武丹/制圖

掃碼點餐中的個人信息侵權(quán)風(fēng)險與法律規(guī)制

作者|劉洪華

責(zé)編|薛應(yīng)軍

正文共2657個字，預(yù)計閱讀需8分鐘▼

外出就餐時，你是否遇到過這些情況——不掃碼無法點餐、點餐必須關(guān)注公眾號、頻繁彈窗要求收集位置信息等，令人不堪其擾。掃碼點餐作為數(shù)字化餐飲服務(wù)的重要形式，已廣泛應(yīng)用于各類餐飲場景中，因掃碼點餐引發(fā)的隱私安全擔(dān)憂逐漸引發(fā)公眾關(guān)注。7月22日，全國網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化技術(shù)委員會秘書處發(fā)布《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實踐指南——掃碼點餐個人信息保護要求（征求意見稿）》，進一步規(guī)范掃碼點餐中的個人信息處理行為。本文從掃碼點餐的個人信息侵權(quán)風(fēng)險切入，通過對相關(guān)主體的法律關(guān)系和權(quán)利義務(wù)分析，探討對掃碼點餐中個人信息處理的法律規(guī)制。

掃碼點餐中的個人信息侵權(quán)風(fēng)險

掃碼點餐是通過掃描餐飲商家提供的點餐二維碼，獲取菜單、線上點餐和結(jié)算的新興消費方式。與傳統(tǒng)點餐模式相比，掃碼點餐高效、便捷，可以減少點餐等待時間，節(jié)省人力成本，但也存在有的商家過度收集個人信息和信息處理不透明等侵權(quán)風(fēng)險。這些風(fēng)險主要表現(xiàn)在三個方面：

其一，掃碼點餐平臺大多存在過度收集用戶信息現(xiàn)象。掃碼點餐系統(tǒng)的運作依賴二維碼編碼、圖像識別、數(shù)據(jù)解碼與網(wǎng)絡(luò)通信等多個環(huán)節(jié)的技術(shù)支持，實踐中，餐飲商家多委托第三方平臺搭建點餐系統(tǒng)，用戶掃碼后被要求登錄社交賬戶、綁定手機號，甚至位置信息等與點餐服務(wù)無直接關(guān)聯(lián)的敏感數(shù)據(jù)也被系統(tǒng)收集。這嚴(yán)重違反了《中華人民共和國個人信息保護法》第六條第二款關(guān)于“不得過度收集個人信息”的規(guī)定。

其二，掃碼點餐平臺的用戶授權(quán)機制大多存在“同意”形式化問題。實踐中，用戶掃碼點餐時，往往只能通過勾選已設(shè)定的授權(quán)選項進入點餐界面，無法選擇其他數(shù)據(jù)處理形式，也難以查閱詳細的隱私政策或知情說明，這種“強制捆綁授權(quán)”行為剝奪了消費者的知情權(quán)與自主決定權(quán)，構(gòu)成對其個人信息處理權(quán)的侵害。

其三，許多掃碼點餐系統(tǒng)在技術(shù)設(shè)計與數(shù)據(jù)管理上缺乏有效的安全保障措施。部分中小平臺在開發(fā)過程中未對數(shù)據(jù)傳輸與存儲過程進行充分加密，且缺乏訪問權(quán)限控制與日志記錄機制，易導(dǎo)致用戶信息在網(wǎng)絡(luò)傳輸或系統(tǒng)遭受攻擊時被非法獲取、篡改或泄露。此外，一些平臺在未依法告知并取得用戶同意的情形下，將收集的信息用于用戶畫像、廣告推送，甚至與第三方企業(yè)共享，進一步擴大了侵權(quán)風(fēng)險。

掃碼點餐中的相關(guān)主體及其法律關(guān)系

掃碼點餐服務(wù)通常涉及消費者、餐飲商家、技術(shù)平臺三類法律主體，他們圍繞個人信息的收集與使用形成了不同的法律關(guān)系，厘清這些關(guān)系，有利于構(gòu)建掃碼點餐監(jiān)管規(guī)則機制。

首先，消費者與餐飲商家之間形成服務(wù)合同關(guān)系。在掃碼點餐場景中，消費者通過掃碼進入點餐界面，與餐飲商家形成餐飲服務(wù)合同關(guān)系。消費者在點餐過程中所提供的姓名、電話、位置信息、支付數(shù)據(jù)等個人信息，受個人信息保護法及消費者權(quán)益保護法的保護，餐飲商家作為數(shù)據(jù)的“實際控制者”或“共同控制者”，負有信息最小化、告知義務(wù)、用戶選擇權(quán)保障等法定責(zé)任。然而，實踐中，許多商家通過委托第三方技術(shù)平臺部署掃碼系統(tǒng)，導(dǎo)致消費者的數(shù)據(jù)并非由商家直接處理，而是由平臺接收和管理，增加了個人信息保護環(huán)節(jié)的復(fù)雜性。

其次，餐飲商家與技術(shù)平臺之間形成委托關(guān)系。技術(shù)平臺為掃碼點餐提供系統(tǒng)開發(fā)、數(shù)據(jù)接口、后臺管理等服務(wù)，屬于法律意義上的“個人信息處理者”。根據(jù)《中華人民共和國個人信息保護法》第二十一條和第五十九條關(guān)于委托和受托處理個人信息的規(guī)定，餐飲商家作為數(shù)據(jù)處理任務(wù)的委托方，應(yīng)就數(shù)據(jù)安全、用途范圍、責(zé)任劃分等與受托平臺簽訂協(xié)議，并對平臺的處理活動承擔(dān)監(jiān)督義務(wù)，平臺必須采取必要措施保障所處理個人信息的安全。然而，實踐中，有的技術(shù)平臺往往在授權(quán)頁面直接要求用戶同意隱私政策，甚至在后臺保留用戶數(shù)據(jù)，將用戶數(shù)據(jù)用于廣告投放、用戶畫像等非委托目的。這實際使平臺從“受托方”轉(zhuǎn)變?yōu)椤肮餐刂普摺保璩袚?dān)更高程度的信息安全與合法性義務(wù)。

最后，消費者與平臺之間存在個人信息處理和保護的法律關(guān)系。當(dāng)消費者通過掃碼跳轉(zhuǎn)至平臺小程序或頁面時，平臺與用戶之間形成了事實上的隱私授權(quán)與數(shù)據(jù)處理關(guān)系，應(yīng)受《中華人民共和國民法典》第一千零三十二條和《中華人民共和國個人信息保護法》有關(guān)規(guī)定的規(guī)制。如果平臺在用戶不知情的情況下擅自收集用戶的精確定位、消費習(xí)慣等敏感信息，或?qū)?shù)據(jù)共享給第三方，將構(gòu)成對用戶隱私權(quán)或個人信息權(quán)益的侵犯。

掃碼點餐中個人信息處理的法律規(guī)制

由前述分析可見，掃碼點餐個人信息處理行為的法律規(guī)制應(yīng)側(cè)重于法律實施機制的完善。具體來說，在大數(shù)據(jù)時代，由于數(shù)據(jù)利用被經(jīng)濟利益驅(qū)動，信息控制者往往具有強烈的個人信息利用激勵，而缺乏同等程度的保護激勵，單純依靠個人信息保護法的基本規(guī)定，無法激發(fā)信息控制者保護個人信息的自覺。一方面，個人信息濫用的受害者是信息主體，不是信息控制者，信息控制者缺乏主動保護個人信息的動力；另一方面，科技發(fā)展帶來多元化的行業(yè)變革，在新興產(chǎn)業(yè)領(lǐng)域或面對新型經(jīng)營模式，有些信息控制者缺乏獨立完善的保護個人信息機制的能力。鑒于此，個人信息保護法的有效實施，不能單純依靠事后追責(zé)，而應(yīng)將培育信息控制者內(nèi)部數(shù)據(jù)治理機制與構(gòu)筑有效的外部執(zhí)法威懾結(jié)合起來，引導(dǎo)信息控制者主動合規(guī)。

對于掃碼點餐中的個人信息保護問題，建議從信息安全風(fēng)險管理角度切入，從以下幾個方面予以完善：第一，細化“必要信息”范圍與處理邊界。通過法律法規(guī)或規(guī)范性文件，明確規(guī)定掃碼點餐所能收集的最少信息的范圍，避免信息過度收集。第二，加強“明示同意”機制建設(shè)。禁止設(shè)置默認同意、強制跳轉(zhuǎn)技術(shù)路徑，應(yīng)要求平臺提供真實、可分級選擇的授權(quán)選項。第三，推動平臺落實“隱私保護設(shè)計”。鼓勵平臺在系統(tǒng)架構(gòu)中嵌入權(quán)限控制、數(shù)據(jù)加密、自動刪除等合規(guī)機制，貫徹“保護嵌入式”思維。第四，健全監(jiān)督機制與責(zé)任追究制度。加強對掃碼點餐平臺的數(shù)據(jù)處理備案、日志審查與合規(guī)評估，并在侵權(quán)發(fā)生后依法追究侵權(quán)主體的法律責(zé)任。

全國網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化技術(shù)委員會秘書處發(fā)布的《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實踐指南——掃碼點餐個人信息保護要求（征求意見稿）》，對于規(guī)范掃碼點餐中的個人信息處理具有重要意義。該文件對掃碼點餐服務(wù)各方主體的法律責(zé)任予以明確區(qū)分與界定，對掃碼點餐服務(wù)必要個人信息范圍進行了明確列舉規(guī)定。這些具有可操作性的細化規(guī)定，為信息控制者完善信息處理機制提供了參照標(biāo)準(zhǔn)，為監(jiān)管部門依法監(jiān)管提供有力指引，有利于實現(xiàn)個人信息保護的內(nèi)部合規(guī)管理，為監(jiān)管部門執(zhí)法提供更準(zhǔn)確的依據(jù)。

（作者單位：廣東外語外貿(mào)大學(xué)法學(xué)院）

健全完善掃碼點餐個人信息保護制度——兼談《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實踐指南——掃碼點餐個人信息保護要求（征求意見稿）》

作者|林鈺蘭 楊尚東

責(zé)編|薛應(yīng)軍

正文共2736個字，預(yù)計閱讀需8分鐘▼

黨的二十大報告提出，加快數(shù)字中國建設(shè)，加強個人信息保護。黨的二十屆三中全會通過的《中共中央關(guān)于進一步全面深化改革、推進中國式現(xiàn)代化的決定》提出，建設(shè)全國統(tǒng)一的法律法規(guī)和規(guī)范性文件信息平臺。信息化時代，個人信息保護已成為公眾最關(guān)心最直接最現(xiàn)實的利益問題之一，以《中華人民共和國個人信息保護法》為核心的頂層設(shè)計，為保護個人信息權(quán)益，規(guī)范個人信息處理活動，促進個人信息合理利用提供了基礎(chǔ)性法律遵循。然而，基于個人信息應(yīng)用目的、場景的不同，個人信息保護制度需要結(jié)合具體場景予以細化、落實，對個人信息加以動態(tài)的、有針對性的保護。

掃碼點餐作為數(shù)字經(jīng)濟時代餐飲消費的高頻場景，在便利消費者并節(jié)省商家人工運營成本方面效果顯著。然而，部分餐飲商家超范圍收集個人信息等引發(fā)公眾不滿與擔(dān)憂。為指導(dǎo)餐飲商家規(guī)范掃碼點餐服務(wù)個人信息處理活動，減少因掃碼點餐造成的個人權(quán)益損害問題，近日，全國網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化技術(shù)委員會秘書處發(fā)布《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實踐指南——掃碼點餐個人信息保護要求（征求意見稿）》（以下簡稱《征求意見稿》），向社會公開征求意見。《征求意見稿》聚焦掃碼點餐這一微觀場景，為個人信息保護提供標(biāo)準(zhǔn)化實踐指引，規(guī)定了一系列商家可操作、用戶可感知、監(jiān)管可參考的實踐準(zhǔn)則。

個人信息處理原則的場景化

個人信息保護法等既有法律規(guī)范確立的個人信息處理基本原則，是實現(xiàn)個人信息保護與合理利用相平衡的制度基礎(chǔ)。《征求意見稿》結(jié)合掃碼點餐場景對基本原則予以細化闡釋，使其具備更明確的指引性與更切實的操作性，筑牢了個人信息保護安全防線。

明晰一般處理原則的實踐性判斷標(biāo)準(zhǔn)。《征求意見稿》指出，掃碼點餐服務(wù)應(yīng)遵循合法、正當(dāng)、必要和誠信原則。即處理個人信息應(yīng)有合法、正當(dāng)、必要理由，不得通過強制關(guān)注公眾號、注冊會員等誤導(dǎo)、欺詐、脅迫等方式處理個人信息。堅持公開、透明原則。即掃碼點餐服務(wù)要以明確、易懂、合理的方式向餐飲用戶公開其處理個人信息的范圍、目的、規(guī)則等，收集使用個人信息的實際行動應(yīng)與公開的個人信息處理規(guī)則保持一致。嚴(yán)格遵守目的明確原則。即強調(diào)掃碼點餐服務(wù)應(yīng)具有明確、清晰、具體、合理的個人信息處理目的，且與掃碼點餐涉及的線下消費功能直接相關(guān)。這類指向明確的行為準(zhǔn)則彌合了法律原則與具體實踐之間的縫隙，為實現(xiàn)好、維護好、發(fā)展好個人信息權(quán)益提供精細化的行動指南。

構(gòu)建最小必要原則的實質(zhì)性識別標(biāo)準(zhǔn)。最小必要原則限定了掃碼點餐服務(wù)應(yīng)僅收集實現(xiàn)服務(wù)所必需的最少個人信息種類、數(shù)量和頻度，不得過度收集個人信息。作為說明，《征求意見稿》對“必要個人信息”作出特別提示性規(guī)定，確認僅“訂單信息”與“支付信息”因其承載著點餐、結(jié)賬的功能而成為掃碼點餐服務(wù)所必需的必要個人信息。對于實踐中普遍存在的收集“手機號”“位置信息”“小程序賬號信息（昵稱、頭像等）”等行為，《征求意見稿》對其必要性予以否認。這對“必要個人信息”的內(nèi)涵進行了澄清，劃定了商家收集個人信息行為的明確界限，回應(yīng)了公眾對于個人信息被過度收集的普遍焦慮，提示商家不可以隨意收集用戶個人信息。

個人信息處理規(guī)則的具象化指引

個人信息處理活動應(yīng)遵循必要的行為規(guī)則，協(xié)調(diào)個人信息權(quán)益保護與個人信息合理利用。綜合掃碼點餐服務(wù)應(yīng)當(dāng)避免的行為類型以及服務(wù)相關(guān)方個人信息保護要求的規(guī)定來看，《征求意見稿》為個人信息處理規(guī)則適用提供了細致的操作規(guī)范。

基于知情同意規(guī)則的行為約束。建立知情同意規(guī)則行為規(guī)范，通常可以分為三個層次：一是正面引導(dǎo)。尊重用戶的知情權(quán)，要求商家應(yīng)在用戶使用小程序時以彈窗的方式明示個人信息處理規(guī)則，具體包括處理個人信息的目的、方式、種類、保存期限等，并由用戶主動勾選同意個人信息處理規(guī)則保證用戶自愿、明確作出同意。二是負面警示。規(guī)定商家不得未經(jīng)用戶同意處理個人信息，包括收集個人信息用于用戶授權(quán)以外的目的或未經(jīng)用戶同意向第三方提供用戶個人信息。三是特別規(guī)定敏感個人信息處理原則。要求商家對此類信息予以明確標(biāo)識或突出顯示。《征求意見稿》遵循該規(guī)律，對此進行系統(tǒng)規(guī)定，有利于矯正一攬子授權(quán)、強制同意等失范行為，維護信息主體的自由意志。

超范圍或強制收集信息行為的排除?！墩髑笠庖姼濉访鞔_，掃碼點餐服務(wù)應(yīng)避免強制收集或通過小程序頻繁彈窗提示收集用戶平臺賬號信息、手機號、位置等非必要個人信息；應(yīng)避免強制以關(guān)注公眾號、注冊會員等為由收集餐飲用戶手機號、生日、性別等信息。這類規(guī)定將點餐、結(jié)賬等必要核心功能與會員注冊、身份驗證等非必要附加功能進行隔離，防范商家對用戶個人信息的過度收集。

未提供個人信息刪除功能行為的拒斥。被遺忘權(quán)作為一種基于個人信息權(quán)的人格權(quán)利，其本質(zhì)在于數(shù)據(jù)主體有權(quán)要求數(shù)據(jù)控制者永久刪除有關(guān)數(shù)據(jù)主體的個人數(shù)據(jù)，有權(quán)被互聯(lián)網(wǎng)所遺忘，除非數(shù)據(jù)的保留有合法理由。對此，《征求意見稿》指出，不得在提供賬號注冊功能及收集用戶個人信息時，未提供有效的注銷賬號途徑；不得在餐飲用戶注銷賬號時，未及時對其個人信息進行刪除或匿名化處理。這蘊含著對用戶撤回同意、刪除信息等權(quán)利的承認，有利于保護用戶在掃碼點餐場景下的信息自決權(quán)。

區(qū)分落實個人信息保護要求

個人信息處理者是個人信息保護的第一責(zé)任人，應(yīng)當(dāng)對其個人信息處理活動負責(zé)。要通過自我規(guī)制，切實履行合規(guī)管理和保障個人信息安全等義務(wù)。同時，現(xiàn)代數(shù)字服務(wù)往往涉及多元主體，責(zé)任鏈條復(fù)雜，鑒于此，要清晰劃分掃碼點餐服務(wù)供給的運作環(huán)節(jié)。對此，《征求意見稿》對餐飲商家、餐飲商家委托第三方及小程序平臺各方的責(zé)任進行了明晰。

壓實委托關(guān)系中的責(zé)任分配。商家自行開發(fā)運營掃碼點餐小程序時，作為安全責(zé)任承擔(dān)者，應(yīng)當(dāng)制定并向用戶明示個人信息處理規(guī)則，供用戶自行勾選同意規(guī)則；采用彈窗的形式向餐飲用戶明示權(quán)限申請目的、使用場景；向餐飲用戶收集滿足所提供服務(wù)所需的最少必要個人信息；建立個人信息投訴舉報管理機制和跟蹤流程，并在不超過15個工作日內(nèi)對投訴進行響應(yīng)等。在餐飲商家委托第三方開發(fā)小程序時，《征求意見稿》明確商家作為委托人和個人信息處理者需承擔(dān)主體責(zé)任，而第三方開發(fā)者作為受托人，必須在約定范圍內(nèi)處理用戶信息并接受監(jiān)督。這些規(guī)定環(huán)環(huán)相扣，構(gòu)建了嚴(yán)密完整的個人信息保護框架。

強化平臺的“守門人”義務(wù)。小程序平臺以其特殊地位以及阻卻違法行為的天然優(yōu)勢，理應(yīng)承擔(dān)更高的安全保障義務(wù)。對此，《征求意見稿》對小程序平臺作出更高水平的個人信息保護要求，包括履行事前審核（資質(zhì)審核、個人信息處理規(guī)則審核）、安全檢測和事后持續(xù)監(jiān)督的義務(wù)，并提出了對違規(guī)小程序采取下架、整改等處置措施。這實質(zhì)上要求平臺發(fā)揮其在個人信息處理活動中的樞紐優(yōu)勢，從源頭上遏制違規(guī)小程序的產(chǎn)生和傳播，落實在個人信息收集處理活動全過程中的安全保障義務(wù)。

（作者單位：西南政法大學(xué)行政法學(xué)院）