欢迎来到生活网

上海:三家餐饮企业过度收集个人信息被指违法

编辑:生活网      来源:生活网      个人   消费   信息   商家   餐饮

2023-06-25 10:10:48 

坐在餐桌上扫码点餐已经成为消费者的日常消费习惯。 这种订购方式在给消费者带来便利的同时,也给个人信息安全带来了隐患。 近日,上海市网信办、上海市市场监管局执法人员对星巴克、Shake Shack、天泰餐厅等企业进行现场执法,发现这3家餐饮企业存在超量收集个人信息的情况。 餐饮行业经营者的数据合规意识亟待提高。

执法人员发现,3家餐饮企业存在诱导消费者提供精准位置信息、频繁弹窗诱导消费者注册会员、关注公众号、频繁诱导索取用户名、手机号码等问题。 。 这些行为暴露了商家数据合规意识的缺失。 《个人信息保护法》(以下简称《个人保护法》)第五条规定,处理个人信息应当遵循合法、公正、必要、诚实信用的原则,不得处理个人信息通过误导、欺诈或胁迫的方法。 个人信息的收集是个人信息处理的行为,是个人保护法的规制主体。 消费者扫描二维码点餐行为是在就餐场景完成的,商家却诱导消费者提供准确的位置信息,违反了个人信息收集的必要原则; 注册会员、关注公众号与订单消费没有直接关联,商家诱导消费者注册会员、关注公众号的行为违反了个人信息收集的合法原则; 消费者下单没有实名要求,但商家却频频索要用户名和手机号码,违反了合法性原则。 总体而言,这些餐饮企业违反了个人保护法确立的个人信息处理“知情同意”原则。 即,除非有法定原因,获得消费者同意是处理个人信息的前提,如果个人信息的处理是基于个人同意的,则应当是个人自愿、明确地表示同意的。在充分知情的前提下。 但相关报道显示,部分商家的点餐小程序在点餐过程中多次弹出要求个人信息授权。 如果您未授权,则无法使用该代码订购。 这构成了滥用平台支配地位、滥用知情同意原则。 。

我们已经进入数据时代,个人数据具有人身利益和财产利益。 此次个人信息处理“亮剑”执法,是落实个人保护法的具体举措。 自1970年德国黑森州颁布全球第一部个人信息保护法以来,个人信息保护已成为互联网时代的关键问题。 如今,欧盟的《通用数据保护条例》、美国加州的《消费者隐私保护法》以及我国的《个人信息保护法》已经成为个人信息保护立法的典范。 各国和地区不断加强个人信息保护的原因有两个。 一方面,个人信息具有个性属性,信息不对称会影响个体决策乃至人的自由意志。 在欧盟,数据权甚至上升到数字人权的层面,这说明捍卫人的尊严是个人信息保护的出发点和最终目标。 另一方面,个人信息具有财产属性,拥有信息的平台可以获得行业竞争优势。 以扫码下单场景为例,平台收集消费者的订单状态、姓名、电话等信息,形成数据集。 通过对数据集的数据挖掘,可以进一步优化菜单和菜品,甚至可以形成用户画像,可以直接为平台带来经济价值。 同时,平台还可以让其他平台通过API接口获取该数据集,可以间接为平台带来经济价值。 数据的价值在于其利用。 应鼓励企业合法、合法、必要地使用数据,但不得超过个人防护法规定的限度。

从本次执法情况来看,传统餐饮企业对于数据合规尚未形成行业共识。 然而,在数字技术赋能实体经济发展的当下,传统企业已与数字技术深度融合,数字化生存已成为新常态。 正如三家公司负责人所言,他们不了解《个人防护法》等法律规定,从而过度收集个人信息,引发合规监管风险。 因此,以餐饮业为代表的传统行业应增强数据合规意识,构建相应的数据治理体系,加强个人信息保护法律法规的遵守和执行。

具体来说,餐饮行业应注重全面落实“知情同意”原则,参照人身保险法等法律法规,餐饮行业应重点遵守以下事项。 首先,根据个人保护法第十七条第一款规定,个人信息处理者在处理个人信息前,应当以显着的方式、清晰易懂的语言,真实、准确、完整地告知个人。 消费者首次使用小程序扫码下单时,商家应以“弹窗”等显着方式提醒隐私政策; 同意应当是个人在充分知情的前提下自愿、明确表示的。 商家不得以优化服务体验、提供会员折扣等名义诱导消费者授权精准位置信息、手机号码等个人信息,不得重复出现在申请弹幕页面。 up 后,消费者拒绝关注该公司的官方账号,影响了消费者的正常操作。 使用; 第三,根据个人保护法第六条第二款的规定,收集个人信息应当限于实现处理目的的最低范围,不得过度收集个人信息。 商家不得向消费者索取与餐饮服务无关的姓名、生日、性别、精确位置信息等敏感个人信息; 以个人信息或撤回同意为由拒绝提供产品或服务。 商家应完善扫码下单流程,并在隐私政策中设置“同意”或“拒绝”的选项。 不得强迫消费者提供个人信息或拒绝提供订餐服务生活网报道,使用户无需授权微信或手机号码即可登录。 订单下仍可完成。 消费者拒绝授权后,不得频繁弹窗申请授权否则消费者无法正常使用店铺搜索功能; 第五,根据个人保护法第十条规定,任何组织和个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供、披露他人个人信息。 未经消费者个人同意和匿名化处理,商家不得将消费者个人信息提供给第三方使用。

最后,餐饮企业每天处理大量的个人数据,应建立数据合规官的内控体系,确保所有数据处理行为合规。 数据已经是第五大生产要素,企业可以在充分尊重个人保护法的前提下,充分行使其数据权利,享受数据红利。

(作者为上海政法大学经济与法学院副教授、丝路律师学院执行院长)

本网站转载其他媒体之作品,意在为公众提供免费服务。如权利所有人拒绝在本网站发布其作品,可与本网站联系,本网站将视情况予以撤除。

发表我的评论 共有条评论
    名字:
全部评论