针对堂食手机点餐,上海市网信办提出个人信息保护“六不”建议
在国家网信办执法局指导下,“亮剑浦江·消费领域个人信息权益保护专项执法行动”6月中旬启动后,上海市网信办、市市场监管局会同市商务委等相关部门重点聚焦餐饮行业普遍存在的过度收集、频繁诱导甚至强制索取消费者非必要个人信息的违法违规行为开展集中整治。通过征集举报线索、现场执法、约谈指导、教育培训、合规指引、“回头看”检查、媒体监督等多种方式,推动本市主要餐饮企业不断提升个人信息保护意识,全面履行个人信息保护义务。
在集中整治阶段,市区两级网信部门会同市场监管部门统一行动、集中攻坚,针对各区主要商圈、主要路段,重点检查咖啡店、奶茶店、火锅店、快餐店、烧烤店等各类餐饮经营者2187户。同时根据消费者喜好,对各细分领域主要餐饮连锁企业的点餐小程序开展重点检测,对巡查发现、网民举报等各类问题线索开展全面核查并指导企业整改,约谈相关餐饮经营者45户,目前问题线索涉及到的35000余家全国连锁餐饮门店已完成整改。期间,上海市网信办、市市场监管局还对部分收集存储消费者个人信息数量较大的餐饮企业开展了网络安全检查和问题整改“回头看”检查,进一步督促指导企业采取有效措施确保个人信息处理活动符合法律、行政法规的规定,防止消费者个人信息泄露、篡改和丢失等安全隐患。
在前期组织开展连锁餐饮企业个人信息保护普法培训的基础上,上海市网信办、市市场监管局和市商务委支持上海市消保委会同市餐饮烹饪行业协会制定发布《上海市网络点餐服务消费者个人信息保护合规指引》(详见附件),针对网络点餐不同场景下餐饮经营者收集、使用、保管消费者个人信息等提出了具体的合规要求和操作准则,以切实提升餐饮行业对消费者个人信息保护水平。
为了更好地帮助消费者在扫码点餐时加强个人信息防护,上海市网信办提出以下“六不”建议,希望社会公众共同提高个人信息权益保护意识,同时也对相关涉嫌违法违规行为进行线索举报。
01
隐私政策不告知不继续
消费者第一次使用扫码点餐服务,扫描二维码后跳转到小程序页面点餐,但小程序并没有通过弹窗等显著方式向消费者告知隐私政策;或者在下单、登录等页面默认勾选隐私政策,默认允许向餐饮企业提供个人信息。消费者可以选择线下点单方式,或在后续扫码点餐服务中尽量避免提供个人信息。
02
非必要个人信息不提供
消费者在到店点餐过程中(包括排队取号、每次加菜等环节)或买单页面,小程序要求或诱导消费者填写与餐饮服务无关的个人信息(包括姓名、生日、性别、手机号码、家庭住址、身份证号、银行账号等)。消费者对商家索取与餐饮服务无关的个人信息要警惕。
03
一键登录要号码不允许
消费者扫码点单后出现“微信手机号一键登录”获取手机号、“微信一键登录”获取昵称和头像等弹窗提示,或者买单时要求提供手机号。消费者可以选择“拒绝”或“取消”按钮不提供。
04
诱导给精准定位不同意
消费者扫码点单后,小程序以便利消费者选择附近门店等为由,申请位置权限以获取精准位置信息。消费者可以选择使用门店搜索功能完成下单。
05
“被”会员诱关注不冲动
消费者扫码点单后,小程序以优化服务体验、提供会员折扣等名义,反复出现弹窗申请,诱导消费者授权精准位置或手机号等个人信息,或者诱导消费者关注企业公众号。消费者可以根据自身选择服务的需要谨慎提供个人信息。
06
定向推营销广告不接受
消费者扫码点单后,小程序以提供便利、推送促销信息等名义,诱导消费者同意接受定向推送的广告营销信息。消费者可以拒绝或者根据自身需要选择同意,事先了解此类营销广告信息退订方式。
下一阶段,上海市网信办将会同市市场监管局等有关部门继续深挖违法线索,加强监督指导,推动餐饮经营者规范提供网络点餐服务,切实履行个人信息保护主体责任。同时根据“亮剑浦江”专项行动部署安排,主办单位还将围绕停车扫码、少儿学习培训、网络理财小贷、房产中介、租借充电器、商超购物、汽车4S店等消费场景,针对个人信息“过度采、强制要、诱导取、违规用”等问题开展综合整治和专项执法。欢迎广大网民积极参与,通过以下渠道据实提供线索。
上海市互联网违法和不良信息举报中心
网址:http://www.shjbzx.cn
电话:12345、12315
【附件】
上海市网络点餐服务消费者个人信息保护合规指引
第一章 总则
第一条 目的和依据
为强化本市餐饮领域消费者个人信息保护,有效提升餐饮经营者合规经营水平,在上海市网信办、市市场监管局和市商务委的支持下,上海市消费者权益保护委员会和上海市餐饮烹饪行业协会依据《中华人民共和国个人信息保护法》、《中华人民共和国消费者权益保护法》、《上海市消费者权益保护条例》、《App违法违规收集使用个人信息行为认定方法》等法律法规,根据本市餐饮行业发展现状,结合社会监督调查结果,制定本指引。
第二条 适用范围
本指引适用于本市行政区域内的各类餐饮经营者,作为餐饮经营者开展网络点餐服务消费者个人信息保护合规管理的指导建议。
第三条 基本概念
本指引所称的餐饮经营者,是指从事饮食的加工、烹饪及消费服务经营活动,包括但不限于餐馆、饭店、酒店、快餐店、小吃店、饮品店、宾馆、度假村等单位。
本指引所称的网络点餐,是指餐饮经营者通过二维码扫码跳转小程序或直接以小程序等方式向消费者提供在线自助点单服务。
本指引所称的小程序,是指餐饮经营者供消费者直接获取餐厅信息、菜单、在线点餐、结账等功能的应用程序,包括但不限于通过微信/支付宝小程序、微信公众号、h5页面等。
第四条 基本原则
餐饮经营者开展网络点餐服务经营活动,应当自觉遵守法律法规、商业道德和公序良俗,收集、使用消费者个人信息应当遵循合法、正当、必要、诚信的原则。
第二章 消费者个人信息保护
第五条 餐饮经营者应当在消费者首次使用网络点餐服务时,以弹窗或其他显著方式向消费者提示隐私政策。弹窗信息描述清楚,文字大小合适,条款内容简洁明了,应当清晰、准确地明示收集、使用、储存消费者个人信息的具体规则,便于消费者阅读和理解,并征得消费者明确同意,不得默认勾选同意隐私政策或是仅提供同意选项。
第六条 餐饮经营者应当严格按照其申明规则收集、使用消费者个人信息,收集的个人信息或打开的可收集个人信息权限不得超出消费者授权范围。
第七条 餐饮经营者收集的个人信息应与当前餐饮消费场景密切相关,并根据线下堂食、到店自取、外卖配送等消费场景区分索取相适应的权限和信息,不得在消费者登录、点餐、取号、加菜、结账等环节诱导索取与餐饮服务无关的个人信息,包括但不限于姓名、生日、性别、手机号码、家庭住址、身份证号、银行账号等。
第八条 小程序使用微信一键登录获取微信昵称、微信头像或手机号码等信息,或需要获取精准位置以提供附近门店服务的,应当征得消费者明确同意,不得以消费者拒绝授权为由停止提供服务或限制使用功能,应当向消费者提供其他服务方式。
第九条 餐饮经营者不得以任何形式和理由强制或诱导消费者关注经营者微信公众号,不得以任何形式和理由强制或诱导消费者同意餐饮经营者收集其与餐饮服务无关的个人信息。
第十条 网络点餐服务期间,小程序不得频繁弹窗申请消费者同意,干扰消费者正常使用功能。
第十一条 未经消费者同意或者请求,或者消费者明确表示拒绝的,餐饮经营者不得将消费者个人信息共享至第三方使用或推送商业营销信息。推送商业营销信息应当提供退订或拒绝选项。
第十二条 餐饮经营者应当保障消费者可以根据意愿注销账号、删除个人信息,不得设置不必要、不合理条件。
第三章 责任与监督
第十三条 餐饮经营者提供线下网络点餐服务的,应当同时备纸质菜单,纸质菜单供应的服务产品须与线上产品保持一致性。
第十四条 餐饮经营者应当建立健全消费者个人信息保护合规管理机制,完善个人信息收集、使用、储存、加工、传输、删除等各环节管理流程和操作要求,提升个人信息管理规范性。
第十五条 餐饮经营者承担个人信息保护主体责任,保证其小程序或委托第三方在设计、开发、运行、维护等各环节的安全性,并采取相应的技术措施和其他必要措施,确保消费者个人信息储存安全,规避信息泄露、数据被窃取、滥用、丢失等安全隐患。
第十六条 餐饮经营者应当定期组织开展门店消费者个人信息保护教育培训,明确个人信息保护合规职责。
第十七条 上海市消费者权益保护委员会与上海市餐饮烹饪行业协会将不定期对餐饮行业网络点餐服务合规情况开展暗访抽查和社会监督。
第四章 附则
第十八条 本指引自2023年7月18日起实施。