上海市消保委在今年315期間開展餐飲領域掃碼點餐個人信息保護暗訪監督的基礎上,依據《上海市消費者權益保護條例》賦予的法定職責,會同市餐飲烹飪行業協會制定發布《上海市網絡點餐服務消費者個人信息保護合規指引》,《指引》得到了上海市網信辦、市市場管理局和市商務委的大力支持與指導,針對網絡點餐不同場景下餐飲經營者收集、使用、保管消費者個人信息等提出了具體的合規要求和操作準則,以切實提升餐飲行業對消費者個人信息保護水平。
根據《指引》,餐飲經營者在進行網絡點餐服務時,需在消費者首次使用時以彈窗或其他顯著方式向消費者提示隱私政策,并征得消費者明確同意。同時,餐飲經營者也需嚴格按照其申明規則收集、使用消費者個人信息,收集的個人信息或打開的可收集個人信息權限不得超出消費者授權范圍。
《指引》強調了幾個重點:
1
消費者個人信息收集和使用需合法、正當、必要和誠信,《指引》要求餐飲經營者在收集和使用消費者個人信息時,必須遵守相關法律法規,并獲得消費者的明確同意。
2
根據消費場景區分索取相適應的權限和信息。《指引》要求餐飲經營者需根據消費者登錄、點餐、取號、加菜、結賬等不同消費場景,合理索取相應的權限和信息,不得收集與餐飲服務無關的個人信息。
3
不得強制或誘導消費者關注公眾號或推送商業營銷信息。《指引》要求餐飲經營者不得以任何形式和理由強制或誘導消費者關注經營者微信公眾號,不得以任何形式和理由強制或誘導消費者同意餐飲經營者收集其與餐飲服務無關的個人信息。推送商業營銷信息應當提供退訂或拒絕選項。
4
保障消費者可以根據意愿注銷賬號、刪除個人信息。《指引》強調,餐飲經營者應當保障消費者可以根據意愿注銷賬號、刪除個人信息,不得設置不必要、不合理條件。
此外,《指引》還規定了以下內容:
1
餐飲經營者應當建立健全消費者個人信息保護合規管理機制,完善個人信息收集、使用、儲存、加工、傳輸、刪除等各環節管理流程和操作要求,提升個人信息管理規范性。
2
餐飲經營者承擔個人信息保護主體責任,保證其小程序或委托第三方在設計、開發、運行、維護等各環節的安全性,并采取相應的技術措施和其他必要措施,確保消費者個人信息儲存安全,規避信息泄露、數據被竊取、濫用、丟失等安全隱患。
3
餐飲經營者應當定期組織開展門店消費者個人信息保護教育培訓,明確個人信息保護合規職責。
對于近期社會關注的不使用智能手機的消費者無法掃碼點餐的問題,《指引》也要求餐飲經營者提供線下網絡點餐服務的,應當同時備紙質菜單,紙質菜單供應的服務產品須與線上產品保持一致性。
為了確保《指引》的實施效果,上海市消保委和市餐飲協會將不定期對餐飲行業網絡點餐服務合規情況開展暗訪抽查和社會監督。
此《指引》的實施將進一步提升上海市餐飲行業在保護消費者個人信息方面的合規水平,同時也為消費者在網絡點餐服務中提供了更加安全和放心的環境。這不僅反映了上海市在保護消費者個人信息方面的高度重視,也體現了上海作為國際大都市在維護消費者權益方面的積極努力。
上海消保委和上海餐飲協會呼吁所有餐飲經營者積極響應并遵守這一《指引》,共同努力提升上海市網絡點餐服務消費者的個人信息保護水平,為消費者提供更安全、更優質的服務。同時,上海市消保委也呼吁廣大消費者提高個人信息保護意識,關注自身信息的保護情況,如遇個人信息被侵犯的情況,應及時向有關部門舉報投訴,以維護自身權益。
這一《指引》的發布和實施,無疑將推動上海市網絡點餐服務的健康發展,為消費者提供更安全、更便捷的服務體驗。同時,也將有力推動上海市餐飲行業個人信息保護向著更加規范、更加透明的方向發展,為行業的長期發展奠定堅實的基礎。
上海市網絡點餐服務
消費者個人信息保護合規指引 第一章 總則 第一條 目的和依據 為強化本市餐飲領域消費者個人信息保護,有效提升餐飲經營者合規經營水平,在上海市網信辦、市市場監管局和市商務委的支持下,上海市消費者權益保護委員會同上海市餐飲烹飪行業協會依據《中華人民共和國個人信息保護法》、《中華人民共和國消費者權益保護法》、《上海市消費者權益保護條例》、《App違法違規收集使用個人信息行為認定方法》等法律法規,根據本市餐飲行業發展現狀,結合社會監督調查結果,制定本指引。 第二條 適用范圍 本指引適用于本市行政區域內的各類餐飲經營者,作為餐飲經營者開展網絡點餐服務消費者個人信息保護合規管理的指導建議。 第三條 基本概念 本指引所稱的餐飲經營者,是指從事飲食的加工、烹飪及消費服務經營活動,包括但不限于餐館、飯店、酒店、快餐店、小吃店、飲品店、賓館、度假村等單位。 本指引所稱的網絡點餐,是指餐飲經營者通過二維碼掃碼跳轉小程序或直接以小程序等方式向消費者提供在線自助點單服務。 本指引所稱的小程序,是指餐飲經營者供消費者直接獲取餐廳信息、菜單、在線點餐、結賬等功能的應用程序,包括但不限于通過微信/支付寶小程序、微信公眾號、h5頁面等。 第四條 基本原則 餐飲經營者開展網絡點餐服務經營活動,應當自覺遵守法律法規、商業道德和公序良俗,收集、使用消費者個人信息應當遵循合法、正當、必要、誠信的原則。 第二章 消費者個人信息保護 第五條 餐飲經營者應當在消費者首次使用網絡點餐服務時,以彈窗或其他顯著方式向消費者提示隱私政策。彈窗信息描述清楚,文字大小合適,條款內容簡潔明了,應當清晰、準確地明示收集、使用、儲存消費者個人信息的具體規則,便于消費者閱讀和理解,并征得消費者明確同意,不得默認勾選同意隱私政策或是僅提供同意選項。 第六條 餐飲經營者應當嚴格按照其申明規則收集、使用消費者個人信息,收集的個人信息或打開的可收集個人信息權限不得超出消費者授權范圍。 第七條 餐飲經營者收集的個人信息應與當前餐飲消費場景密切相關,并根據線下堂食、到店自取、外賣配送等消費場景區分索取相適應的權限和信息,不得在消費者登錄、點餐、取號、加菜、結賬等環節誘導索取與餐飲服務無關的個人信息,包括但不限于姓名、生日、性別、手機號碼、家庭住址、身份證號、銀行賬號等。 第八條 小程序使用微信一鍵登錄獲取微信昵稱、微信頭像或手機號碼等信息,或需要獲取精準位置以提供附近門店服務的,應當征得消費者明確同意,不得以消費者拒絕授權為由停止提供服務或限制使用功能,應當向消費者提供其他服務方式。 第九條 餐飲經營者不得以任何形式和理由強制或誘導消費者關注經營者微信公眾號,不得以任何形式和理由強制或誘導消費者同意餐飲經營者收集其與餐飲服務無關的個人信息。 第十條 網絡點餐服務期間,小程序不得頻繁彈窗申請消費者同意,干擾消費者正常使用功能。 第十一條 未經消費者同意或者請求,或者消費者明確表示拒絕的,餐飲經營者不得將消費者個人信息共享至第三方使用或推送商業營銷信息。推送商業營銷信息應當提供退訂或拒絕選項。 第十二條 餐飲經營者應當保障消費者可以根據意愿注銷賬號、刪除個人信息,不得設置不必要、不合理條件。 第三章 責任與監督 第十三條 餐飲經營者提供線下網絡點餐服務的,應當同時備紙質菜單,紙質菜單供應的服務產品須與線上產品保持一致性。 第十四條 餐飲經營者應當建立健全消費者個人信息保護合規管理機制,完善個人信息收集、使用、儲存、加工、傳輸、刪除等各環節管理流程和操作要求,提升個人信息管理規范性。 第十五條 餐飲經營者承擔個人信息保護主體責任,保證其小程序或委托第三方在設計、開發、運行、維護等各環節的安全性,并采取相應的技術措施和其他必要措施,確保消費者個人信息儲存安全,規避信息泄露、數據被竊取、濫用、丟失等安全隱患。 第十六條 餐飲經營者應當定期組織開展門店消費者個人信息保護教育培訓,明確個人信息保護合規職責。 第十七條 上海市消費者權益保護委員會與上海市餐飲烹飪行業協會將不定期對餐飲行業網絡點餐服務合規情況開展暗訪抽查和社會監督。 第四章 附則 第十八條 本指引自2023年7月18日起實施。
上海市網絡點餐服務
消費者個人信息保護合規指引 第一章 總則 第一條 目的和依據 為強化本市餐飲領域消費者個人信息保護,有效提升餐飲經營者合規經營水平,在上海市網信辦、市市場監管局和市商務委的支持下,上海市消費者權益保護委員會同上海市餐飲烹飪行業協會依據《中華人民共和國個人信息保護法》、《中華人民共和國消費者權益保護法》、《上海市消費者權益保護條例》、《App違法違規收集使用個人信息行為認定方法》等法律法規,根據本市餐飲行業發展現狀,結合社會監督調查結果,制定本指引。 第二條 適用范圍 本指引適用于本市行政區域內的各類餐飲經營者,作為餐飲經營者開展網絡點餐服務消費者個人信息保護合規管理的指導建議。 第三條 基本概念 本指引所稱的餐飲經營者,是指從事飲食的加工、烹飪及消費服務經營活動,包括但不限于餐館、飯店、酒店、快餐店、小吃店、飲品店、賓館、度假村等單位。 本指引所稱的網絡點餐,是指餐飲經營者通過二維碼掃碼跳轉小程序或直接以小程序等方式向消費者提供在線自助點單服務。 本指引所稱的小程序,是指餐飲經營者供消費者直接獲取餐廳信息、菜單、在線點餐、結賬等功能的應用程序,包括但不限于通過微信/支付寶小程序、微信公眾號、h5頁面等。 第四條 基本原則 餐飲經營者開展網絡點餐服務經營活動,應當自覺遵守法律法規、商業道德和公序良俗,收集、使用消費者個人信息應當遵循合法、正當、必要、誠信的原則。 第二章 消費者個人信息保護 第五條 餐飲經營者應當在消費者首次使用網絡點餐服務時,以彈窗或其他顯著方式向消費者提示隱私政策。彈窗信息描述清楚,文字大小合適,條款內容簡潔明了,應當清晰、準確地明示收集、使用、儲存消費者個人信息的具體規則,便于消費者閱讀和理解,并征得消費者明確同意,不得默認勾選同意隱私政策或是僅提供同意選項。 第六條 餐飲經營者應當嚴格按照其申明規則收集、使用消費者個人信息,收集的個人信息或打開的可收集個人信息權限不得超出消費者授權范圍。 第七條 餐飲經營者收集的個人信息應與當前餐飲消費場景密切相關,并根據線下堂食、到店自取、外賣配送等消費場景區分索取相適應的權限和信息,不得在消費者登錄、點餐、取號、加菜、結賬等環節誘導索取與餐飲服務無關的個人信息,包括但不限于姓名、生日、性別、手機號碼、家庭住址、身份證號、銀行賬號等。 第八條 小程序使用微信一鍵登錄獲取微信昵稱、微信頭像或手機號碼等信息,或需要獲取精準位置以提供附近門店服務的,應當征得消費者明確同意,不得以消費者拒絕授權為由停止提供服務或限制使用功能,應當向消費者提供其他服務方式。 第九條 餐飲經營者不得以任何形式和理由強制或誘導消費者關注經營者微信公眾號,不得以任何形式和理由強制或誘導消費者同意餐飲經營者收集其與餐飲服務無關的個人信息。 第十條 網絡點餐服務期間,小程序不得頻繁彈窗申請消費者同意,干擾消費者正常使用功能。 第十一條 未經消費者同意或者請求,或者消費者明確表示拒絕的,餐飲經營者不得將消費者個人信息共享至第三方使用或推送商業營銷信息。推送商業營銷信息應當提供退訂或拒絕選項。 第十二條 餐飲經營者應當保障消費者可以根據意愿注銷賬號、刪除個人信息,不得設置不必要、不合理條件。 第三章 責任與監督 第十三條 餐飲經營者提供線下網絡點餐服務的,應當同時備紙質菜單,紙質菜單供應的服務產品須與線上產品保持一致性。 第十四條 餐飲經營者應當建立健全消費者個人信息保護合規管理機制,完善個人信息收集、使用、儲存、加工、傳輸、刪除等各環節管理流程和操作要求,提升個人信息管理規范性。 第十五條 餐飲經營者承擔個人信息保護主體責任,保證其小程序或委托第三方在設計、開發、運行、維護等各環節的安全性,并采取相應的技術措施和其他必要措施,確保消費者個人信息儲存安全,規避信息泄露、數據被竊取、濫用、丟失等安全隱患。 第十六條 餐飲經營者應當定期組織開展門店消費者個人信息保護教育培訓,明確個人信息保護合規職責。 第十七條 上海市消費者權益保護委員會與上海市餐飲烹飪行業協會將不定期對餐飲行業網絡點餐服務合規情況開展暗訪抽查和社會監督。 第四章 附則 第十八條 本指引自2023年7月18日起實施。
