消费者在餐厅刷码点单已经是非常常见的操作。但是餐厅在提供给消费者刷码点单便利的时候,务必要特别注意保护消费者个人信息,严禁收集非必要个人信息,并对已经收集的合理必要信息采取严格保密措施,否则很可能会遭受行政处罚,若出现个人信息买卖或重大泄漏等事件,甚至会产生刑事责任。以下案例是个很好的警示:
今年十月,上海普陀区市场监督管理局查处了某某餐饮公司( “A 餐饮公司 ” )违反消费者个人信息保护的案例。 A 餐饮公司在其管理的餐厅内提供扫码点餐服务,具体是在餐厅餐桌上张贴绑定对应桌号的二维码,消费者通过微信等软件的扫一扫功能,实现点菜、下单等交易功能。但是, A 餐饮公司通过软件设置, 要求消费者必须授权手机号码才能完成扫码点餐 ,且未告知消费者收集手机号的目的。
经执法机关核实,收集手机号并非完成扫码点餐功能的必要环节,且A餐饮公司也没有向消费者明示收集、使用手机号码的目的、方式和范围。另外,A餐饮公司将在经营过程中收集的消费者个人信息,在其使用的餐饮管理软件相应模块中可以查阅、下载和使用,而具备账号权限进行软件对应操作的人员并无针对性保密义务要求;在日常运营过程中,存在直接交由第三人对软件进行操作的情况,未签订保密协议,未约定泄密责任,未制定数据泄露处置等应急预案;在该管理软件中可以批量导出“会员ID、卡号、卡类型、有效期、卡状态、售卡时间、售卡终端号、售卡门店、姓名、性别、手机号码、卡余额”等包含消费者个人信息的Excel文档,在导出过程无安全验证,导出的文档也未加密。综合来看,A餐饮公司对其储存在餐饮管理软件系统内的消费者个人信息怠于履行安全管理义务,存在安全隐患,没有采取技术措施和其他必要法律措施,确保信息安全,防止消费者个人信息泄露、丢失。
图片来源:摄图网
对此,上海普陀区市场监督管理局认定A餐饮公司违反了《消费者权益保护法》第二十九条规定“经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。经营者收集、使用消费者个人信息,应当公开其收集、使用规则,不得违反法律、法规的规定和双方的约定收集、使用信息。经营者及其工作人员对收集的消费者个人信息必须严格保密,不得泄露、出售或者非法向他人提供。经营者应当采取技术措施和其他必要措施,确保信息安全,防止消费者个人信息泄露、丢失。在发生或者可能发生信息泄露、丢失的情况时,应当立即采取补救措施”。为此,执法机关对A餐饮公司做出了警告另加人民币5万元罚款的决定。
本案对于餐饮公司具有很大的警示意义,即餐厅在设置刷码点单的时候,务必避免搜集和存储消费者个人信息,特别是姓名、手机号码、身份证号码、地址等信息。对于确有合理必要搜集和存储的信息,要采取必要安全技术措施,严格控制接触信息的人员,并和相关人员签署完善的保密协议,设置有效处罚规定,严防相关人员可以轻易导出用户个人信息。《个人信息保护法》已于2021年11月1日生效,其处罚金额的上限也远远高于《消费者权益保护法》的规定,这是经营者需要特别注意的。