图为某餐饮店餐桌上张贴的点餐码。
右图为消费者通过小程序支付账单时仍被索取手机号等信息。均 栗思 摄
1月11日中午,李女士和朋友相约在“PUTIEN(陆家嘴中心)店”就餐。看到桌面上张贴的点餐码,她熟练地掏出手机,打开微信扫码,一条“关注公众号”的提醒就弹了出来。回想起手机微信里五花八门的餐厅公众号,李女士不由得叹了口气,虽无奈但还是按下了“关注”按钮,开始选择菜品。
逢年过节,手机里接收的除了亲友祝福,还有来自形形色色公众号的“问候”,李女士不胜其扰。更让她担忧的是,扫码点餐背后还暗藏着信息收割的陷阱。
去年4月起,上海市消保委就多次呼吁“餐厅应该不收集或者尽可能少收集消费者的信息”,腾讯公司也向开发者推送了关于自查“扫码点餐强制关注公众号”问题的通知。据悉,腾讯已于今年1月17日起对此类问题进行核查,违规的商家将被限制通过扫码打开公众号的功能。1个多月过去了,餐厅自查的整改情况如何?记者去沪上多家餐厅开展了调查走访。
个人信息是“香饽饽”
记者走访了几家商场,扫描了佬肥猫、新白鹿、避风塘、百春原、汤小罐、小满手工粉等近20家餐厅的点餐码,观察商户收集个人信息情况。总体来看,走访的所有餐厅在扫码点餐时都无需关注公众号,使用小程序即可实现点餐功能,其中有不少使用的是来自同一个第三方平台开发的点餐系统。此外,大部分餐厅也提供了除扫码点餐外的纸质菜单。
不过,记者留意到,即便不强制消费者关注公众号,但用各种环节套取消费者信息的情况仍存在。在北外滩来福士的米桃江南苏锡菜餐厅,记者用手机扫桌上的点餐码,立刻跳出了“储值1000送100”的提示。记者并不想充值,可如果不翻过这个广告,就没法点餐,且页面上只有一个“点我授权”的选项。不得已,记者只能点了“点我授权”,结果就被要求提供微信昵称、头像。还好,这个环节有“拒绝”选项,记者选择“拒绝”后,发现也能进入点餐页面,并完成点餐。但奇怪的是,在结账页面,该小程序又申请获取点餐人的手机号码,如果取消,就不能结账。也就是说,从点餐到结账,这个小程序总共3次索取消费者个人信息,且最后仍成功获取了手机号码。
微信昵称、头像、地理位置等个人信息,在商户眼中是“香饽饽”。百春原(世纪百联店)、汤小罐(世纪百联店)、南翔小笼馒头(世纪百联店)在扫码点餐前仍要求消费者授权提供微信昵称、头像等,佬肥猫则要求获取位置信息。此外,记者试图注销曾在一餐饮店授权给“一店一购”小程序的个人信息,但迟迟未找到注销入口。更值得注意的是,过度收集个人信息的问题不仅存在于餐饮领域。不少市民致电12345市民服务热线反映,开具电子发票、选择配送服务等其他事务,“索要个人信息”也已成了商家统一的操作。2月初,杜先生前往金桥路600号泡温泉,进门取号时被要求关注公众号并提供手机号码。“这不是强制收集用户信息吗?为什么不能提供非扫码的方式呢?”
屡禁不止为后续营销
餐厅等服务企业能不能提供不索取个人信息的小程序、App呢?答案是肯定的。
记者了解到,这类服务企业使用的点餐结账信息服务大多来自第三方软件服务商,相关服务商会提供对应的模块,包括推送广告、是否索取个人信息、索取哪些个人信息等。“这些模块不是固定不变的,而是根据客户需求可以增删。只要客户表示不需要这些服务,完全可以满足他们的需求。”某点餐服务软件商的工程师说,大部分服务企业都会或多或少地收集用户数据,“都是为了后续营销”。他举例说,如果要求用户关注公众号,那么意味着餐饮企业能够提供丰富的推送内容,包括产品信息、优惠信息等;如果获得了用户的手机号码,那么可以通过短信的形式发送广告,“现在都讲究精准营销、私域流量,通过一次消费来积累自己的客户群体,已成为惯例”。
常见的扫码点餐系统大多基于开源代码,开发难度并不高,这大大增加了消费者信息泄露的风险。通常情况下,消费者提供的个人信息会被存储在系统后台,并接入商户自己的系统。由于市场上第三方软件服务商数量众多,服务水平良莠不齐,不能保证相关数据是否被妥善保管或是否会被“二次售卖”。
技术人员表示,通过技术手段来改变过度索取消费者信息的现象不难,关键是要明确商户能否索要用户信息,以及一旦违法索取用户信息、泄露用户信息后,需承担怎样的法律责任,“只有充分认识到个人信息保护的重要性,才能从源头上杜绝商家过度索取个人信息”。
“过度收集”涉嫌违法
对于零售企业通过二维码点餐、结算时索取个人信息的行为,上海市消保委和相关法律人士均表示反对。
上海市消保委副秘书长唐健盛说,扫码点餐能提高服务效率,但“只要能知道是哪张桌子点菜、点什么菜就可以了。至于坐在这张桌子前的是张三还是李四,以及他们的手机号码、微信用户名等信息,餐厅没有必要了解,餐厅应该不收集或者尽可能少收集消费者的信息。”
上海市消保委公益律师、上海海若律师事务所合伙人律师陆珊菁指出,商家为扫码点餐设置“同意获取个人信息”“同意获取用户位置信息”“同意第三方获取信息”等条件,是一种“形式上自愿、实质上强制”的交易行为。《消费者权益保护法》第二十六条规定,经营者不得以格式条款、通知、声明、店堂告示等方式,作出排除或者限制消费者权利、减轻或者免除经营者责任、加重消费者责任等对消费者不公平、不合理的规定,不得利用格式条款并借助技术手段强制交易。若商家强制要求消费者扫码点餐,消费者有权拒绝,或向市场监管部门投诉。同时,商家要保障消费者的个人信息,如若消费者发现个人隐私信息受到侵犯,应及时通过法律途径维权。
北京观韬中茂(上海)律师事务所葛志浩律师认为,餐饮消费的本质是消费者向商家购买餐饮服务的行为,这一关系的建立,并不以消费者提供个人信息为必要前提。因此,餐厅要求消费者通过App或微信小程序的方式进行下单或买单,进而对消费者的个人信息进行收集,这一做法明显超出了必要限度,除客户自愿行为外,通常来说,此类行为应归类为《个人信息保护法》中所禁止的“过度收集”行为。
与此同时,依据《个人信息保护法》的相关规定,商家收集消费者个人信息的,还必须遵循一系列规则,包括将收集行为的目的、信息处理的规则以及信息处理的方式等向消费者进行明确的告知;消费者若不同意收集行为的,商家还应当配合进行撤回收集行为,已经收集并使用的,应当根据消费者的要求进行及时、有效的清除等。不过目前来看,大部分商家并没有提供或告知这类服务。
至于商家收集个人信息用于“智能推送”的自动化决策行为,《个人信息保护法》同样作出规定,赋予消费者可自由选择或拒绝被“智能推送”的权利。 记者 栗思 任翀
来源:解放日报
到饭店落座后,只需用手机扫一下桌边的二维码,就可以通过手机关注公众号或小程序后进行自助“扫码点餐”,这样的点餐方式,已经越来越常见。
不过,有多位消费者向大庆晚报记者吐槽,餐厅不提供人工点餐服务涉嫌侵犯了消费者权益,而“扫码点餐”前还要收集多项个人信息,担心吃个饭就被“吃”掉了个人隐私安全。
8月20日,记者对此事进行了调查采访。
< class="pgc-img">喜家德:先扫码关注再“允许”
8月20日,记者对我市一些餐饮店进行了调查走访。
记者首先来到东风新村的一家“喜家德水饺”。记者刚落座,一名男服务员告诉记者扫码点单就可以,桌角处就有二维码。
记者称手机扫不了码,询问是否提供人工点餐服务。男服务员问记者扫码用的微信还是支付宝,记者称用微信扫码。
男服务员则表示,现在菜单上有些菜品已经没有了,手机扫码显示是最新的菜品,未向记者提供菜单。
之后,记者只能扫码点单。男服务员告诉记者,要先点关注,再点允许就可以点单了。
记者扫码以后,看到出现了喜家德的公众号,记者点击关注公众号以后,上面写着“16桌开始点餐”。记者点进去,并没有马上顺利点餐,而是出现了一个“点我授权”的图标,记者点进去后,看到了“喜家德点餐申请你的昵称、头像、地区、性别的微信个人信息”的页面,只有点击允许后才能正常下单。
< class="pgc-img">疆味、米村拌饭:获取个人信息才可点单
接着,记者又来到“疆味”,记者表示想买一个馕饼,工作人员说馕饼5元钱一个,让记者扫柜台上的码下单。
扫码后,记者看到出现了一个“洽集美食汇”的公众号,点击进入后,上面写着“点击图片即可点餐”,点了图片以后,进入一个界面,上面写着“洽集美食汇申请你的微信头像、昵称、地区和性别微信个人信息”,点击允许后才能正常点餐。
随后,记者又来到“米村拌饭”,一进门服务员就告诉记者扫桌角的二维码进行点餐。记者看到上面写着“加入会员 自助点餐”的字样,服务员告诉记者先关注,再点允许,就能点餐了。
< class="pgc-img">肯德基、麦当劳:人工、自助点单都可以
之后,记者来到了一家麦当劳餐厅,麦当劳餐厅的服务员询问记者,需要人工点单还是扫码点单,可以提供两种点单模式。
记者看到,麦当劳的扫码点单,需要下载麦当劳的APP。
在麦当劳甜品店,服务员告诉记者扫码点单,记者扫码后,看到的是一个微信小程序,不需要关注,上面写着“麦当劳甜品站申请获取你的位置信息,你的位置信息将用于推荐给你最近的餐厅”,并未要求获取其他个人信息。
在肯德基餐厅,服务员也表示,记者可以人工点餐,也可以扫码点餐,自行选择。
记者扫码后,看到的也是一个小程序,不需要关注,上面写着“肯德基自助点餐申请获取你的位置信息,你的位置信息将用于展示你附近的餐厅和服务”,和麦当劳一样,标注了使用地理信息的用途。
中消协:仅提供扫码点餐属于强制交易
关于扫码点餐,今年3月25日,中消协曾点名批评这种行为,并指出,仅提供扫码点餐涉嫌过度收集消费者个人信息、侵害消费者的公平交易权,不提供现场菜单有损消费者的知情权,新技术应用不应成为特殊消费群体的消费阻碍。
这种做法涉嫌侵害消费者的公平交易权,是设定不公平、不合理的交易条件,对现场就餐消费者的一种强制交易行为。
老年人、未成年人往往需要他人协助,才能完成扫码点餐过程,一定程度上影响了他们的消费体验和消费实现。他们对“扫码”背后潜在风险的防范意识也比较弱,更易成为个人信息泄露、甚至支付安全问题的受害者。
< class="pgc-img">扫码点餐:涉嫌过度收集个人信息
对此,记者采访了黑龙江鸿大律师事务所律师秦岚。秦岚律师表示,消费者到餐厅就餐,并无必要提供手机号、生日、姓名、地理位置、通讯录等与餐饮消费无关的信息,要求现场就餐消费者先关注公众号或小程序,再进行扫码点餐,借此获取消费者的个人信息,不仅违反法律规定的收集、使用个人信息的合法、正当、必要原则,涉嫌对消费者个人信息的过度收集,而且,如果保管不善,消费者个人信息还有被泄露、丢失的风险。
根据《民法典》第一百一十一条规定,自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全。《消费者权益保护法》第二十九条也规定,经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。
大庆晚报也呼吁,餐饮行业组织、餐饮经营者自身,杜绝违法行为,也希望有关部门加强引导和监管,严厉查处侵害消费者权益的不法行为。
记者 明星
机一扫,即刻下单。近年来,扫码点餐服务在餐饮行业迅速兴起普及,成为众多消费者就餐时的选择。然而,有的餐厅却在“扫码”和“点餐”之间增加了一道程序,不关注微信公众号、不授权商家获取个人信息就不能进行点餐。
11月17日,北京青年报记者获悉,近日,北京三中院针对由此引发的一例个人信息保护纠纷作出了终审判决。餐厅被判停止侵害消费者个人信息权益的行为,删除收集的其个人信息;将处理其个人信息的范围、方式进行书面告知,并进行书面赔礼道歉;赔偿公证费五千元。
餐饮公司要求手机扫码点餐收集消费者个人信息被起诉
某餐饮公司向消费者推出手机扫码点餐服务。根据其自行设置的微信程序,具体操作步骤为:使用手机扫描店内二维码关注“某餐饮公司”微信公众号,授权商家获取消费者的微信昵称、头像、地区、性别、手机号码等信息,进行线上点餐;若不同意授权商家获取前述信息,则无法进行线上点餐。
2021年7月27日,孔某至某餐饮公司用餐时,店员未告知孔某可以人工点餐,孔某通过前述手机扫码方式进行了点餐并结账,在这一过程中,孔某被注册为某餐饮公司的会员。孔某发现,其取消关注“某餐饮公司”微信公众号后,仍是某餐饮公司的会员,前述个人信息仍存储在某餐饮公司处,孔某无法自行删除。
孔某认为,某餐饮公司设置的扫码点餐方式强制获取消费者的个人信息,且消费者无法自行删除储存在商家处的个人信息,遂将某餐饮公司诉至法院,要求停止侵害个人信息权益的行为、告知个人信息处理情况、赔礼道歉并赔偿相关损失。
事发时服务员未告知可人工点餐 扫码点餐强制获取个人信息构成侵权
北京三中院经审理认为,个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。根据民法典第一千零三十五条之规定,处理个人信息时,应当遵循合法、正当、必要原则,不得过度处理,并征得该自然人或者监护人同意。
根据现有证据,2021年7月27日孔某在某餐饮公司用餐时,服务人员未告知孔某可以人工点餐,误导其以为只有扫码点餐一种服务方式。而某餐饮公司自行设置的扫码点餐程序要求孔某必须关注商家微信公众号,并授权其获取孔某的相关信息,属于变相强制获取消费者个人信息,故某餐饮公司构成侵权。
民法典第一千零三十七条第二款规定,自然人发现信息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息的,有权请求信息处理者及时删除。该案中,孔某尝试通过取消关注微信公众号的方式注销会员并删除存储在某餐饮公司处的个人信息,但某餐饮公司称删除会员信息须消费者提交书面申请,但其并未通过任何方式将提交书面申请的要求告知孔某。这使得作为消费者的孔某直至一审诉讼时,仍未能如愿删除相关个人信息。某餐饮公司的上述不作为,侵害了孔某依法享有的个人信息决定权。
商家被判停止侵权、书面告知个人信息处理方式并赔礼道歉
民法典第一千零三十五条第一款第三项规定,处理个人信息应当明示处理信息的目的、方式和范围。个人信息保护法第十七条第一款规定,个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:个人信息处理者的名称或者姓名和联系方式;个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;个人行使本法规定权利的方式和程序;法律、行政法规规定应当告知的其他事项。
某餐饮公司自认其将获取的消费者信息存储于第三方服务商,但根据审理查明的事实,2021年7月27日孔某在某餐饮公司用餐时,店内并未公示扫码点餐收集消费者个人信息的目的、方式和范围,某餐饮公司亦未采取其他方式向孔某进行告知。故孔某要求某餐饮公司书面告知其获取个人信息的具体范围、过程和方式的诉讼请求于法有据,北京三中院予以支持。
因某餐饮公司侵害了孔某的个人信息权益,孔某有权要求某餐饮公司进行赔礼道歉。考虑到某餐饮公司的行为并未造成严重后果,且其在个人信息保护法颁布后已对微信公众号的扫码点餐操作流程进行了修改,并在该案一审判决作出后删除了其存储的孔某的个人信息,故北京三中院判令某餐饮公司通过书面方式向孔某进行赔礼道歉。就孔某主张的经济损失,主要为孔某为保全本案诉讼证据进行公证的费用,北京三中院结合孔某提交的相关票据酌情予以支持。
综上,北京三中院判决:某餐饮公司停止侵害孔某个人信息权益的行为,删除收集的孔某个人信息;将处理孔某个人信息的范围、方式向孔某进行书面告知;就侵害孔某个人信息权益向孔某进行书面赔礼道歉;赔偿孔某公证费用五千元。
法官提醒:扫码点餐若超出必要范围强制获得消费者个人信息应担责
法官表示,随着信息社会的发展,扫码点餐已经成为当下餐饮行业主要的点餐方式。对消费者而言,扫码点餐方便、准确、快捷;对餐饮行业而言,扫码点餐有助于节约人力成本、提高点餐效率。
但扫码点餐服务的普及与发展不应成为保护消费者个人信息安全的隐患。商家在设置扫码点餐程序时,应当以实现点餐目的、提升服务质量为目的;若超出点餐的必要范围强制获取消费者的个人信息,则应承担相应法律责任。该案中,某餐饮公司在提供扫码点餐服务时自行设置微信程序强制获取孔某的个人信息,且孔某无法自行删除,法院对某餐饮公司的侵权行为予以确认,并判决其向孔某承担相应侵权责任。
个人信息保护的落脚点不仅在于自然人自身维权意识的觉醒,还需要社会各方共同筑牢法治观念。餐饮行业在提供扫码点餐服务时,应当践行社会主义核心价值观中的法治精神,遵循合法、正当、必要和诚信原则,严格把握处理消费者个人信息的范围。只有严格遵守法律规定,尊重消费者对其个人信息处理的知情权、决定权,依法处理消费者的个人信息,才能让消费者安全、放心地使用扫码点餐方式,促进餐饮行业的服务升级。这也是在法治轨道上平稳推进信息化社会发展,平衡数字化发展红利与个人信息保护应有的要求。
文/北京青年报记者 戴幼卿
