为加强餐饮领域消费者个人信息保护,提升餐饮经营者合规经营水平,在山东省互联网信息办公室、省商务厅的支持下,山东省消费者协会会同省餐饮与住宿行业协会共同制定发布了《山东省网络点餐服务消费者个人信息保护合规指引》(以下简称《合规指引》)。现就相关内容解读如下。
问:制定《合规指引》的背景是什么?
答:网络点餐已成为餐饮行业消费者日常消费的重要方式,但行业中出现的过度收集消费者信息、强制授权权限、隐私政策晦涩难懂、账号注销难等问题也日益凸显,不仅侵犯了消费者合法权益,也影响了行业公信力。该指引既是落实个人信息保护相关法律法规的具体举措,也是回应广大消费者关切、规范餐饮行业健康发展的现实需要。
问:制定《合规指引》的依据有哪些?
答:《合规指引》是根据《中华人民共和国民法典》《中华人民共和国个人信息保护法》《中华人民共和国网络安全法》《中华人民共和国消费者权益保护法》《中华人民共和国数据安全法》等法律以及《App违法违规收集使用个人信息行为认定方法》等规范性文件,结合本省餐饮行业发展实际制定的。
问:《合规指引》的适用范围是什么?
答:《合规指引》适用于在本省行政区域内,通过在线点餐程序向消费者提供网络点餐服务的各类餐饮经营者。
问:《合规指引》具体适用于哪些主体和场景?
答:《合规指引》明确,餐饮经营者是指餐馆、饭店、酒店、快餐店、小吃店、饮品店、商场食品专柜、宾馆、度假村、农家乐等从事餐饮服务经营活动的各类经营主体。具体规范通过扫码、跳转点餐小程序等方式,向消费者提供信息浏览、菜单展示、价格查询、菜品选择及结算等基本功能的在线点餐服务。
问:《合规指引》的主要内容包括哪些?
答:《合规指引》共22条,主要包括4部分内容:
一是合规必要性。网络点餐服务是餐饮领域收集、使用消费者个人信息的重要场景,加强合规指引,可指导餐饮经营者识别法律风险,防范侵权行为,有效保护消费者合法权益。
二是适用范围及原则。在本省行政区域内,通过在线点餐程序向消费者提供网络点餐服务的各类餐饮经营者,适用本指引。餐饮经营者开展网络点餐服务经营活动,应当遵守法律法规和商业道德,不得违背公序良俗。处理个人信息应遵循合法、正当、必要、诚信、公开、透明的原则。
三是合规要求。针对当前网络点餐中存在的过度索权、强制授权、信息滥用等群众反映强烈的问题,细化具体要求,覆盖网络点餐全流程。
四是管理要求。餐饮经营者应当完善个人信息管理流程,加强技术防护和员工培训。
问:《合规指引》对网络点餐服务中消费者个人信息保护细化了哪些要求?
答:《合规指引》从以下十个方面作出细化要求:
一是明示信息处理规则。餐饮经营者应当以独立文本或在隐私政策中向消费者明示个人信息处理规则,包括收集、使用个人信息的目的、方式、范围、保存期限等。文本应简洁明了、语言通俗易懂、字体大小适宜,便于消费者理解和保存。
二是获取明确同意。在消费者首次使用网络点餐服务时,应当通过弹窗等显著方式提示阅读信息处理规则,并通过主动勾选、点击“同意”等明示动作获取同意,不得与其他功能捆绑。规则发生变更的,应当重新取得同意。
三是严格遵循授权范围。未经消费者同意,不得收集个人信息或打开可收集个人信息的权限;实际收集的信息或打开的权限不得超出消费者授权范围。
四是区分场景收集必要信息。根据线下堂食、到店自取、外卖配送等不同消费场景的实际需求,区分收集必要的个人信息。不得诱导、强制或变相强制消费者提供与餐饮服务无关的个人信息(如姓名、生日、性别、身份证号、银行账号等)。
五是禁止以优惠等名义强制或诱导。不得以提供优惠券、获取积分、会员折扣等形式或理由,强制或诱导消费者关注微信公众号或其他社交媒体账号、注册会员;不得收集与餐饮服务无关的个人信息,尤其是个人敏感信息。
六是敏感信息与权限获取须单独同意并提供替代方式。在线点餐程序使用微信一键登录等方式请求获取消费者的昵称、头像、手机号码等信息,或者需要获取精准位置信息以提供附近门店服务时,应当取得消费者的单独同意。消费者拒绝同意的,餐饮经营者应当提供能够继续使用基本功能的替代方式。
七是禁止频繁弹窗干扰。在网络点餐服务过程中,在线点餐程序不得频繁向消费者弹窗请求授权同意收集个人信息或开启权限,不得干扰消费者使用网络点餐的基本功能。
八是规范信息共享与营销信息发送。未经消费者单独同意,或者消费者已明确表示拒绝的,餐饮经营者不得将个人信息提供给任何第三方。未经同意或请求,或者消费者明确拒绝的,不得向其发送商业性营销信息。经消费者同意的,应当同时提供显著、便捷的取消方式。
九是保障注销权和删除权。餐饮经营者应当提供线上注销账号及删除个人信息的渠道,及时处理消费者的申请,不得设置不必要或不合理的条件。
十是保留纸质菜单。餐饮经营者在线下提供网络点餐服务的,应当同时备有纸质菜单。纸质菜单中展示的服务产品名称、价格、规格等信息,应当与线上保持一致。不得强制或诱导消费者使用网络点餐服务。
问:《合规指引》对餐饮经营者提出了哪些责任与管理要求?
答:《合规指引》从以下五个方面明确了餐饮经营者的责任与管理要求:
一是建立合规管理架构。建立健全消费者个人信息保护合规管理架构,制定相应的合规管理制度,完善合规运行机制。
二是承担主体责任。餐饮经营者对消费者个人信息保护承担主体责任。自行开发、运维在线点餐程序的,应当对个人信息收集、存储、使用、加工、传输、提供、公开、删除等各环节采取加密、去标识化等安全技术措施及其他必要措施,防范泄露、篡改、丢失、被窃取、滥用等风险。发生或可能发生信息泄露、丢失时,应立即采取补救措施,并及时上报有关行政管理部门。
三是规范委托第三方处理。委托第三方处理个人信息的,应当与第三方约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利义务,并对第三方进行监督。第三方不得超出约定范围处理信息;委托合同不生效、无效、被撤销或终止的,第三方应当返还或删除信息,不得保留;未经同意不得转委托他人处理个人信息。
四是加强员工培训。将消费者个人信息保护纳入员工日常教育培训,明确员工的个人信息保护职责。
五是建立投诉举报渠道。建立并公布消费者个人信息安全的投诉、举报渠道,及时受理并处理相关投诉、举报,并告知消费者对处理结果不满意时的相应救济途径。
问:《合规指引》的法律效力如何?如何加强实施效果?
答:《合规指引》是对网络点餐服务中消费者个人信息保护作出的一般性指引,法律法规、规范性文件另有专门规定的,适用其规定。
为加强实施效果,山东省消费者协会与山东省餐饮与住宿行业协会将加强对餐饮行业网络点餐合规情况的社会监督,包括开展消费体验调查、受理消费者投诉、发布合规警示等,保护消费者合法权益。
问:对消费者有哪些提示?
答:消费者在网络点餐过程中,应增强个人信息保护意识:
一是注意阅读隐私政策或信息处理规则,谨慎点击“同意”。
二是对非必要的个人信息收集、强制关注公众号等行为,可以明确拒绝。
三是如发现经营者存在过度收集信息、无法删除账号、频繁发送营销信息且无法退订等问题,建议首先向经营者反映,要求其停止侵权、履行法定义务;经营者拒不处理或对处理结果不满意的,可向消费者协会投诉,或通过12345 政务服务便民热线向有关行政部门投诉举报,此外,消费者还可以依法向人民法院提起诉讼。
《山东省网络点餐服务消费者个人信息保护合规指引》的出台,标志着山东省在餐饮消费领域个人信息保护方面迈出了行业自律与规范发展的关键一步。希望广大餐饮经营者以此为契机,主动对标合规要求,优化点餐服务流程,切实尊重和保护消费者个人信息权益,共同营造安全、透明、可信的网络消费环境。
