随着信息技术的发展，越来越多的新技术被用于我们的日常生活中。其中，最为典型的之一莫过于“扫码点餐”，随看随点，还能省去排队的烦恼，对于不少“社恐”人群而言，更是避免了面对面的沟通，但在这一技术出现的同时一些问题也随之而来：扫描二维码，弹出的不是菜单，而是繁琐的个人信息授权信息……我只是点个餐，真的需要这么多信息吗？

7月17日，上海市网信办、市市场监管局和市商务委支持上海市消保委会同市餐饮烹饪行业协会制定发布《上海市网络点餐服务消费者个人信息保护合规指引》（以下简称“《指引》”），针对网络点餐不同场景下餐饮经营者收集、使用、保管消费者个人信息等提出具体合规要求和操作准则，并提出了“六不”建议，包括：隐私政策不告知不继续，非必要个人信息不提供，一键登录要号码不允许，诱导给精准定位不同意，“被”会员诱关注不冲动，定向推营销广告不接受。本文我们一起来详细看看其中的几条。

1、隐私政策不告知不继续

通过《隐私政策》向用户告知处理个人信息的目的、方式、范围等，以实现处理个人信息的合法性及正当性是企业的基本做法，但简单的一纸《隐私政策》显然不能够满足现在的监管要求。企业、APP及小程序运营者需要明确《隐私政策》的目的是为了向用户履行告知义务，在实质上保证用户的知情权才是履行个人信息保护义务的根本。

根据我国《个人信息保护法》第13条及相关条款的规定，除了基于履行合同义务、履行法定义务、应对突发公共事件等特定情形，信息处理者应当首先取得个人同意，才可以处理个人信息。

《指引》中提到，消费者第一次使用扫码点餐服务，小程序没有通过弹窗等显著方式向消费者告知隐私政策；或者在下单、登录等页面默认勾选隐私政策的，消费者都可以拒绝使用小程序进行点餐，消费者可以选择线下点单。需要注意的是《指引》中所说的“显著方式”。一般我们认为，《隐私政策》在文本展现形式上，不得人为给用户造成阅读障碍，比如字体极小、行距过密等；在实质内容上，不得晦涩难懂、冗长繁琐，使用户难以理解，比如使用大量专业术语等。还应当明确告知用户，收集某些个人信息是为了实现什么样的功能目的，并因此调用哪些手机权限等。

2、非必要个人信息不提供

个人信息指的是以电子或者其他方式记录的、与已识别或者可识别的自然人有关的各种信息（不包括匿名化处理后的信息）。一般包括姓名、出生日期、生物识别信息、身份证件号码、住址、电话号码、电子邮箱、健康信息等。根据相关法律法规的规定，企业在处理个人信息时，应当具有明确、合理的目的，并应当与处理目的直接相关，不得过度收集个人信息，个人信息的处理需遵循最小必要原则，如果企业超授权范围处理个人信息需获取“二次授权”。具体来说，收集的个人信息应限于实现处理目的所必要的最小范围，采用对个人权益影响最小的方式收集个人信息，收集的个人信息应具有明确、合理、具体的个人信息处理目的。

试想，消费者到店点餐、消费、买单这一过程中，其实是不太需要用到姓名、生日、性别、家庭住址、身份证号、银行账户等个人信息的，如果小程序要求或诱导消费者填写这类与餐饮服务无关的个人信息，消费者应当引起重视，谨慎提供。

3、诱导给精准定位不同意

《个人信息保护法》在赋予了信息处理者经同意处理个人信息的基础上，也赋予了个人撤回与拒绝的权利，信息处理者不得以个人不同意或者撤回同意为由，拒绝提供产品或者服务，除非是信息处理者提供产品或服务所必须。例如，精准位置信息并不是点餐所必须的，但一些小程序会以便利消费者选择附近门店等为由，申请位置权限以获取精准位置信息。根据处理个人信息的原则，应当仅在用户使用业务功能期间，收集该业务功能所需的个人信息，消费者可以选择拒绝提供，小程序应该同时提供手动搜索门店的功能，不能因消费者拒绝提供位置信息而限制提供点餐服务。

结语

自6月中旬启动“亮剑浦江·消费领域个人信息权益保护专项执法行动”以来，目前已有涉及到的35000余家全国连锁餐饮门店完成整改。《指引》中也提到，市消协与市餐饮烹饪行业协会会不定期开展暗访与社会监督，以切实提升餐饮行业对消费者个人信息保护水平。相信，餐饮行业的个人信息保卫战只是一个开始，后续各行各业对个人信息“过度采、强制要、诱导取、违规用”的问题都会纳入更严格的监管。

本文为星瀚原创，如需转载请先联系。