金桥法谈 | 扫码点餐:便利背后的个人信息安全风险
The following article is from 大火说游戏 Author 郑鑫焱、黄骊月
郑鑫焱 律师
广东金桥百信律师事务所
黄骊月 实习律师
广东金桥百信律师事务所
01
引言
随着互联网技术飞速发展,移动支付的出现无疑影响了各大行业,例如餐饮业推出了一种新型点单模式——“扫码点餐”。对于消费者来说,扫码点餐确实很容易操作,即只需要打开手机,扫描餐厅二维码,关注商家后便可直接进行点餐。这种点餐模式,既能够有效降低了商家的人工成本、加速点单及沟通的效率,又能够减少消费者与服务人员的直接接触,符合当下疫情时期的特殊要求。
但在为人们提供快捷便利的同时,扫码点餐不可否认地也给消费者的个人信息安全带来了不少的担忧及隐患。
商家这种不断要求消费者开放个人信息授权的扫码点单行为是否触及法律风险?扫码点单是否有必要收集消费者个人信息?消费者授权商家其个人信息后是否安全?针对上述问题,本文将结合扫码点餐具体行为模式,就企业在经营活动中如何合规采集、存储、处理公民个人信息等内容进行简要分析。
02
法律分析
对于微信小程序内商家使用扫码点餐、设置消费者关注公众号(或可不关注)后开启点餐,并获取消费者一些不敏感的个人信息的行为,在当前法律上看并不违法。但需注意的是,一旦商家对消费者个人信息的获取、收集及处理等行为越过了法律规定的“红线”范围,则很可能触及法律风险。
一、基本概念
根据《民法典》、《网络安全法》及《信息安全技术公共及商用服务信息系统个人信息保护指南》等相关法律规定,个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息、通信通讯联系方式、账号密码、财产状况、种族、政治观点、宗教信仰等。
在扫码点餐中,若商家要求消费者在扫码点餐中授权其手机号码、个人地理位置权限、身份证号码、出生日期,面容或指纹识别特征,甚至进行实名认证等,该信息均属于法定个人信息范畴内,受法律保护。
而微信昵称、头像等微信账户信息的授权,从当前的法律法规上看貌似并不在法定的“个人信息”范畴内,但这并不意味着该微信账户信息就不受保护。在2019年腾讯起诉字节跳动旗下抖音、多闪涉嫌违规使用用户数据一案中,人民法院就认为用户提交的微信头像和微信昵称(即使用户同意授权的情况下)同样属于个人信息的范畴,也受法律保护。
二、商家收集消费者个人信息的合法性问题
01
根据《民法典》及《网络安全法》等目前相关法律规定,网络运营者在收集、使用、处理个人信息,应当遵循合法、正当、必要的原则,不得过度处理。
在扫码点餐中,消费者通常使用微信小程序或公众号进行点餐,其授权必然与微信头像昵称等账户信息连接绑定在一起,此时主要以是否超过必要性原则为主要辨别标准,即商家在技术上是否必要收集消费者该类信息。譬如,商家在技术上已经可以做到即使不需要访问消费者个人信息也可以直接点餐,但商家仍要求获取消费者姓名、手机号、微信等信息,其就明显违反了法定的必要性原则,构成过度索取公民个人信息。
02
而根据即将实施的《个人信息保护法(草案)》等相关法律法规,也已确立了以“告知——同意”为核心的公民个人信息处理一系列规则,即商家应向消费者履行告知义务,将其在处理信息过程中可能涉及的收集、存储、使用、加工、传输、提供、公开等各种行为及用途等均需要告知消费者,并向消费者明示信息保护相关的投诉、举报机制等,不得对消费者进行任何隐瞒、欺诈或误导行为。
(1)在扫码点餐中,若商家在获取消费者手机号码、微信信息、地理位置,尤其是身份证号、面容指纹生物识别特征等个人敏感信息时,并未向消费者告知获取上述信息的用途、使用目的、方式和具体范围等内容,则构成对消费者个人信息的明显侵犯。
(2)除履行上述告知义务,商家还需要经过消费者的有效同意后才可依法收集该个人信息,否则也构成对消费者个人信息的侵犯,例如:
• 消费者仅向商家授权其地理位置定位权限,商家除了位置信息外还同步收集了消费者的设备信息、通讯录信息等信息;
• 消费者选择拒绝个人信息授权后,商家系统仍然频繁征求消费者同意授权,并无法显示正常点餐界面。
• 通过积分、奖励、折扣优惠等方式欺骗误导消费者授权同意提供身份证号码、面容指纹信息等个人敏感信息。
(3)除此之外,若消费者选择拒绝个人信息授权后,商家不能单独提供实际点餐服务,或商家系统自动跳转到了“外送服务”“打包带走”的服务界面,即消费者不授权信息,就无法在店内点餐、用餐,其也违反了《APP违法违规收集使用个人信息行为认定方法》规定,符合“因用户不同意收集非必要个人信息而拒绝提供业务功能”的违规情形。
三、商家处理个人信息的正当性问题
受制于资本,使用扫码点餐模式的商家,其后台系统的技术手段和硬件设施通常缺乏,且数据保护意识也不强,很难保证其在收到消费者授权的个人信息后能够具有合规安全的使用与处理。
在通常情况下,商家在收集消费者个人信息后还会向消费者发送营销短信、广告等方式吸引消费者二次消费。而此时,根据《民法典》等相关法律法规,个人信息的处理目的发生变更时,应当重新取得信息主体本人同意。若商家未经消费者的同意即将个人信息随意用于广告营销,也可能构成对消费者权益的侵犯。
此外,根据《刑法》、《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》等相关规定,非法出售或者提供公民个人信息(行踪轨迹、通信记录/内容、征信信息、财产信息、交易信息或其他可能影响人身、财产安全的公民个人信息)数量情形达到法律入罪标准的,则涉嫌构成侵犯公民个人信息罪。
例如,在扫码点餐中,如果商家非法获取、出售或向他人提供的消费者的姓名、身份证号码、面容指纹生物识别特征等敏感信息超过法定数量(具体参考《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第五条第一款),或商家通过该违法行为获利五千元以上,均可能涉嫌构成侵犯公民个人信息罪,需要承担刑事责任。
四、消费者个人信息涉及第三方流转处理等问题
值得一提的是,消费者除了能使用商家自有系统进行点餐外,还有一种扫码点餐模式是:消费者扫描二维码后,即跳转至第三方平台页面(如“美团”、“美味不用等”),消费者需要同步授权给商家和第三方平台各种信息后,才能进行点餐。
鉴于该种扫码点餐模式,使得消费者的个人信息除了被商家自行收集处理外,还可能在不知不觉中已被第三方平台公司共享与使用,此时将消费者的个人信息处理与保护更是陷入不利地位,极易产生信息泄露或被违法使用等上述法律风险。
丨拓展延伸丨
扫码点餐可能延伸的其他法律责任
1、剥夺消费者选择权——涉嫌构成强迫交易
若商家强迫消费者应关注公众号后才能点餐,否则不可提供点餐用餐服务的,其情形已经违反了《中华人民共和国消费者权益保护法》规定“排除或者限制消费者权利、加重消费者责任等对消费者不公平、不合理的规定,借助技术手段强制交易”,构成强迫交易的违法行为。情节严重的,甚至还有可能违反了《刑法》中“强迫他人提供或者接受服务的”涉嫌构成强迫交易罪。
2、侵扰他人私人生活安宁——涉嫌构成侵犯公民隐私权
商家或平台根据收集而来的消费者个人信息,未经消费者同意即向消费者发送营销短信、发布广告的行为,若侵扰或妨碍了消费者的私人生活安宁,其情形已经违反了《民法典》规定,构成侵害他人的隐私权。
03
防范建议
现今,随着消费者对个人信息权益愈发重视,相关执法趋严的大环境下,对于国内企业不断推出新型的营销模式而言,其对公民个人信息保护合规计划并进行合规评估与整改都是十分必要的。因此,作为信息收集处理者的企业,本文建议可通过以下步骤实际开展个人信息保护的合规治理工作:
一、企业内部操作的层面
01
明确企业内部关于“个人信息保护”的职责制度,形成组织架构层面有力的制度保障。同时,加强企业员工对“个人信息保护”的合规保护意识,定期组织合规培训,在业务实操方面应签署相关的保密协议等。
02
建立、维护和更新用户个人信息处理活动记录,建立健全企业对用户个人信息的处理目的、方式、个人信息的种类以及对个人影响的风险评估制度。
03
企业应做好数据分级工作,区分一般个人信息、敏感个人信息和其他信息等,对不同级别的信息的处理风险进行评估,做好风险识别工作。
04
企业在处理个人信息时可以考虑采用匿名化的方法,切断个人信息与信息主体之间的识别或关联关系(即结合其他信息也无法判断信息主体的身份),从个人信息的基本定义上规避风险。
05
企业在设计业务合同、服务合同、用户协议等文本时,应对涉及“个人信息保护”的相关条款应当尽可能明确、具体、细化,规范双方的权利义务,避免违法违规。同时,企业还应建立健全企业自身的隐私保护政策,尤其是对未成年人的保护。
二、企业外部活动的层面
01
企业对外获取或收集用户个人信息时,必须提前取得用户个人有效且明示的书面同意。除非法律另有规定,如用户撤回同意的,企业亦不得以拒绝为其提供服务为由以此要挟获得信息。
02
企业在获取、收集、使用或处理用户个人信息时,应将处理目的、处理方式、处理的信息种类及期限等所有范围要求均告知用户主体,不得隐瞒、欺诈。
03
企业将用户个人信息委托或交付第三方使用时应当注意:
①要求信息提供方保证其所获取的个人信息来源是合法正当,并已取得信息主体(用户)的同意或合法授权等。
【注意】此时的“用户同意或授权”不仅仅包括了“同意信息提供方处理”,还需要包括“同意第三方(即企业)处理”。
②应在约定的合同范围内收集、处理用户个人信息,不能越权或超出特定范围,不得用于与约定无关或违法违规之情形。
【注意】此处的约定范围不可以超出用户的合法授权范围。
③若任一方一旦变更了原先所获信息的范围、内容或处理方式等,都应重新向用户履行前述第①、②点义务。
④明确相关的责任承担。例如:“一旦造成信息泄露、恶意使用等侵犯用户信息的行为,由信息提供方承担”,以此规避企业承责风险。
⑤若用户撤回其同意或授权的,企业也只能及时消除用户信息,不得以此为由拒绝提供任何服务。
最后,企业应注意所接收的用户信息种类、数量,以及使用信息的目的,均不得违反法律法规等规定。
04
企业在接收个人信息数据时应当在协议中尽可能要求数据提供方对其资质、行为等内容进行承诺保证,必要时可以在业务开展前对提供方进行尽职调查,减少侵权风险。
丨法条链接丨
● 《中华人民共和国网络安全法》
第四十一条 网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。
● 《中华人民共和国民法典》
第一百一十一条 自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。
第一千零三十二条 自然人享有隐私权。任何组织或者个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权。
隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。
第一千零三十三条 除法律另有规定或者权利人明确同意外,任何组织或者个人不得实施下列行为:
(一)以电话、短信、即时通讯工具、电子邮件、传单等方式侵扰他人的私人生活安宁;
(二)进入、拍摄、窥视他人的住宅、宾馆房间等私密空间;
(三)拍摄、窥视、窃听、公开他人的私密活动;
(四)拍摄、窥视他人身体的私密部位;
(五)处理他人的私密信息;
(六)以其他方式侵害他人的隐私权。
第一千零三十四条 自然人的个人信息受法律保护。个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。
第一千零三十五条 处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理,并符合下列条件:
(一)征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;
(二)公开处理信息的规则;
(三)明示处理信息的目的、方式和范围;
(四)不违反法律、行政法规的规定和双方的约定。
个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。
第一千零三十六条 处理个人信息,有下列情形之一的,行为人不承担民事责任:
(一)在该自然人或者其监护人同意的范围内合理实施的行为;
(二)合理处理该自然人自行公开的或者其他已经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外;
(三)为维护公共利益或者该自然人合法权益,合理实施的其他行为。
第一千零三十七条 自然人可以依法向信息处理者查阅或者复制其个人信息;发现信息有错误的,有权提出异议并请求及时采取更正等必要措施。
自然人发现信息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息的,有权请求信息处理者及时删除。
第一千零三十八条 信息处理者不得泄露或者篡改其收集、存储的个人信息;未经自然人同意,不得向他人非法提供其个人信息,但是经过加工无法识别特定个人且不能复原的除外。
信息处理者应当采取技术措施和其他必要措施,确保其收集、存储的个人信息安全,防止信息泄露、篡改、丢失;发生或者可能发生个人信息泄露、篡改、丢失的,应当及时采取补救措施,按照规定告知自然人并向有关主管部门报告。
● 《中华人民共和国刑法》
第二百五十三条之一 违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。
● 《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》
第一条 以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。
第三条 向特定人提供公民个人信息,以及通过信息网络或者其他途径发布公民个人信息的;
未经被收集者同意,将合法收集的公民个人信息向他人提供的。
上述均属于刑法第二百五十三条之一规定的“提供公民个人信息”,但是经过处理无法识别特定个人且不能复原的除外。
第四条 违反国家有关规定,通过购买、收受、交换等方式获取公民个人信息,属于刑法第二百五十三条之一第三款规定的“以其他方法非法获取公民个人信息”。
第五条第一款 (一)出售或提供行踪轨迹信息,被他人用于犯罪的;(二)知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供的;(三)非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;(四)非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的;(五)非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的;(六)数量未达到第三项至第五项规定标准,但是按相应比例合计达到有关数量标准的;(七)违法所得五千元以上的;(八)将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人,数量或者数额达到第三项至第七项规定标准一半以上的;(九)曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法获取、出售或者提供公民个人信息的;(十)其他情节严重的情形。
● 《电信和互联网用户个人信息保护规定》
第八条 电信业务经营者、互联网信息服务提供者应当制定用户个人信息收集、使用规则,并在其经营或者服务场所、网站等予以公布。
第九条 未经用户同意,电信业务经营者、互联网信息服务提供者不得收集、使用用户个人信息。
电信业务经营者、互联网信息服务提供者收集、使用用户个人信息的,应当明确告知用户收集、使用信息的目的、方式和范围,查询、更正信息的渠道以及拒绝提供信息的后果等事项。
电信业务经营者、互联网信息服务提供者不得收集其提供服务所必需以外的用户个人信息或者将信息用于提供服务之外的目的,不得以欺骗、误导或者强迫等方式或者违反法律、行政法规以及双方的约定收集、使用信息。
电信业务经营者、互联网信息服务提供者在用户终止使用电信服务或者互联网信息服务后,应当停止对用户个人信息的收集和使用,并为用户提供注销号码或者账号的服务。法律、行政法规对本条第一款至第四款规定的情形另有规定的,从其规定。
第十条 电信业务经营者、互联网信息服务提供者及其工作人员对在提供服务过程中收集、使用的用户个人信息应当严格保密,不得泄露、篡改或者毁损,不得出售或者非法向他人提供。
第十一条 电信业务经营者、互联网信息服务提供者委托他人代理市场销售和技术服务等直接面向用户的服务性工作,涉及收集、使用用户个人信息的,应当对代理人的用户个人信息保护工作进行监督和管理,不得委托不符合本规定有关用户个人信息保护要求的代理人代办相关服务。
● 《信息安全技术公共及商用服务信息系统个人信息保护指南》
3.7个人敏感信息 一旦遭到泄露或修改,会对标识的个人信息主体造成不良影响的个人信息。各行业个人敏感信息的具体内容根据接受服务的个人信息主体意愿和各自业务特点确定。例如个人敏感信息可以包括身份证号码、手机号码、种族、政治观点、宗教信仰、基因、指纹等。
3.8个人一般信息 除个人敏感信息以外的个人信息。
3.9个人信息处理 处置个人信息的行为,包括收集、加工、转移、删除。
3.10默许同意 在个人信息主体无明确反对的情况下,认为个人信息主体同意。
3.11明示同意 个人信息主体明确授权同意,并保留证据。
● 《个人信息保护法(草案)》
第四条 个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等活动。
第五条 处理个人信息应当采用合法、正当的方式,遵循诚信原则,不得通过欺诈、误导等方式处理个人信息。
第六条 处理个人信息应当具有明确、合理的目的,并应当限于实现处理目的的最小范围,不得进行与处理目的无关的个人信息处理。
第九条 个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。
第十四条 处理个人信息的同意,应当由个人在充分知情的前提下,自愿、明确作出意思表示。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。
第十五条 个人信息处理者知道或者应当知道其处理的个人信息为不满十四周岁未成年人个人信息的,应当取得其监护人的同意。
第十六条 基于个人同意而进行的个人信息处理活动,个人有权撤回其同意。
第十七条 个人信息处理者不得以个人不同意处理其个人信息或者撤回其对个人信息处理的同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。
第十八条 个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言向个人告知下列事项:
(一)个人信息处理者的身份和联系方式;
(二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;
(三)个人行使本法规定权利的方式和程序;
(四)法律、行政法规规定应当告知的其他事项。
前款规定事项发生变更的,应当将变更部分告知个人。
个人信息处理者通过制定个人信息处理规则的方式告知第一款规定事项的,处理规则应当公开,并且便于查阅和保存。
金桥百信 招贤纳士
►广东金桥百信律师事务所于1995年在广州设立,是国内第一批合伙制律师事务所。办公地址位于广州市CBD核心——珠江新城超甲级写字楼高德置地广场G座楼24、25楼,办公面积近5000平方米,执业律师逾400人。2015年事务所启动改制和创新管理,2019年凭借自身的核心竞争力和优势顺利入选ALB 2019年亚洲最大50家律师事务所,2020年被评为2016-2019年度广州优秀律师事务所。
►广东金桥百信律师事务所因不断壮大需求,诚邀志同道合的法律精英加盟,携手合作、共创美好金桥。
►合伙人加盟联系
人才发展委员会副主任罗建欣律师
邮箱:luojianxin@kingbridgelaw.com
电话:186 8888 9563
►律师、实习律师/助理、实习生加入联系
人力资源部郑小姐
邮箱:kingbridge@gdjqbx.com
电话:135 8043 6900
工作地点:广州市天河区珠江东路16号高德置地冬广场G座24、25楼
推荐阅读
金桥法谈 | 冷静期导致离婚难?——实则离婚人数变化不大,几种情况将被拉黑180天
金桥法谈 | 《合成大西瓜》广告“翻车”——简析游戏中植入广告的风险
点击分享
点赞
点亮在看