四川德陽一名消費者在火鍋店就餐時被要求掃碼點餐,消費者認為該店獲取的諸如手機號、生日、姓名、通訊錄等信息與餐飲消費無關,侵犯其個人信息,遂起訴至法院。法院對此案審理后,判決餐廳停止侵權。此案經由媒體披露后,引發公眾關注。
現實中,案中消費者的經歷非常常見,很多餐廳推廣掃碼點餐、結賬,此舉確實為消費者提供了方便,但在方便的另一面,很多人並沒有意識自己的個人信息可能存在風險。
01
如何認定個人信息?
上述案例中的消費者認為,店家收集相關信息,既不合法、也不正當、更無必要,侵犯了個人信息。
火鍋店方面則認為,微信頭像、昵稱、地區和性別屬於網絡化名,沒有侵害個人信息的風險。
法院經審理認為,消費者就餐時,並無必要提供手機號、生日、姓名、地理位置、通訊錄等與餐飲消費無關的信息。火鍋店違反了收集、使用個人信息的合法、正當、必要原則的法律規定,侵犯了羅某的個人信息。
法院判決,餐廳停止侵權,於判決生效之日起10日內刪除獲取該消費者的個人信息。
掃碼點餐已經非常普及,但多家餐飲店負責人表示,對“小程序搜集消費者微信信息是否違法”的問題並不了解。
“現在是疫情時期,其實不少消費者也並不太願意接觸服務員,”山東青島一家餐廳的老闆汪波對財經E法表示:“要是連這個信息(微信名)都不能收集,我們很難為消費者提供更便利的服務啊。”
這個觀點並非汪波一人獨有。多位受訪餐館負責人都認為,微信號等相關網絡信息與受保護的“個人隱私”或“個人信息”很難畫上等號。
餐廳負責人們的這種認知,源於對相關法律的不了解。
個人信息保護法(下稱“個保法”)第四條規定:個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息,不包括匿名化處理后的信息。
民法典則規定:個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息,包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。
那麼,具體到“掃碼點餐”這件事上,又該如何認定是否侵權呢?
世輝律師事務所合伙人王新銳則根據個保法相關規定認為,個人信息的範圍非常廣泛,其核心在與能否識別到個人,或者與個人產生關聯。
他具體介紹,單獨的微信頭像、昵稱、地區和性別,對於自然人而言不具有唯一性,無法直接識別或關聯到個人,但如果商家同時收集消費者的手機號、唯一設備號等能識別到個人的信息,則通過這些信息的相互關係,能夠識別出的自然人進行關聯,那麼就屬於個人信息。
中央財經大學法學院數字經濟與法治研究中心執行主任劉權補充介紹,如果通過掃碼點餐提取的地區信息能判斷出消費者的行蹤軌跡,更屬於敏感個人信息。
浙江省公共政策研究院研究員高艷東則強調,人們長期使用且較難修改的微信號、電子郵箱、淘寶賬號等“已經屬於自然人的數字化身份信息”,類似於電子身份證,可以很容易識別出自然人身份,也屬於應當保護的個人信息。
02
餐廳為何愛掃碼?
多位受訪餐廳負責人表示,餐廳樂於採用小程序點餐,其實“是考慮到成本和盈利問題”,其中最重要的是節約人力成本。
汪波說,他所在的餐廳位於青島市南區的偏中心地段,周末人流量較大,目前共有11個服務員。餐廳的上級主管曾算過一筆賬:如果不使用掃碼點餐程序,那麼服務員數量就要增加到14個。
“一個服務員工資差不多4000元,增加3個人一年就要多支出14.4萬元。”汪波表示。
另外,相當一部分餐廳在消費者進行掃碼點餐時,都會要求消費者關注其公眾號或註冊小程序。這樣一來,商家便可為消費者推送促銷信息。
在鄭州一家連鎖餐廳負責人王義忠看來,通過優惠券引導的再次消費,每年可增加純利潤2萬-3萬元,同時還可以節約相當一筆廣告費,“很多廣告就是靠微信公眾號發出去的”。
此外,掃碼點餐還能節約諸如菜單印刷費這樣的零星成本,積聚起來也是一筆相當的費用(平均每年約2萬-3萬元)。
一筆筆賬算下來,就不難理解一些餐廳為什麼熱衷於推廣掃碼點餐了。
多位受訪消費者皆有相同的經歷,因為不願意接受掃碼點餐的方式,他們曾向餐廳索要紙質菜單,但被對方以“沒有紙質菜單”為由拒絕。
學者們明確表示,這種做法違反法律規定。
根據消費者權益保護法規定,消費者享有公平交易的權利,以及自主選擇商品或者服務的權利。
高艷東據此指出,餐廳拒絕提供紙質菜單,損害了消費者的公平交易權和知情權。此外,這種行為具有強制消費者授權收集個人信息的傾向,消費者自然有權拒絕。
劉權指出,餐廳要求必須掃碼點餐,屬於違法行為。個保法第16條明確規定:個人信息處理者不得以個人不同意處理其個人信息或者撤回同意為由,拒絕提供產品或者服務;處理個人信息屬於提供產品或者服務所必需的除外。
“掃碼點餐不屬於提供產品或者服務所必需的情形,消費者有權拒絕。同時,餐廳不得以消費者不同意掃碼點餐為由拒絕提供服務。”劉權說。
03
收集信息邊界何在?
微信也發現了現實中的問題,並於5月2日發布公告稱,部分小程序開發者不合理地要求用戶授權提供手機號等個人信息,中斷了正常的使用流程,影響了用戶的使用體驗,同時會帶來個人隱私信息泄露的風險。這種行為違反了平台運營規範中關於用戶隱私和數據的要求。
微信方面建議,為了做好用戶信息保護工作,並確保良好的用戶體驗,“請開發者不要在非必要情況下強制用戶授權手機號;用戶拒絕授權后,不得在用戶每次重新打開小程序時頻繁向用戶詢問、調用手機號授權接口。”
如發現小程序通過限制用戶操作的方式,收集與服務無關的用戶個人信息,平台將根據違規程度限制手機號授權等能力。
作為日常生活中經常用到的功能,部分商家開發的小程序在收集個人信息時確實面臨諸多侵權風險。
高艷東指出,中國對個人信息的保護是基於‘超個人法益說’,即從社會秩序和網絡安全角度出發保護個人信息,而非僅僅是保護個人權利,因為個人信息涉及交易安全、網絡秩序等一系列問題。即使是個人授權信息處理者處理其個人信息,也不能違背公共信息安全和社會公共利益,否則將會受到相應處罰。
高艷東總結,在很多商業環境下,商家往往強制要求消費者授權上述信息,無授權即無法消費,且收集的信息是非必要信息,屬於過度收集。同時很收集個人信息的行為缺乏正當目的,比如,收集個人信息是為了對消費者進行分類、篩選,形成精準的用戶畫像,進而施行精準營銷或者“大數據殺熟”。顯然在這種情況下,即使得到個人授權,商家收集信息的行為超出了合理範圍、必要限度,或是目的不夠正當,違反了個保法等法律。
但在實操中,餐廳應當如何規避侵權風險呢?
劉權認為,如果餐廳收集的個人信息同餐飲服務不直接相關,或沒有採取對個人權益影響最小的方式,或不是限於實現處理目的的最小範圍,就涉嫌過度收集消費者個人信息。
劉權還提醒,收集個人信息需要遵守法定的基本原則,即合法、正當、必要原則。
劉權建議,餐廳提供掃碼點餐服務時,應當在顯著的位置、清晰易懂的語言,真實、準確、完整地告知消費者收集和處理個人信息的目的、方式,收集的個人信息種類、保存期限等事項,並徵得同意。如果涉及到收集處理生物識別、金融賬戶、行蹤軌跡等敏感個人信息的,還應當提供收集的必要性證明以及對個人權益的影響。
劉權特別指出,個人信息的保存期限應以完成處理目所必要的最短時間。比如,當餐飲服務已實現或結束,就應當及時主動刪除個人信息。
王新銳的觀點則更為直接,餐廳在掃碼點餐場景下只應收集與就餐相關的數據,例如,餐桌號、點餐的菜品、就餐人數等,避免收集與點餐或就餐服務無關的其他個人信息。另外,如果消費者拒絕掃碼點餐的,應當提供其他點餐方式,不得強迫消費者進行掃碼點餐,或因消費者不掃碼點餐就拒不提供就餐服務。