扫码点餐不得收集手机号、强制关注公号!这份实践指南拟明确
外出就餐时,你遇到过这些情况吗——不扫码无法点餐、点餐必须关注公众号、频繁弹窗要求收集位置信息……令人不堪其扰。随着手机扫码点餐引发的隐私安全担忧逐渐受到公众重视,一份旨在规范扫码点餐处理个人信息行为、减少因扫码点餐造成的个人权益损害的新文件,向社会公开征求意见。
7月22日,全国网络安全标准化技术委员会发布了其组织编制的《网络安全标准实践指南——扫码点餐个人信息保护要求(征求意见稿)》,并向社会公开征求意见,意见反馈截止日期为8月4日。该文件拟明确订单信息、支付信息系为实现扫码点餐服务所必需,不得过度收集个人信息。
订单信息、支付信息为扫码点餐服务所必需
南都记者注意到,《网络安全标准实践指南——扫码点餐个人信息保护要求(征求意见稿)》(下简称《实践指南》)的起草单位包括中国电子技术标准化研究院,以及多所高校、企业等。
《实践指南》提到,该文件依据法律法规和政策标准要求,针对当前扫码点餐过程中餐饮商家超范围收集个人信息等问题,给出了扫码点餐个人信息保护实践指引。其适用于餐饮商家规范扫码点餐服务个人信息处理活动,也适用于第三方评估机构等参考。
《实践指南》内容主要包括总体要求和个人信息保护要求两部分。总体来看,扫码点餐服务应避免四类行为,一是超范围收集个人信息。强制收集或通过小程序频繁弹窗提示收集用户平台账号信息、手机号、位置等非必要个人信息。二是强制关注公众号或注册会员。强制以关注公众号、注册会员等为由收集餐饮用户手机号、生日、性别等信息。
三是未经用户同意处理个人信息。收集个人信息用于餐饮用户授权以外的目的、未经用户同意向第三方提供用户个人信息。四是未提供个人信息删除功能。提供账号注册功能收集餐饮用户个人信息的,未提供有效的注销账号途径;餐饮用户注销账号的,未及时对其个人信息进行删除或匿名化处理。
扫码点餐交出个人信息后,这些信息该被如何处理?《实践指南》拟对扫码点餐收集的个人信息保护作出要求,主要聚焦开发运维小程序和第三方责任。
《实践指南》拟提出,餐饮商家自行开发、运维扫码点餐小程序并面向餐饮用户提供扫码点餐服务的,应制定小程序个人信息处理规则。
具体而言,规则内容应包括小程序运营者基本情况;处理个人信息的目的、方式,处理个人信息的种类、保存期限,涉及敏感个人信息的,需明确标识或突出显示;小程序使用的第三方服务提供者的身份、第三方服务处理个人信息的种类、处理规则;餐饮的用户权利和实现机制,如查阅、复制、转移、更正、补充、删除、撤回同意、注销账号的方法等。
除了提供个人信息处理规则,在餐饮用户首次使用扫码点餐服务时,应以弹窗的形式向其明示该规则,并由餐饮用户主动勾选同意规则。
此外,在商家自行开发、运维扫码点餐小程序时,还应采用弹窗的形式向餐饮用户明示权限申请目的、使用场景;应仅向餐饮用户收集满足所提供服务所需的最少必要个人信息;建立个人信息投诉举报管理机制和跟踪流程,并在不超过十五个工作日内对投诉进行响应等。
值得注意的是,“最少必要个人信息”该如何定义?《实践指南》拟进一步明确,扫码点餐服务所需必要个人信息包括订单信息、支付信息。餐饮商家在提供扫码该服务过程中还会提供会员注册、账号登录、识别餐饮用户所处店面等扩展功能,而手机号、位置信息、小程序账号信息则并非实现扫码点餐服务所必需。
由于开发能力不足,不少餐饮商家会委托第三方开发、运维扫码点餐小程序。《实践指南》拟规定,应在满足前述情况的基础上,与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等;应要求受托人按照约定处理个人信息,对受托人的个人信息处理活动进行监督。
小程序的开发运营者之外,提供餐饮服务小程序配置的平台这一责任主体也不可忽视。《实践指南》拟提出,应在小程序开发者使用开发平台前对其资质进行审核;在小程序上线前对小程序进行个人信息安全检测,重点检测超范围收集个人信息、未经同意向第三方提供个人信息、强制索权等方面;在小程序上线后,对小程序的个人信息安全保护情况进行持续监督、定期抽查。
从中央到地方,专项整治扫码点餐乱象
使用手机“扫一扫”功能、线上点餐支付,正在成为外出就餐时惯常的消费动作。但类似“点餐必须扫码”“强制或诱导关注公众号”“频繁弹窗提示收集用户手机号、位置信息”等行为,引发了公众对这一“便捷”操作的隐私安全担忧。
南都记者梳理发现,近年来,扫码点餐背后的违法违规收集个人信息乱象逐渐受到监管重视,从中央到地方,相关部门纷纷“出手”规范扫码消费行为。
今年3月,中央网信办、工业和信息化部、公安部、市场监管总局发布公告称,2025将围绕线下消费场景违法违规收集使用个人信息等重点问题开展系列专项行动。具体包括扫码点餐等线下消费场景中,强制关注公众号、强制注册会员,强制收集非必要的手机号、生日、性别等信息等问题。
地方层面也在加紧行动。7月,山东省委网信办联合多个部门开展2025年“安宁齐鲁”山东省个人信息保护专项行动,其中提出对“扫码点餐”等线下消费场景违法违规收集使用个人信息问题,包括未公开个人信息处理规则、强制关注绑定、强制收集个人信息、违规处理未成年人个人信息、违规处理人脸信息、非法公开或者擅自向他人提供个人信息等进行治理。
同月,四川省委网信办会同多个部门,召开全省个人信息保护专项治理工作协调会议,明确“扫码点餐”等线下消费场景是违法违规收集使用个人信息的主要治理对象,要求结合行业实际,扎实开展全面摸排和自查整改。
6月,北京市网信办联合多部门聚焦“线上点餐”等11个民生消费领域应用程序开展专项整治。此次行动覆盖全市各类经营主体(服务商)5万余家,随机抽取197款应用程序进行远程技术检测,发现并督导整改未公开收集使用规则、未征得用户同意收集个人信息、传输通道认证授权机制不完善等各类问题388个。
采写:南都记者 樊文扬
编辑:黄莉玲
banquan@nandu.cc. 020-87006626
