人信息的处理行为，不得以消费者拒绝授权处理其个人信息为由，拒绝提供产品或者服务。

实践参考：如图所示，商家在试图收集消费者的个人信息时，给消费者提供了拒绝的选项，即“暂时跳过”。即使消费者选择“暂时跳过”拒绝授权相关个人信息，也仍然能够继续使用点单服务。

05

合规依据：《个人信息保护法》第六条、第十六条；《关于开展纵深推进APP侵害用户权益专项整治行动的通知》；《App违法违规收集使用个人信息行为认定方法》

合规义务：商家不应强制索取消费者的精准位置信息等个人信息，不得以消费者未提供精准位置信息为由拒绝提供产品或者服务。

实践参考：商家提供了选择商店的不同方式，包括“开启定位”与“手动选择”，消费者可以授权位置信息直接使用定位服务，也有权拒绝授权位置信息通过手动选择、搜索的方式选择商店。无论消费者是否授权其精准位置信息，均不影响其正常使用商家的服务。

06

合规依据：《关于开展纵深推进APP侵害用户权益专项整治行动的通知》；《App违法违规收集使用个人信息行为认定方法》

合规义务：商家在申请位置信息时应注意适当的频率，从而避免因申请授权频率过高对消费者造成不必要的打扰，并提供多种选择门店的方式。

实践参考：如图所示，在消费者拒绝提供位置信息的授权后，商家提供了搜索功能以替代精准定位服务选取商店，在此过程中避免频繁索取消费者精准位置信息。

07
合规依据：《个人信息保护法》第五条、第六条；《关于开展纵深推进APP侵害用户权益专项整治行动的通知》；《App违法违规收集使用个人信息行为认定方法》

合规义务：商家不得以优化服务体验、提供会员折扣等名义诱导获取消费者的个人信息，应当以适当频率就索取消费者个人信息的申请进行提示。

实践参考：商家在消费者使用服务的过程中分别以弹窗、注册会员窗口等形式告知消费者关于会员优惠的内容，从而提供消费者选择是否加入并授权个人信息的权利，但不会频繁以此向消费者索取个人信息。

08

合规依据：《个人信息保护法》第二十三条；《关于开展纵深推进APP侵害用户权益专项整治行动的通知》；《App违法违规收集使用个人信息行为认定方法》

合规义务：商家将消费者个人信息提供给第三方使用的，应当获得消费者同意，并采取匿名化处理等保护措施。

实践参考：商家在《向第三方提供个人信息情况的说明》或者在《隐私政策》中增加相关说明等不同的形式告知消费者向第三方提供个人信息的具体情况，并设置同意与拒绝的选项征求消费者的同意。

来源：数据法律观察